Websecurity - Веб безпека

У січні, 07.01.2012, я знайшов нові уразливості на сайті http://www.cisco.com. Це Content Spoofing та Cross-Site Scripting уразливості і вони мають місце в JW Player та в JW Player Pro, про які я писав раніше. Мало того, що Cisco роками тримає ці дірки в себе на сайті та ще й пройшло чимало часу після того, як я оприлюднив дірки в JW Player (а пізніше й в JW Player Pro), але вони до сих пір не виправили їх в себе на сайті.

Раніше я вже писав про уразливості на www.cisco.com.

Content Spoofing:

http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?config=http://site/1.xml
http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?file=http://site/1.flv&image=http://site/1.jpg
http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?abouttext=Player&aboutlink=http://site

При підключенні плагіна captions також можна проводити CS атаку через параметр captions.file.

XSS:

• alert(document.cookie)
• цікавий

У липні, 06.07.2012, відбувся масовий взлом сайтів на сервері Hetzner Online AG. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер німецької компанії Hetzner Online AG, на якому хостилися українські сайти. Взлом відбулася після згаданого масового взлому сайтів на сервері Adamant.

Всього було взломано 24 сайти на сервері компанії Hetzner Online (IP 176.9.90.197). Це наступні сайти: kprda.arsana.com.ua, catalog.novini.net.ua, dopros.arsana.com.ua, eljuris.arsana.com.ua, iren.arsana.com.ua, lawonline.arsana.com.ua, lesya.arsana.com.ua, stezhkami.arsana.com.ua, all.arsana.com.ua, portatemporis.com, daniloviko.com.ua, lesiapylypchuk.com.ua, nachasi.com.ua, novini.net.ua, polimet.km.ua, vip-info.com.ua, zabava-tour.com, kprda.gov.ua, portatempus.com, arsana.com.ua, fishka-shop.com, wellkamianets.com.ua, eljuris.com.ua, pererojdenie.info. Серед них український державний сайт kprda.gov.ua. Це черговий державний сайт, що хоститься закордоном.

Всі 24 сайти були взломані хакером nO lOv3 на протязі одного дня.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх 24 сайтів, то вони могли бути атаковані хакером nO lOv3 через взлом серверу хостінг провайдера. Коли через взлом одного сайта, через уразливості в програмному забезпеченні самого сервера, атаковані інші сайти на даному сервері. Або вони могли бути атаковані через взлом одного сайта та подальшого взлому всіх сайтів в акаунті.

В презентації Web Application Security Tutorial, Neil Matatall наводить навчальний посібник з безпеки веб додатків. Він розповідає про ризики уразливостей у веб додатках та про необхідність слідкувати за їх безпекою. Подібні посібники сприяють навчанню веб розробників та власників сайтів основам безпеки.

Виявлені численні уразливості безпеки в Apple Safari, WebKit, Google Chrome.

Уразливі продукти: Apple Safari 6.0, WebKit, Google Chrome 20.0.

Витік інформації, пошкодження пам’яті.

• APPLE-SA-2012-09-19-3 Safari 6.0.1 (деталі)

У вересні, 16.09.2012, коли я виявив, що Mozilla приховано виправила два вектори атаки через редиректори (зі статусом 302), про які я розповідав в 2009 році в своїх адвізорі та статті Cross-Site Scripting атаки через редиректори, я також звернув увагу, що деякі XSS атаки працюють і при інших статусах. Тому я вирішив перевірити різні браузери на предмет XSS атак через редиректори з кодами статусу 301 і 303. Раніше я дослідив тільки refresh-редиректори і 302 location-редиректори (а 301 редиректори дослідив лише в атаці №3 через data: URI), а зараз вирішив доповнити це дослідження новою інформацією.

І я виявив Cross-Site Scripting уразливості в браузерах Mozilla Firefox та Opera. Атака відбувається через заголовок location при статусах 301 і 303. Браузери IE6, IE7, IE8 та Chrome невразливі. Атаки через інші 30x статуси не працюють.

Атака №1:

При запиті до скрипта на сайті:
http://site/script.php?param=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
Що поверне у відповіді 301 код:

HTTP/1.1 301 Moved Permanently
Location: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

Або поверне у відповіді 303 код:

HTTP/1.1 303 See other
Location: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

Атака працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 10.62 без доступу до кукісів.

Атака №2:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді 301 код:
HTTP/1.1 301 Moved Permanently
Location: javascript:alert(document.cookie)
Або поверне у відповіді 303 код:
HTTP/1.1 303 See other
Location: javascript:alert(document.cookie)

Атака працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів.

У вересні місяці Microsoft випустила 2 патчі. Що менше ніж у серпні.

У вересневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 2 бюлетені по безпеці. Що закривають 2 уразливості в програмних продуктах компанії (що значно менше ніж минулого місяця). Обидва патчі закривають некритичні уразливості - XSS дірки в серверних продуктах.

Але вже після вівторка патчів, Microsoft випустила кумулятивне виправлення для Internet Explorer. Тому двома патчами в цьому місяці не обійшлося.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Visual Studio Team Foundation Server, System Center Configuration Manager та Internet Explorer.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://connected.dn.ua - інфекція була виявлена 20.07.2012. Зараз сайт входить до переліку підозрілих.
• http://sanatoriitruskavca.com - інфекція була виявлена 27.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://olenchinkova.com - інфекція була виявлена 26.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://ukrwest.com.ua - інфекція була виявлена 04.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://ukrzahid.com.ua - інфекція була виявлена 01.07.2012. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Western Digital ShareSpace WEB GUI Sensitive Data Disclosure (деталі)
• Squiz CMS Directory Traversal (деталі)
• Moodle CMS stored XSS (деталі)
• SysAid Helpdesk blind SQL injection (деталі)
• Cross-site scripting vulnerability in Mono (деталі)
• SysAid Helpdesk stored XSS (деталі)
• apache struts2 remote code execute (деталі)
• XSS and Blind SQL Injection Vulnerabilities in Banana Dance CMS (деталі)
• IBM Edge Components Caching Proxy XSS Followup (деталі)
• XSS and SQL Injection Vulnerabilities in OrderSys (деталі)

17.07.2012

У червні, 29.06.2012, я знайшов Denial of Service та Cross-Site Scripting уразливості на сайті http://www.my-comfort.com.ua. Це сайт для клієнтів (”Програма комфорту”) онлайн магазину www.foxtrot.com.ua, про уразливості на якому я вже писав. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на fotos.ua.

Детальна інформація про уразливості з’явиться пізніше.

24.09.2012

DoS:

http://www.my-comfort.com.ua/img.aspx?size=10000&id=64904

XSS:

• alert(document.cookie)
• цікавий

На сайті використовується ASP.NET для захисту від XSS атак, який легко обходиться. XSS атака з використанням MouseOverJacking для обходу захисту від XSS в ASP.NET.

Дані уразливості досі не виправлені.

Існує такий плагін для WP як WordPress File Monitor, що являє собою монітор файлів.

Цей секюріті плагін подібний до плагінів WordPress Exploit Scanner та Belavir, про які я розповідав раніше. Він проводить перевірку цілісності файлів та сповіщає адміна при будь-яких додаваннях, видаленнях та змінах файлів. Повідомлення відправляються на емайл адміністратора, а також створюється алерт в адмінці. При цьому WordPress File Monitor може сканувати й інші файли, окрім файлів движка - в цьому він краще за вищезгадані плагіни.

Користувачі WP можуть користуватися цим плагіном для виявлення шелів та бекдорів на власних сайтах (після взлому, або якщо часто хакають, або для профілактики - про всяк випадок). Також його можна використати для виявлення розміщення шкідливого коду на сайті, але більш краще використати для цього веб антивіруси, які перевірять також і всі записи сайту (з БД). Для цього існують спеціальні плагіни для WP, про які я вже писав, та численні антивірусні системи, такі як Web Virus Detection System.