Websecurity - Веб безпека

У липні, 18.07.2008, я знайшов Cross-Site Scripting уразливості на сайтах http://www.linkexchanger.ru, http://www.od.com.ua і http://www.lishnih.net. Що використовують веб додаток LinksExchanger, про уразливості в якому я писав нещодавно.

XSS:

POST запит на сторінках linkexchanger.ru/dir/submit.php, od.com.ua/links/submit.php і lishnih.net/catalog/submit.php.
"><body onload="alert(document.cookie)В полях: Ваше имя или ник, Текстовое описание Вашей ссылки.

XSS через GET:

http://www.linkexchanger.ru

• alert(document.cookie)
• цікавий

http://www.od.com.ua

• alert(document.cookie)
• цікавий

http://www.lishnih.net

• alert(document.cookie)
• цікавий

Продовжуючи тему експлоітів для Apache, пропоную вам нову добірку експлоітів для цього веб сервера.

Дані експлоіти для уразливостей в Apache Tomcat та Apache mod_dav / svn. Адмінам варто слідкувати за оновленням своїх серверів.

• Apache Tomcat untime.getRuntime().exec() Privilege Escalation (win) (деталі)
• Apache mod_dav / svn Remote Denial of Service Exploit (деталі)

Виявлене пошкодження пам’яті в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Пошкодження пам’яті при відкритті файлів Adobe Director 10.

• Security Update available for Shockwave Player (деталі)
• Adobe Shockwave Player Director File Parsing Pointer Overwrite Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• D-Link DIR-100 long url filter evasion (деталі)
• Turuncu Galeri [galeri_edit.asp] Permission Bypass Vulnerability (деталі)
• Sagem router f@st 2404 remote reset poc (деталі)
• Sagem Router F@ST 2404 Remote Denial Of Service Exploit (деталі)
• RSS-aggregator Multiple vulnerabilities (деталі)
• Wordtrans-web Remote Command Execution Vulnerability (деталі)
• Wordtrans-web Remote Command Execution Vulnerability (деталі)
• PHP Nuke Platinium <= 7.6.b.5 Remote Code Execution Exploit (деталі)
• Multiple RFI-LFI in 1024 CMS 1.4.3, 1.4.4 RFC (деталі)
• Xpoz SQL-INJECTION, XSS (деталі)

У червні, 27.06.2009, я знайшов Cross-Site Request Forgery, SQL Injection та Full path disclosure уразливості в XAMPP. Про що найближчим часом сповіщу розробникам.

Раніше я вже писав про уразливості в XAMPP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.lingva.odessa.ua (хакером P@RS) - 17.06.2009, зараз сайт вже виправлений адмінами
• http://solos.bestcrimea.com (хакерами з Hackerz Morocco)
• http://www.morozova.com.ua (хакером Arfaoui Firas) - 23.06.2009, зараз сайт вже виправлений адмінами
• http://mttz.donetsk.ukrtelecom.ua (хакером GHoST61) - похакана директорія сайта ЦТЕ МТТЗ Донецької фiлiї ВАТ “Укртелеком”
• http://chinatractor.com.ua (хакером P@RS) - 16.06.2009, зараз сайт вже виправлений адмінами

Голосний випадок, що відбувся на Yahoo, змусив деяких замислитися про небезпеку розкриття інформації сервісом мікроблогів Twitter. Адреса електронної пошти, що спливла, належала відомому британському телеведучому Джонатану Россу, порушила питання про те, наскільки складною може бути процедура видалення постів на Twitter.

Початок інциденту було покладено в перші дні тижня, коли Росс відправив особисте повідомлення іншому користувачу Twitter, у якому він вказав адресу своєї персональної електронної пошти. Однак замість того, щоб піти до цього користувача напряму, лист з’явився в загальнодоступному розділі, що скомпрометувало адресу пошти на домені BBC перед 250000 читачами блога Росса. І хоча помилкове повідомлення було незабаром вилучене, його копія виявилася доступною через пошукову систему Yahoo.

Та обставина, що подібні відомості можуть бути виявлені, піддає ризику розголошення як особисту, так і професійну інформацію, оскільки усе більше людей користуються сервісом Twitter і вдома і на робочому місці.

Незважаючи на те, що сайт дозволяє користувачам через запит до адміністрації видаляти небажані повідомлення, Грехам Клулі з Sophos стверджує, що цей процес може бути досить складним і все рівно залишить користувача уразливим на деякий час.

По матеріалам http://www.xakep.ru.

P.S.

В даному випадку мало місце використання кеша пошукових систем (в даному випадку Yahoo, але так само можна використовувати Google та інші пошуковці), щоб отримати доступ до даних, які стали доступними через вітік інформації, які вже прибрали з сайту (в даному випадку з Twitter). Я вже давно запланував написати про подібні речі статтю.

В своїй практиці я давно використовую кеші пошуковців для знаходження Information Leakage уразливостей на сайтах (коли на сайті їх вже прибрали) і вже неодноразово повідомляв власників сайтів про подібні уразливості (про які вони думали, що їх виправили і ніхто цього не побачив). А також використовую кеш Гугла для пошуку свіже похаканих сайтів (в тому числі й тих, що вже були виправлені адмінами).

В даній добірці експлоіти в веб додатках:

• PostEcards (SQL/DD) Multiple Remote Vulnerabilities (деталі)
• ProQuiz 1.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Netref 4.0 Multiple Remote SQL Injection Vulnerabilities (деталі)
• Peel Shopping 3.1 (index.php rubid) SQL Injection Vulnerability (деталі)
• PHPmyGallery 1.0beta2 (RFI/LFI) Multiple Remote Vulnerabilities (деталі)
• Poll Pro 2.0 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• Professional Download Assistant 0.1 (Auth Bypass) SQL Injection Vuln (деталі)
• Pro Chat Rooms 3.0.2 (XSS/CSRF) Multiple Vulnerabilities (деталі)
• Living Local 1.1 (XSS-RFU) Multiple Remote Vulnerabilities (деталі)
• Webmaster Marketplace (member.php u) SQL Injection Vulnerability (деталі)
• eZ Publish < 3.9.5/3.10.1/4.0.1 Privilege Escalation Exploit (деталі)
• HTMPL 1.11 (htmpl_admin.cgi help) Command Execution Vulnerability (деталі)
• CF_Forum Blind SQL Injection Vulnerability (деталі)
• CFMBLOG (index.cfm categorynbr) Blind SQL Injection Vulnerability (деталі)
• Exploits Timbuktu Pro <= 8.6.5 [RC 229] vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах DM Albums і Related Sites. Для котрих з’явилися експлоіти. DM Albums - це плагін для створення фото альбомів та галерей, Related Sites - це плагін для показу лінок на сайти інших користувачів даного плагіна.

• WordPress Plugin DM Albums 1.9.2 Remote File Inclusion Vuln (деталі)
• WordPress Plugin DM Albums 1.9.2 Remote File Disclosure Vulnerability (деталі)
• WordPress Plugin Related Sites 2.1 Blind SQL Injection Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

P.S.

Експлоіт до плагіна Related Sites неробочий, тому що заявлена SQL Injection уразливість відсутня. Тому власники даного плагіна можуть не переживати з приводу цього експлоіта.

В цьому місяці я написав статтю про секюріті дослідження в Інтернеті, зокрема про знаходження уразливостей на веб сайтах та їх оприлюднення, а також про хакінг веб сайтів, та їх відповідність законодавству. Дана стаття була опублікована в The Web Security Mailing List в двох частинах 07.06.2009 та 14.06.2009.

Сьогодні я розмістив на сайті мою статтю на англійській мові (об’єднавши дві частини в одну статтю) та її переклад на українську мову. З якою ви можете ознайомитися.

Хакінг веб сайтів, секюріті дослідження, оприлюднення та законодавство

Зміст.

1. Передмова.
2. Знаходження уразливостей.
3. Хакінг веб сайтів.
4. Оприлюднення уразливості.
5. Приклади законів данної тематики.
6. Рекомендації по легальним секюріті дослідженням.
7. Інші цікаві аспекти веб безпеки та законодавства.

Hacking of web sites, security researches, disclosure and legislation

Table of contests.

1. Foreword.
2. Finding of vulnerabilities.
3. Hacking of web sites.
4. Vulnerability disclosure.
5. Examples of laws on this subject.
6. Guidelines for legal security researches.
7. Other interesting aspects of web security and legislation.