Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Компьютер для продвинутых пользоватлей Выпуск по безопасности.


Информационный Канал Subscribe.Ru

Опасные продукты:
File Transfer Anywhere
MIVA Merchant
Слово автора
Здравствуйте, уважаемые подписчики.
Сразу хочу извиниться за то, что рассылка не выходила столь длительное время, но на это есть объяснения - мой отпуск, а в последующем заражение компьютером вирусом.
Но, как Вы видите, мы снова в эфире, и будем, надеется на оперативность нашей рассылки.
Безопансность
Продукт:
TTXN File Transfer Anywhere v3.01 server
Платформа:
Протестировано на Windows Mobile Pocket PC.
Требование:
Мобильное устройство, запущенное на Winidows Mobile Pocket PC с установленным TTXN File Transfer Anywhere v3.01 server.
Уровень риска:
Средний, локальный атакующий может увидеть пароли сервера в виде обычного текста.

Описание:
File Transfer Anywhere - http базовый файл перемещения приложений. Он позволяет пользователям перемещать файлы на FTP-сервер, предпочитая в основе HTTP. Програма может использоваться, как веб-сервис. Авторы веб-сайта не знают, но программное обеспечение можно найти на сайте Handango.com
Детали:
File Transfer Anywhere имеет несколько проблем безопасности. Первая проблема - неверная зашифровка паролей, посылаемых через клиента серверу. Пароли отсылаются простым текстом и могут быть легко считаны по воздуху, использую беспроводной пакет снифферов(когда связь между клиентом и сервером - радио).
Вторая проблема - представляет гораздо больший интерес. Сервер по-умолчанию не использует защиту паролей (если уровень безопасности остается как есть), но большинство людей добавляет пароль в сохраняющее поле паролей, что избежать вторжение с неизвестных клиентов. Хотя программа использует **** символы для скрытия паролей в графическом интерфейсе программы, храня сохраненный пароль в местной регистратуре в открытом тексте. Пароль может быть свободно использован в редакторе регистрации инструмента в следующем местоположении:
[\HKEY_LOCAL_MACHINE\SOFTWARE\TTXN\File Transfer Anywhere]
Под этим ключом значении названное PASS будет иметь пароль в виде данных. Эти данные зашифрованы, что дает локальному атакующему информацию, которая дает в дальнейшем получить удаленный контроль над устройством в последующих шагах!


Продукт:
MIVA Merchant 5

MIVA Merchant 5 уязвимость для XSS атаки. Пользователи могут внедрить java-скрипты, для внедрения их собственные выводы на экраны MM5 и страницы контроля, отменяющие различные гарантии функций.

Детали:
XSS пример:
[http://HOSTNAME/mm5/merchant.mvc?Screen=ACNT&Action=EMPW&Customer_Login="><script>document.write("\n
<input%20type=text%20name=somenewfield%20value='Hello%20World'>") Исправление:
Корпорация MIVA была очень кооперативной и уже готовы выпустить обновления для этого ПО. Пользователи MIVA Merchant 5 должны войти в их административные панели и с помощью мастера обновлений произвести update их ПО.
Обновление включат в себя "санитарную" проверку и очистку нескольких уязвимых ключей и исправления для других найденных ошибок.
Если Вам нравится эта рассылка, и Вы пользуетесь сведениями из неё, то можете поддержать автора, перечислив небольшое вознаграждение на R474348938531 или Z451490294903. Связаться со мной можно по ICQ 273214003.

Subscribe.Ru
Поддержка подписчиков
Другие рассылки этой тематики
Другие рассылки этого автора
Подписан адрес:
Код этой рассылки: comp.paper.supuser
Отписаться
Вспомнить пароль

В избранное