Websecurity - Веб безпека

Нещодавно, 31.01.2012, вийшов Mozilla Firefox 10. Нова версія браузера вийшла майже через півтора місяця після виходу Firefox 9.

Mozilla офіційно представила реліз веб-браузера Firefox 10.0. Реліз Firefox 11 очікується через 6 тижнів, у середині березня, а Firefox 12 вийде на початку травня. Крім того, також були випущені Firefox 3.6.26, Firefox 10 for Android, Seamonkey 2.7 і Thunderbird 10.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 10 усунуто 9 уразливостей. З яких 6 критичних уразливостей, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок, а також дві уразливості з високим ступенем небезпеки та одна з помірним.

• Релиз Firefox 10 и сопутствующих проектов Mozilla (деталі)

В даній добірці уразливості в веб додатках:

• Heap-based buffer overflow in libxml2, as used in Google Chrome before 16.0.912.75 (деталі)
• Redirection vulnerability in MBoard (деталі)
• Multiple XSS in GBook PHP guestbook (деталі)
• phpWebSite (userpage) Cross Site Scripting Vulnerabilities (деталі)
• dpconsulenze (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• Denial of service (out-of-bounds read) in libxml2, as used in Google Chrome before 16.0.912.63 (деталі)
• ECHO Creative Company (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• Muzedon (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• netplanet (dettaglio.asp?id) Remote SQL injection Vulnerability (деталі)
• Exploit EChat Server <= v2.5 20110812 - Remote Buffer Overflow Exploit (деталі)

У січні, 17.01.2012, під час аудиту сайта свого клієнта, я знайшов численні уразливості, зокрема Cross-Site Scripting, Brute Force та Abuse of Functionality, в системі Enterprise Java Beans Certificate Authority (EJBCA). Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.uaan.gov.ua (хакерами з Ashiyane Digital Security Team) - 08.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.apb.mns.gov.ua (хакером k4L0ng666) - 22.10.2011 - взломаний державний сайт, на сайті все ще розміщений html файл хакера
• http://fish.com.ua (хакером isyanqar musqaral1)
• http://festival-shopping.com (хакером Dr-Angel) - 12.10.2011, на сайті все ще розміщений текстовий файл хакера
• http://www.holocaust-odessa.org (хакером Hmei7) - 12.10.2011, на сайті все ще розміщений файл хакера

Виявлене переповнення буфера в Suhoshin - секюріті розширенні PHP.

Уразливі версії: Suhoshin 0.9.

Переповнення буфера в коді прозорого шифрування кукі.

• Suhosin PHP Extension Transparent Cookie Encryption Stack Buffer Overflow (деталі)

В даній добірці уразливості в веб додатках:

• Multiple directory traversal vulnerabilities in OpenStack Nova (деталі)
• Chrome Web Solutions (details.php?cat_id) (listing_more.php?id) Remote SQL injection Vulnerability (деталі)
• Dow Group (dynamic.php?id) (sub.php?solutioncat_id) (news_desc.php?id) (product.php?id) Remote SQL injection Vulnerability (деталі)
• indiacon (selloffers.php?cid) Remote SQL injection Vulnerability (деталі)
• CobraScripts (selloffers.php?cid) Remote SQL injection Vulnerability (деталі)
• zFTPServer Suite 6.0.0.52 ‘rmdir’ Directory Traversal (деталі)
• Gopal Systems (products.php?cat_id) Remote SQL injection Vulnerability (деталі)
• cgcraft llc (info.php?id) (news_item.php?id) Remote SQL injection Vulnerability (деталі)
• Vegetav (news_item.php?id) Remote SQL injection Vulnerability (деталі)
• Elgg 1.7.9 <= | Multiple Cross Site Scripting Vulnerabilities (деталі)

10.12.2011

Продовжуючи тему уразливостей в D-Link DAP 1150, розповім вам про нові уразливості в даній точці доступу. У листопаді, 17.11.2011, я виявив Abuse of Functionality та Cross-Site Request Forgery уразливості в D-Link DAP 1150 (WiFi Access Point and Router). Це третій advisory з серії записів про уразливості в продуктах D-Link. Попередні були про уразливості в DSL-500T ADSL Router та DAP 1150.

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

31.01.2012

Abuse of Functionality:

Логін адміна є фіксованим (це логін admin), його не можна змінити, тільки пароль. Що полегшує Brute Force атаку.

CSRF:

Весь функціонал адмінки вразливий до CSRF. Ось два приклади.

Зміна пароля адміна:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_config_id=69&res_struct_size=1&res_buf=password|

В розділі Wi-Fi / Common settings через CSRF можна включити/виключити Wi-Fi, а також змінити MBSSID та BSSID.

Наступний запит відключить Wi-Fi:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=39&res_struct_size=0&res_buf={%22Radio%22:false,%20%22mbssidNum%22:1,%20%22mbssidCur%22:1}

Дані уразливості досі не виправлені. D-Link не стала виправляти ці уразливості, так само як вони досі не виправили багато уразливостей в DSL-500T (с 2005 року).

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу записи на тему Man-In-The-Middle (MITM) атак. Торік я вже наводив статтю з Вікіпедії, в якій детально розповідається про даний клас атак.

В своєму записі Detecting MITM/Hacking Proxies Via SSL, RSnake розповідає про визначення проксі для MITM атак через SSL.

В своєму записі Places to MITM, RSnake розповідає про місця для MITM атак.

В своєму записі MITM, SSL and Session Fixation, RSnake розповідає про проведення Session Fixation атаки через MITM при використанні SSL у браузері.

У січні місяці Microsoft випустила 7 патчів. Що значно менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 8 уразливостей в програмних продуктах компанії. З них один патч закриває дві критичні уразливості, а інші шість патчів - важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, .NET Framework, Windows Media Player та бібліотеки Microsoft AntiXSS. Також була виправлена уразливість в ОС Windows, що стосується протоколів SSL/TLS, яка використовується для проведення BEAST-атаки.

В даній добірці уразливості в веб додатках:

• HP OpenView NNM ov.dll _OVBuildPath Remote Code Execution Vulnerability (деталі)
• Solutiontech (product.php?cat_id) Remote SQL injection Vulnerability (деталі)
• Zones Web Solution (status.asp?print) (search_result.php?loc_id) Remote SQL injection Vulnerabilities (деталі)
• HP OpenView NNM webappmon.exe parameter Remote Code Execution Vulnerability (деталі)
• Web Fusion Nepal (tour.php?category) XSS Vulnerability (деталі)
• Avon Groups (search_result.php?cid) Remote SQL injection Vulnerability (деталі)
• HP OpenView NNM nnmRptConfig.exe nameParams Remote Code Execution Vulnerability (деталі)
• Web Fusion Nepal (find.php?id) Remote SQL injection Vulnerability (деталі)
• Infocus Web Solutions (news_desc.php?id) Remote SQL injection Vulnerability (деталі)
• A1 Solutions (cat_sell.php?cid) Remote SQL injection Vulnerability (деталі)