Websecurity - Веб безпека

Інформую вас про останні оновлення на сайті, що були зроблені останнім часом.

Як я вже писав в своїй статті, в лютому я розмістив програму для перевірки обходу фільтрів для проведення XSS атак в розділі Обхід XSS фільтрів. Де ви можете перевірити веб браузери, щоб вияснити які символи вони підтримують для проведення XSS атак.

А в березні я оновив SQL Injection ASCII Encoder. Додав підтримку наступних СУБД: IBM DB2, Postgres SQL і MS Access.

За повідомленням www.xakep.ru, пограбування казино за допомогою взлому камер спостереження.

Казино Crown у Мельбурні (Австралія) понесло збитки в розмірі 32 мільйонів доларів через взлом внутрішньої системи відеоспостереження. Один із гравців на високих ставках (хай-роллер) одержував по радіозв’язку інформацію про карти своїх суперників. Інформацію йому передавав спільник, що мав віддалений доступ до системи відеоспостереження казино.

Про уразливості в системах відеоспостереження, що дозволяють отримати доступ до камер писалося багато за останні роки, а розробники і користувачі таких систем все ще забивають на їх безпеку. Що цікаво, скільки фільмів було випущено на тему пограбувань казино, але в жодному з них не було згадано ідеї використання камер спостереження казино. Сценаристи не додумалися то того, до чого додумалися справжні шахраї .

За повідомленням ain.ua, у 2012 році шахраї вкрали з банківських карт 11 млн грн.

Торік шахраї вкрали з банківських платіжних карт українців 11 мільйонів гривень. Директор департаменту платіжних систем НБУ Наталія Лапко вважає, що це не дуже велика цифра. Про це вона повідомила на засіданні недержавної громадської організації “Ліга фінансового розвитку”.

Якщо в 2011 році збитки від шахрайства в інтернет-банкінгу в Україні становили 9,1 млн. грн., то в 2012 році вже 11 млн. грн. Це на 1,9 млн. грн. більше (зростання на 20,9%). І дивно, що НБУ не вважає це проблемою.

За повідомленням www.opennet.ru, проведено сканування портів всіх IPv4-адрес з використанням ботнета з маршрутизаторів.

Підведені підсумки амбіційного проекту Internet Census 2012, націленого на повне сканування портів для всіх IPv4-адрес у мережі Інтернет. Сканування здійснювалося з березня по грудень 2012 року з використання ботнета, побудованого на базі незахищених маршрутизаторів. У результаті вдалося зібрати саму повну в історії статистику по активності хостів і розподілу мережевих портів у мережі Інтернет.

Це найбільший проект по скануванню портів і перший, що охопив всі адреси IPv4. Процес сканування тривав 10 місяців з використанням 420 тисяч незахищених маршрутизаторів, з яких була зроблена бот мережа для сканування портів. В результаті був отриманий великий масив інформації про хости в Інтернеті. Але окрім цього даний проект також показав, що дуже поширеним є мережеві пристрої з дефолтними паролями або зовсім без паролів, що дозволяє отримувати віддалений доступ до цих пристроїв.

Виявлені численні уразливості безпеки в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint Server 2010, SharePoint Foundation 2010.

Переповнення буфера, зворотний шлях у каталогах, міжсайтовий скриптінг, виконання коду.

• Microsoft Security Bulletin MS13-024 - Critical Vulnerabilities in SharePoint Could Allow Elevation of Privilege (2780176) (деталі)

В даній добірці уразливості в веб додатках:

• RSA Adaptive Authentication (On-Premise) Information Disclosure Vulnerability (деталі)
• Fileutils ruby gem possible remote command execution and insecure file handling in /tmp (деталі)
• Visual Tools DVR multiple vulnerabilities (деталі)
• Cross-Site Scripting (XSS) in Geeklog (деталі)
• F5 FirePass SSL VPN 4xxx Series | Arbitrary URL Redirection (деталі)
• Multiple Vulnerabilities in Piwigo (деталі)
• MitM-vulnerability in Palo Alto Networks GlobalProtect (деталі)
• Multiple critical vulnerabilities in GroundWork Monitor Enterprise (part 1) (деталі)
• SonicWALL EMail Security 7.3.5 - Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in GroundWork Monitor Enterprise (part 2) (деталі)

У лютому, 20.02.2013, я знайшов Cross-Site Scripting та Full path disclosure уразливості в темах до WordPress, що містять ZeroClipboard.swf. Також знайшов одну тему, що містить і ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard та про численні вразливі веб додатки з цією флешкою. Як я зазначав, це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в сотнях веб додатків.

Також вона міститься потенційно в сотнях плагінів для WordPress, про що я писав. А також в сотнях тем (шаблонів) для WordPress, включаючи теми зроблені на замовлення окремих сайтів. Серед них Montezuma, Striking, Couponpress, Azolla та Black and White. Та існує багато інших уразливих тем до WordPress з ZeroClipboard.

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

http://site/wp-content/themes/montezuma/admin/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/striking/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/couponpress/template_couponpress/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/azolla/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/black-and-white/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Це дуже поширена флешка. Якщо при стандартному пошуку через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf, то при пошуку по темах для WordPress можна знайти майже сто тисяч сайтів з цими флешками.

Full path disclosure (WASC-13):

Також всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/montezuma/

http://site/wp-content/themes/striking/

http://site/wp-content/themes/couponpress/

http://site/wp-content/themes/azolla/

http://site/wp-content/themes/black-and-white/

Вразливі наступні веб додатки з флешкою (всі версії даних тем для WP): Montezuma, Striking, Couponpress, Azolla, Black and White.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

В період з 30.04.2011 по 10.03.2013 відбувся новий масовий взлом сайтів на сервері Freehost. Третій масовий взлом сайтів на сервері Freehost відбувся раніше.

Був взломаний сервер української компанії Freehost. Взлом в 2011-2013 роках складався з декількох дефейсів та одного крупного дефейса сайтів. Масовий дефейс відбувся після згаданого масового взлому сайтів на сервері Astratelcom.

Всього було взломано 33 сайти на сервері хостера Freehost (IP 91.206.31.130). Це наступні сайти: doippo.dp.ua, www.kiyana.com.ua, www.tmk.te.ua, mebel.ng.gov.ua, roo.ng.gov.ua, shop.ng.gov.ua, vm.ng.gov.ua, www.ng.gov.ua, dogtorska.com, legkoves.com, shpola.gov.ua, xkc.com.ua, www.bistfor.kiev.ua, www.all-monte.ru, www.elite-mebel.kiev.ua, www.bushinkan-honbu.info, www.benito.com.ua, www.staff-shoes.kiev.ua, test.web-service.kiev.ua, www.knigi-online.com.ua, www.jiu-jitsu.com.ua, www.kovka-metall.com.ua, www.kutsevych.com, www.legalland.kiev.ua, www.oldcenter.info, www.web-service.kiev.ua, www.jiu-jitsu-kiev.com, www.xn--80ahscp.in.ua, www.xn--80aa2agsg.com, lodkacapral.com, www.grimarine.com, www.antikrazka.com.ua, kinderland.org.ua. Серед них українські державні сайти mebel.ng.gov.ua, roo.ng.gov.ua, shop.ng.gov.ua, vm.ng.gov.ua, www.ng.gov.ua та shpola.gov.ua.

З зазначених 33 сайтів 3 сайти були взломані хакером Hmei7, 1 сайт хакером Anonymous Albania, 4 сайти хакером LaMiN3 DK, 4 сайти хакером Sejeal, 15 сайтів хакером urbanr00ts та 6 сайтів хакером iskorpitx.

У випадку крупного дефейса urbanr00ts, сайти могли бути атаковані хакером через взлом серверу хостінг провайдера. А всі невеликі дефейси по одному або декілька сайтів явно були зроблені при взломах окремих сайтів. Також не виключена можливість використання уразливостей на сервері для доступу до інших сайтів.

Виявлена можливість виконання коду в Microsoft Silverlight.

Уразливі версії: Microsoft Silverlight 5.

Пошкодження пам’яті.

• Microsoft Security Bulletin MS13-022 - Critical Vulnerability in Silverlight Could Allow Remote Code Execution (2814124) (деталі)

В даній добірці експлоіти в веб додатках:

• HP Intelligent Management Center Arbitrary File Upload (деталі)
• Rosewill RSVA11001 - Remote Command Injection (деталі)
• ZEN Load Balancer Filelog Command Execution (деталі)
• Webmin /file/show.cgi Remote Command Execution (деталі)
• SAP Netweaver Dispatcher 7.0 EHP1/2 Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Responsive Logo Slideshow, Pretty Link та Comment Rating. Для котрих з’явилися експлоіти. Responsive Logo Slideshow - це плагін для створення слайдшоу, Pretty Link - це плагін для розміщення гарних лінок, Comment Rating - це плагін для створення рейтингів коментарів.

• Reflective/Stored XSS in Responsive Logo Slideshow Plugin Cross-Site Scripting Vulnerability (деталі)
• WordPress Pretty Link 1.6.3 Cross Site Scripting (деталі)
• WordPress Comment Rating 2.9.32 SQL Injection / Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему технологій захисту від Cross-Site Scripting атак, після статей про HttpOnly та метод захисту з JavaScript, розповім про іншу технологію захисту від XSS атак. Яка передбачає використання заголовка X-XSS-Protection.

Заголовок X-XSS-Protection встановлюється на сервері до всіх веб сторінок, які треба захистити від XSS атак на стороні клієнта (тобто це клієнтська технологія, що вимагає підтримки браузером). Для цього веб додаток повинен у своїй відповіді вказати відповідний серверний заголовок:

X-XSS-Protection: 1; mode=block

Якщо вказати “1″, то браузер з підтримкою цього заголовка, включить захист від XSS на даній сторінці. Режим захисту може бути стандартний (фільтрація потенційного XSS коду), або блокування (що задається параметром mode=block).

Даний заголовок був розроблений Microsoft і вперше його підтримка була додана в Internet Explorer 8 в березні 2009. Пізніше Google додала його підтримку в свій браузер Chrome. В 2010 році була виявлена уразливість в XSS Filter в IE8, що дозволяла виконувати атаки на веб сторінки, що навіть не мали XSS уразливостей.

Особливості даної технології:

1. Використання заголовка захищає лише від reflected XSS.

2. Захист працює лише в браузерах, що підтримують заголовок. В цьому плані технологія схожа на HttpOnly (але HttpOnly підтримують набагато більше браузерів).

X-XSS-Protection підтримують наступні браузери:

Internet Explorer 8+
Google Chrome 8+ (спочатку в версії 4.0 була додана експериментальна функція “XSS Auditor”, але в версії 4.1 вона була відключена через виявлені уразливості й знову включена лише в версії 8.0).

Дана технологія захисту від XSS атак має свої достоїнства та недоліки. Як я вже казав, жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.