Уязвимость timthumb.php

Проверьте свои WordPress блоги — в платных и бесплатных темах оформления часто используется скрипт для генерации картинок timthumb.php, в котором обнаружили уязвимость — злоумышленник может загрузить на сайт с дырявым скриптом все, что ему заблагорассудится.

Измененный timthumb.php можно скачать тут.

Можно ничего не скачивать, просто открыть файл и удалить переменную $allowedSites. Разумеется, если вы не пользуетесь удаленной загрузкой, в которой вся проблема и кроется.

Суть «дырки» в том, что скрипт позволяет скачивать файлы с удаленных серверов, белый список настраивается в параметрах, но проверяется по ходу выполнения неверно — если разрешено загружать картинки с flickr.com, то и webshell с какого-нибудь flickr.com.hackersplace.com тоже можно загрузить.

Подробно об уязвимости timthumb.php пишет в своем блоге Mark Maunder фром хиз харт ин инглиш.

Странный логин в Facebook

Сегодня что-то странное происходило в Фейсбуком. Для начала, Adium не смог войти в мой аккаунт — пароль не подходит. Я попробовал в браузере и получил вот такую картинку.

Подозрительный вход в Facebook

Кто-то заходил из Windwows XP, да еще и через Opera. Ни того, ни другого я не использую. Пароль я сменил, конечно, но вопрос остался — очевидно, кто-то сниффером снял пароль. Либо слушают WiFi, либо по локальной сети, что вообще странно. Разберусь, найду, накажу.

Поправочка! Наказывать некого — по какой-то неведомой причине Facebook принимает Aduim на Mac OS за Оперу на Win XP. Дурдом.

Tabnabbing — новый вид фишинга

Новый сорт фишинга детально описан и назван автором Tabnabbing. Суть такая — вы открываете вкладку, в ней появляется нормальный с виду сайт, все отлично. Затем вы переключаетесь в другую вкладку, занимаетесь чем-то еще, а предыдущая вкладка потихоньку меняет свое название, иконку и содержание. Когда вы возвращаетесь к ней, вас ждет нечто, что сфабриковал злоумышленник — форму входа в Gmail, логин в банковский аккаунт и тому подобные хитрые вещи. Есть некий шанс, что вы пожмете плечами и введете свой пароль, который попадет прямиком к мошеннику. Дальнейшие ужасы можете додумать сами.

Tabnabbing

Демонстрация с комментариями доступны (просто перейдите по ссылке, а потом на 5 секунд откройте любую другую вкладку), а вот решения бля большинства браузеров пока нет. Для Firefox предлагается использовать Account Manager, а пользователям других браузеров предлагается быть повнимательнее.

Уязвимое место у этой технологии обмана есть — в адресной строке по-прежнему будет адрес вредоносной страницы. Но всегда ли мы на него обращаем внимание? Кроме того, подделать адрес стало возможно с внедрением национальных доменов с поддержкой Unicode — можно использовать в доменном имени похожие на латиницу буквы.

Остерегайтесь подделок, граждане.