Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Movable Type 4.2x, 4.3x Web Upgrade Remote Code Execution (деталі)
• ZoneMinder Video Server packageControl Command Execution (деталі)
• SQLiteManager 1.2.4 Remote PHP Code Injection Vulnerability (деталі)
• ZTE ZXV10 W300 series (Djaweb router) vulnerability (деталі)
• Google Chrome Silent HTTP Authentication (деталі)

Стосовно останньої уразливості додам, що в Google Chrome 1.0 такої дірки не було. В попередніх версіях браузер видавав попередження при невірному паролі. Таку можливість (відправляти Basic і Digest Authentication запити без попередження) додали в останніх версіях браузера, в тому числі вона має місце в Chrome 24.0, в якому перевіряв автор експлоіта.

Це має місце починаючи з версії Chrome 13.0, в якому Гугл виправив уразливість, що я знайшов в різних браузерах, включаючи Chrome. Виправивши таким кривим чином ту дірку, вони додали можливість проводити віддалений брутфорс через браузер різних мережевих пристроїв (модемів, роутерів, Wi-Fi точок доступу), що знаходяться в локальній мережі.

20.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://kredobank.com.ua - сайті банка КРЕДОБАНК (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про forum.ua.

Детальна інформація про уразливості з’явиться пізніше.

15.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка КРЕДОБАНК. Всього 109 уразливостей в системи IFOBS.

https://ifobs.kredobank.com.ua/ifobsClient/

Дані уразливості досі не виправлені.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти. Враховуючи, що після жовтня в моїх логах не було українських сайтів (тільки закордонні), що використовувалися для RFI атак, то я проаналізував більш старіші логи.

Похакані сайти в Уанеті:

• http://photoworld.com.ua (невідомим хакером) - 01.2010
• http://filtry.in.ua (невідомим хакером) - 01.2010
• http://www.epidemia.com.ua (невідомим хакером) - 01.2010
• http://whitelove.at.ua (невідомим хакером) - 02.2010

Файли, що використовувалися для RFI атак (файли вже давно прибрані з сайтів):

http://photoworld.com.ua/zfxid1.txt
http://filtry.in.ua/components/com_mailto/idxx.txt
http://www.epidemia.com.ua/tool/fxd
http://whitelove.at.ua/a.txt

17.05.2012

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема Cross-Site Request Forgery, Cross-Site Scripting та Redirector. Це третя порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

15.02.2013

CVE: CVE-2012-4842, CVE-2012-4844.

Cross-Site Request Forgery (WASC-09):

Відсутність капчі в формі логіна (http://site/names.nsf) призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), нижченаведені XSS і Redirector атаки, Brute Force (що я описав в окремому записі) та інші автоматизовані атаки.

Cross-Site Scripting (WASC-08):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Domino XSS.html

Redirector (URL Redirector Abuse) (WASC-38):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Domino Redirector.html

Уразливі Lotus Domino 8.5.3 та попередні версії. Як повідомили мені з IBM наприкінці листопада, вони планують виправити уразливості (зокрема XSS і Redirector) в версії 9.0. Що повинна вийти 14.03.2013. Свій адвізорі по даним уразливостям IBM оприлюднила 30.11.2012.

До виходу нової версії всі користувачі вразливих версій IBM Lotus Domino вразливі до даних атак. При цьому представники IBM не запропонували жодних рішень цієї проблеми (Workaround чи Mitigation). Зате я запропоную обхідне рішення, яке можна використовувати до виходу версії 9.0 з виправленнями уразливостей. Воно полягає у відключенні html-форми логіна і використанні замість неї Basic Authentication.

На початку 2008 року, 03.02.2008, я проводив дослідження власного веб додатку і намагався перевірити можливість обходу фільтрів для проведення XSS атаки. Зокрема з використанням спеціальних символів для розділення імені тега та його властивостей. Це може знадобитися як для обходу XSS фільтрів, так і в тих випадках, де теги не фільтруються, але є обмеження на символи (наприклад, пробіл), тому потрібно використати інший символ для розділення імені тега та його властивостей з метою проведення XSS атаки. Нерідко стикаюся з такими сайтами, де фільтруються деякі символи.

Приклад XSS коду, де можуть знадобитися такі символи:

<img src='1' onerror=alert(document.cookie)>

Між назвою тега “img” і властивістю “src” повинен стояти пробіл. Але якщо цей символ заборонений (в конкретному веб додатку), то потрібно використати інші.

В той день я розробив спеціальну програму для перевірки з якими символами-роздільниками працює виконання скриптів в тегах. За допомогою цієї програми я згенерував html-сторінку для перевірки 256-символів ASCII в якості роздільників. Тоді я перевірив це на своєму браузері Mozilla 1.7.x. І ось через п’ять років, на початку цього місяця, я знайшов цю програму і вирішив перевірити на ній усі наявні в мене браузери (Firefox, IE, Chrome та Opera). Результати перевірки пропоную вашій увазі.

Зазначу, що в зв’язку зі змінами в коді Firefox (які я виявив пару років тому), код який працював в Mozilla та Firefox 3.0.х, вже не працює в більш нових версіях Firefox (а також в Chrome та Opera). Тому код для тестування довелося змінити, щоб протестувати ці браузери. А в Firefox 10 і 15 взагалі не працював код з “img onerror”, тому для тестування нових версій Firefox я зробив тест з “img onload”.

Наступні символи можуть використовуватися в якості роздільників між іменем тега та його властивостями (це в десятковій системі):

Mozilla 1.7.x:

Символи: 0, 8, 9, 10, 13, 32, 34.

Mozilla Firefox 3.0.19, 3.5.19, 3.6.28:

Символи: 9, 10, 13, 32, 47.

В Mozilla Firefox 10.0.7 ESR, 15.0.1:

Символи: 9, 10, 12, 13, 32, 47.

Internet Explorer 6, 7, 8:

Символи: 9, 10, 11, 12, 13, 32, 47.

Chrome 1.0.154.48:

Символи: 9, 10, 11, 12, 13, 32.

Opera 10.62:

Символи: 9, 10, 12, 13, 32, 47.

Mobile Safari 6.0.1, 8.4.1

Символи: 9, 10, 12, 13, 32, 47.

Також я розмістив дану програму в розділі Обхід XSS фільтрів, де ви можете перевірити ваш браузер.

Виявлені численні уразливості в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8, 9, 10 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Windows 8, Windows 2012 Server.

Витік інформації, численні уразливості use-after-free, пошкодження пам’яті в VML.

• Microsoft Security Bulletin MS13-009 - Critical Cumulative Security Update for Internet Explorer (2792100) (деталі)
• Microsoft Security Bulletin MS13-010 - Critical Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2797052) (деталі)

В даній добірці експлоіти в веб додатках:

• Jenkins Script-Console Java Execution Vulnerability (деталі)
• Java Applet AverageRangeStatisticImpl Remote Code Execution (деталі)
• Java Applet Method Handle Remote Code Execution Vulnerability (деталі)
• SonicWALL GMS 6 Arbitrary File Upload Vulnerability (деталі)
• Opera SVG Use After Free Vulnerability (деталі)

14.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://forum.ua - сайті банка Форум (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на alfabank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка Форум. Всього 109 уразливостей в системи IFOBS.

https://ifobs.forum.ua/ifobsClient/

Дані уразливості досі не виправлені.

Виявлені уразливості безпеки в Microsoft SharePoint Server і Office Web Apps. Це уразливості в Word, що також стосуються серверних додатків Microsoft, які використовують вразливі компоненти.

Уразливі продукти: Microsoft Office 2003, Office 2007, Office 2010, SharePoint Server 2010, Word Viewer, Office Web Apps 2010.

Пошкодження пам’яті, використання після звільнення.

• Microsoft Security Bulletin MS12-064 - Critical Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2742319) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.starasinyava-rda.gov.ua (хакером SanFour25) - 04.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.poltav-oblosvita.gov.ua (хакером Dr.SHA6H) - 13.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://grad.gov.ua (хакером DaiLexX) - 27.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://forum.grad.gov.ua (хакером DaiLexX) - 27.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kievgenplan.grad.gov.ua (хакером DaiLexX) - 27.11.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://new.vn.ua (хакером SanFour25) - 04.11.2012, зараз сайт вже виправлений адмінами
• http://aelita-dates.com (хакером SANAL ORDU) - 17.08.2012, зараз сайт вже виправлений адмінами
• http://sevastopolcc.org.ua (хакером Napster)
• http://supercomputers.kiev.ua (хакером Badi)
• http://bannex.com.ua (хакером Badi) - 28.01.2013, зараз сайт вже виправлений адмінами