Websecurity - Веб безпека

21.02.2013

У липні, 14.06.2012, я знайшов численні уразливості на http://kredobank.com.ua - сайті банка КРЕДОБАНК. Цього разу це Cross-Site Scripting та Insufficient Anti-automation дірки. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на kredobank.com.ua. Тоді дірки були в системі онлайн-банкінгу, а зараз на основному сайті банка.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.06.2013

XSS:

POST запит на сторінці http://kredobank.com.ua/executionsale_form.html
"><script>alert(document.cookie)</script>В параметрах: organization, contact, telefons, address, email, activity, stuff_type, stuff_subtype, placement.
</textarea><script>alert(document.cookie)</script>В параметрі information.

Insufficient Anti-automation:

На сторінці http://kredobank.com.ua/executionsale_form.html немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені.

Продовжуючи розпочату традицію, після попереднього відео про хакінг MMORPG для забави та прибитку, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2013-1347 Microsoft Internet Explorer 8 Vulnerability Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer 8. В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer 8 при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://manadm.gov.ua (хакером Dz-BlaCk) - 14.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.turadm.gov.ua (хакером Dz-BlaCk) - 14.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zapravka.lutsk.ua (хакером Hmei7) - 23.02.2013, зараз сайт вже виправлений адмінами
• http://pano-stairs.od.ua (хакерами HUNTER і Ayyildiz Tim)
• http://summitbiz.com.ua (хакером AnonGhost) - 05.06.2013, зараз сайт вже виправлений адмінами

В даній добірці експлоіти в веб додатках:

• Seowonintech Routers Remote Root File Dumper (деталі)
• JBoss AS Administrative Console Password Disclosure (деталі)
• Asus RT56U 3.0.0.4.360 - Remote Command Injection (деталі)
• MiniUPnPd 1.0 Stack Buffer Overflow Remote Code Execution (деталі)
• LogMeIn Hamachi <= 2.1.0.362 Remote DOS (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Численні пошкодження пам’яті.

• Microsoft Security Bulletin MS13-047 - Critical Cumulative Security Update for Internet Explorer (2838727) (деталі)

На початку року відбувся масовий взлом сайтів на сервері P-host. Він тривав у 2009 та у 2013 роках: 31.12.2009 та від 13.01.2013 до 05.05.2013.

Був взломаний сервер української компанії P-host. Взлом складався з багатьох невеликих дефейсів та одного крупного дефейсу сайтів. Масовий дефейс відбувся після згаданого повторного масового взлому сайтів на сервері Besthosting.

Всього було взломано 20 сайтів на сервері хостера P-host (IP 77.120.114.162). Це наступні сайти: sunrise.od.ua, veselo-mig.od.ua, solaris.od.ua, sotbi.com.ua, villadiana.com.ua, neo-biotechnology.com, alfa-fasad.com.ua, vipmasi.com, oasis-zatoka.od.ua, bestsite.in.ua, getman.od.ua, www.galaxie.com.ua, vnl.com.ua, cargo-euro.com, belwitec.com.ua, www.dak.gov.ua, paritet-info.com, www.blagfond-ch.com.ua, www.transavio.com.ua, www.vaz2110.net. Серед них український державний сайт www.dak.gov.ua.

З зазначених 20 сайтів 11 сайтів були взломані хакером SultanHaikal, 1 сайт хакером Hmei7, 1 сайт хакером s13doeL, 5 сайтів хакером Sejeal, 1 сайт хакером misafir та 1 сайт хакерами з 1923Turk.

У випадку крупного дефейса SultanHaikal, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

В даній добірці уразливості в веб додатках:

• Multiple XSS vulnerabilities in Cerberus FTP Server <= 5.0.5.1 (деталі)
• Actuate ‘ActuateJavaComponent’ Multiple Vulnerabilities (деталі)
• bogofilter security update (деталі)
• Multiple vulnerabilities in NetApp OnCommand System Manager (деталі)
• EMC Data Protection Advisor Information Disclosure Vulnerability (деталі)
• Cross-Site Request Forgery (CSRF) in UMI.CMS (деталі)
• Firefly MediaServer Multiple Remote DoS Vulnerabilities (деталі)
• Simple Webserver 2.3-rc1 Directory Traversal (деталі)
• Nexpose Security Console - Cross-Site Request Forgery (CSRF) (деталі)
• Nexpose Security Console - Session Hijacking (деталі)

Про оригінальні методи проведення Cross-Site Scripting атак я писав неодноразово, зокрема в статті обхід фільтрів для проведення XSS атак. І зараз я розповім про нові мої розробки в галузі обходу XSS фільтрів.

Ще 08.09.2008, коли я досліджував уразливості у браузерах, я звернув увагу на можливість використання фреймів, яка на той момент не була широко відомою. Можливе використання тегів frameset та iframe для проведення XSS атак, причому в інший спосіб, ніж описано в найбільш відомому переліку технік XSS атак - XSS Cheat Sheet (що раніше розміщувався на сайті RSnake, а зараз він встановив редиректор на XSS Filter Evasion Cheat Sheet від OWASP, яка заснована на його матеріалах).

В той день я перевірив лише в декількох браузерах. А в травні я повернувся до цього старого дослідження і перевірив дану методику в багатьох браузерах (з числа наявних у мене). Як вияснилося придумана мною методика не тільки працює в усіх моїх браузерах, але й обходить деякі обмеження (в декількох браузерах), що стосуються раніше відомих технік атаки.

Якщо раніше при використанні тегів frameset та iframe XSS код розміщувався у властивості src і потрібно було вказувати URI (javascript, vbscript чи data), щоб виконати код. І захисні фільтри (веб додатка чи WAF) могли це виявити - по перевірці на src чи на наявність відповідних URI. То я придумав метод, що дозволяє виконати код іншим чином (і JS/VBS код можна вказати без URI), і це дозволяє обійти подібні захисні фільтри. Мій метод передбачає використання обробника onload для тегів frameset та iframe (тобто атака відбувається подібно до тега body).

Раніше відомі методи (згадані в XSS Cheat Sheet):

<frameset><frame src="javascript:alert(document.cookie)"></frameset>
<iframe src="javascript:alert(document.cookie)">

Працює в усіх моїх браузерах. Але в Mozilla 1.7.x, Chrome та Opera код виконується без доступу до кукісів (причому в Mozilla код виконується в домені null, а в Opera в about:blank).

Придумані мною методи (не згадані в XSS Cheat Sheet ні в 2008, ні в 2013 роках):

<frameset onload="alert(document.cookie)">
<iframe onload="alert(document.cookie)">

Працює в усіх моїх браузерах. Зокрема в Mozilla 1.7.x, Mozilla Firefox 3.0.19, 10.0.7 ESR, 15.0.1, Internet Explorer 6, 7, 8, Chrome 1.0.154.48, Opera 10.62. І з доступом до кукісів в усіх браузерах.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kivadm.gov.ua - інфікований державний сайт - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://altamira.com.ua - інфекція була виявлена 06.06.2013. Зараз сайт входить до переліку підозрілих.
• http://qww.com.ua - інфекція була виявлена 09.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://beezy.at.ua - інфекція була виявлена 09.06.2013. Зараз сайт входить до переліку підозрілих.
• http://global-katalog.com - інфекція була виявлена 11.06.2013. Зараз сайт не входить до переліку підозрілих.

В даній добірці експлоіти в веб додатках:

• Netgear WPN824v3 Unauthorized Config Download (деталі)
• Netgear DGN1000 / DGN2200 Authentication Bypass / Command Execution (деталі)
• DS3 Authentication Server Command Execution Vulnerability (деталі)
• Imperva SecureSphere Operations Manager Command Execution Vulnerability (деталі)
• ModSecurity Remote Null Pointer Dereference Vulnerability (деталі)