Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://klitschko.com - сайт братів Кличко - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Хоча, за заявою Гугла, зараз сайт не входить до переліку підозрілих, але на ньому все ще є інфіковані сторінки (по інформації того ж Гугла). Тобто зараз сайт все ж таки входить до переліку підозрілих.
• http://redox.com.ua - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ua-pravda.com - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ua-24.com - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://rupor.info - інфекція була виявлена 21.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Cisco Security Advisory: Vulnerabilities in Unified Contact Center Express Administration Pages (деталі)
• PHP-Nuke Module BenchmarkNews SQL Injection (sid) (деталі)
• joomla SQL Injection (com_joomlavvz) (деталі)
• Cisco IOS XSS/CSRF Vulnerability (деталі)
• Cisco IOS Cross-Site Scripting Vulnerabilities (деталі)
• XSS on Cisco IOS HTTP Server (деталі)
• DEDECMS v5.1 Sql Injection Vulnerability (деталі)
• New python-django packages fix denial of service (деталі)
• Pentaho Bi-server multiple vulnerabilities (деталі)
• Eclipse BIRT <= 2.2.1 Reflected XSS (деталі)

У вересні, 17.09.2009, я знайшов SQL Injection уразливість на проекті http://fitofarm.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Існує такий різновид Information Leakage уразливостей як SQL DB Structure Extraction. Дана уразливість полягає в тому, що у веб додатку має місце витік інформації про структуру бази даних. Даний витік інформації може стати в нагоді при SQL Injection атаці.

Подібну уразливість вперше я знайшов ще в 2006 році (на одному сайті) і дав їй таку назву. Подібні уразоливості я знаходив на багатьох веб сайтах, зокрема на bizua.com.ua, zoom.cnews.ru та job.ukr.net. А також у багатьох веб додатках, зокрема в WordPress (неодноразово), W-Agora, Nucleus, Athree CMS (двічі) та Abton.

В чому полягає різниця між SQL DB Structure Extraction та SQL Error. Бо в обох випадках виводиться повідомлення про помилку в запиті до бази даних.

Повідомлення про помилку в SQL запиті (SQL Error) бувають різні:

1. Виводиться лише повідомлення про помилку при запиті до БД без жодних деталей. Іноді при цьому може бути повідомлення про скрипт, в якому відбулася помилка, в тому числі може бути вказаний повний шлях до нього на сервері, що є Full path disclosure уразливістю. А в інших випадках може не бути жодних деталей, тільки згадка про помилку при запиті до БД.

2. Виводиться повідомлення про помилку при запиті до БД та частина SQL запиту, в якому є помилка. В даному випадку, зазвичай, інформації про структуру БД не витікає взагалі. Але в подібних випадках можливе проведення XSS атаки через помилки при запитах до БД.

3. Виводиться повідомлення про помилку при запиті до БД з детальною інформацією про даний SQL запит (або декілька запитів). Коли витікає інформація про структуру БД - про таблиці та їх поля в СУБД. Ось цей варіант і є SQL DB Structure Extraction.

Тобто SQL DB Structure Extraction уразливість - це такий варіант SQL Error, коли відбувається помилка при запиті до бази даних і на сторінці (при повідомленні про помилку при запиті до БД, або навіть без даного повідомлення) виводиться інформація про структуру БД.

12.01.2010

У травні, 10.05.2009, я знайшов Full path disclosure, SQL Injection та Cross-Site Scripting уразливості в компоненті VXDate (com_vxdate) для Joomla. Дані уразливості я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в JVClouds3D для Joomla.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

13.03.2010

Full path disclosure:

http://site/index.php?option=com_vxdate&ct=’

http://site/index.php?option=com_vxdate&ct=1&md=details&id=’

http://site/index.php?option=com_vxdate&ct=1&md=editform&id=’

SQL Injection:

http://site/index.php?option=com_vxdate&ct=1&md=details&id=-1%20or%20version()=5
http://site/index.php?option=com_vxdate&ct=1&md=editform&id=-1%20or%20version()=5

XSS:

http://site/index.php?option=com_vxdate&ct=1&md=details&id=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/index.php?option=com_vxdate&ct=1&md=editform&id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі потенційно всі версії VXDate.

В даній добірці експлоіти в веб додатках:

• Facil Helpdesk (RFI/LFI/XSS) Multiples Remote Vulnerabilities (деталі)
• PHPCityPortal (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• Arab Portal 2.2 (Auth Bypass) Blind SQL Injection Exploit (деталі)
• SmilieScript <= 1.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Joomla Component Kunena Forums (com_kunena) bSQL Injection Exploit (деталі)
• CMS Made Simple <= 1.6.2 Local File Disclosure Vulnerability (деталі)
• Mini-CMS 1.0.1 (page.php id) SQL Injection Vulnerability (деталі)
• Papoo CMS 3.7.3 Authenticated Arbitrary Code Execution Vulnerability (деталі)
• Embedthis Appweb 3.0b.2-4 Remote Buffer Overflow PoC (деталі)
• Neostrada Livebox Remote Network Down Exploit (деталі)

У вересні, 03.09.2009, я знайшов Arbitrary File Disclosure та Full path disclosure уразливості на проекті http://ksbm.net. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

Як і в попередні роки, надам свої прогнози розвитоку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2009 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Більше почали проводитися CSRF-атаки, зокрема з використанням ClickJacking (про Clickjacking атаки я вже розповідав раніше).
3. Фішинг став ще більш поширеним явищем. Як я розповідав в статті Сучасний стан фішинг-атак в Інтернеті, торік число фішингових атак досягло дворічного максимуму.
4. Insufficient Anti-automation уразливості стали більш поширеними, зокрема атаки на капчі. Що в тому числі збільшило кількість реєстрацій на почтових сервісах та кількість спаму з них.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2008 лише 4 сайти.
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 79,5%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2010 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Збільшаться випадки витоків важливої інформації.
3. Все більше будуть використовуватися уразливості в браузерах для атак на користувачів.
4. Фішинг стане ще більш розповсюдженим.
5. Продовжить зростати кількість заражених вірусами веб сторінок.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Продовжуючи розпочату традицію, після попереднього відео про взлом Java додатків, пропоную новий відео секюріті мануал. Цього разу відео про підбір паролів до FTP. Рекомендую подивитися всім хто цікавиться цією темою.

Brute Force FTP Escalation

В даному відео ролику демонструється Brute Force атака на FTP. Після підбору паролю до FTP сервера на Windows XP, отримується telnet доступ до системи. А потім й доступ через RealVNC з захопленням акаунту адміністратора. Рекомендую подивитися дане відео для розуміння атак через FTP.

В даній добірці уразливості в веб додатках:

• Vulnerability in yelp (деталі)
• Living CMS Cross-Site Scripting vulnerability (деталі)
• iNTERNET.cms Cross-Site Scripting vulnerability (деталі)
• iNTERNET.cms Cross-Site Scripting vulnerability (деталі)
• EXcms Root directory disclosure vulnerability (деталі)
• ELDORADO CMS Multiple Vulnerabilities (деталі)
• AKmedia CMS SQL Injection vulnerability (деталі)
• ABO.CMS Multiple Vulnerabilities (деталі)
• A.CMS Multiple Vulnerabilities (деталі)
• Neostrada Livebox Remote Network Down PoC Exploit (деталі)