Websecurity - Веб безпека

Ще 11.07.2007 я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://map.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на meta.ua.

XSS:

• alert(document.cookie)
• цікавий
• html включення

IAA:

В контактній формі немає захисту від автоматизованих запитів (капчі). Атака відбувається через GET або POST запит:

http://map.meta.ua/post_bug.php?err_type=map&site=isMeta&err_descr=test

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у липні 2007 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

Торкнуся теми інформування про витоки інформації, що сталися внаслідок секюріті інцидентів, таких як взлом сайта, проникнення в СУБД, на комп’ютери в LAN, тощо. Зокрема це стосується різних компаній, що мають клієнтську базу і які мали б інформувати своїх клієнтів про такі випадки.

За звичай про витоки інформації (особливо клієнтської) компанії особливо не розголошують, ні публічно, ні клієнтів не інформують. Зокрема це стосується України, на заході такі випадки іноді мають місце, але вони нечисленні - набагато більше випадків приховуються, ніж стають публічними. В тому числі це стосується таких компаній як домен і хостер провайдери, приклади випадків з деякими з них я наведу далі.

Іноді компанії, зокрема ті ж хостери, повідомляють своїх клієнтів, що їм змінили паролі, але нічого більше не згадуючи. Або ж додаючи, що цю зміну вони зробили за для безпеки своїх користувачів - такі вони компанії, що дуже піклуються про безпеку власних користувачів (при цьому маючи численні дірки на власних сайтах).

Нещодавно я писав про новий закон Євросоюзу, що повинен буде змусити компанії в ЄС повідомляти про взлом протягом 24 годин. Як приймуть цей закон, то в країнах ЄС компаніям доведеться вже не приховувати інциденти (чи зовсів не сповіщати, чи “не уточнювати”, що саме сталося), а оперативно інформувати своїх клієнтів, при цьому чітко вказуючи, що мав місце саме взлом (чи інший витік інформації). А раз клієнтів проінформують, то і в ЗМІ ця інформація з’явиться. Колись ця практика дійде й до України.

В цій же новині я згадував про інцидент з DreamHost - цього хостера взломали і вони публічно сповістили про це своїх клієнтів. Яких у компанії багато - на хостінгу DreamHost розміщується близько 1,22 млн. доменів. Подібних кроків від провайдерів побачиш не часто. Приведу вам приклад з українських реалій.

Мені доводилося отримувати листи про зміну пароля на сайтах, якими я користуюся, адміни яких робили вигляд, що турбуються про безпеку, тому змінили пароль. Хоча при цьому мають дірявий сайт, бо на його безпеку вони забивають, і зміна пароля користувачам - це найлегший і безкоштовний спосіб “зробити вигляд”.

Наприклад, 30.10.2008 домен провайдер Imena.ua, послугами якого я користуюся для своїх сайтів ще з 2003 року, вислав сповіщення про зміну пароля в адмінку. Пояснювалося це турботою про безпеку. Жодних заяв про взломи чи витоки інформації не було, хоча це перше, що напрошується в якості причини. І якби це в них була така практика - щомісяця змінуювати паролі - то це було б зрозуміло, але це був перший випадок за 5 років і за наступні 3,5 років більше таких змін не було. Й таких “тихих” змін паролів, без жодних заяв про взломи, серед україньских компаній я гадаю відбується чимало.

Нещодавно, 31.01.2012, вийшов Mozilla Firefox 10. Нова версія браузера вийшла майже через півтора місяця після виходу Firefox 9.

Mozilla офіційно представила реліз веб-браузера Firefox 10.0. Реліз Firefox 11 очікується через 6 тижнів, у середині березня, а Firefox 12 вийде на початку травня. Крім того, також були випущені Firefox 3.6.26, Firefox 10 for Android, Seamonkey 2.7 і Thunderbird 10.0.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 10 усунуто 9 уразливостей. З яких 6 критичних уразливостей, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок, а також дві уразливості з високим ступенем небезпеки та одна з помірним.

• Релиз Firefox 10 и сопутствующих проектов Mozilla (деталі)

В даній добірці уразливості в веб додатках:

• Heap-based buffer overflow in libxml2, as used in Google Chrome before 16.0.912.75 (деталі)
• Redirection vulnerability in MBoard (деталі)
• Multiple XSS in GBook PHP guestbook (деталі)
• phpWebSite (userpage) Cross Site Scripting Vulnerabilities (деталі)
• dpconsulenze (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• Denial of service (out-of-bounds read) in libxml2, as used in Google Chrome before 16.0.912.63 (деталі)
• ECHO Creative Company (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• Muzedon (dettaglio.php?id) Remote SQL injection Vulnerability (деталі)
• netplanet (dettaglio.asp?id) Remote SQL injection Vulnerability (деталі)
• Exploit EChat Server <= v2.5 20110812 - Remote Buffer Overflow Exploit (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.uaan.gov.ua (хакерами з Ashiyane Digital Security Team) - 08.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.apb.mns.gov.ua (хакером k4L0ng666) - 22.10.2011 - взломаний державний сайт, на сайті все ще розміщений html файл хакера
• http://fish.com.ua (хакером isyanqar musqaral1)
• http://festival-shopping.com (хакером Dr-Angel) - 12.10.2011, на сайті все ще розміщений текстовий файл хакера
• http://www.holocaust-odessa.org (хакером Hmei7) - 12.10.2011, на сайті все ще розміщений файл хакера

Виявлене переповнення буфера в Suhoshin - секюріті розширенні PHP.

Уразливі версії: Suhoshin 0.9.

Переповнення буфера в коді прозорого шифрування кукі.

• Suhosin PHP Extension Transparent Cookie Encryption Stack Buffer Overflow (деталі)

В даній добірці уразливості в веб додатках:

• Multiple directory traversal vulnerabilities in OpenStack Nova (деталі)
• Chrome Web Solutions (details.php?cat_id) (listing_more.php?id) Remote SQL injection Vulnerability (деталі)
• Dow Group (dynamic.php?id) (sub.php?solutioncat_id) (news_desc.php?id) (product.php?id) Remote SQL injection Vulnerability (деталі)
• indiacon (selloffers.php?cid) Remote SQL injection Vulnerability (деталі)
• CobraScripts (selloffers.php?cid) Remote SQL injection Vulnerability (деталі)
• zFTPServer Suite 6.0.0.52 ‘rmdir’ Directory Traversal (деталі)
• Gopal Systems (products.php?cat_id) Remote SQL injection Vulnerability (деталі)
• cgcraft llc (info.php?id) (news_item.php?id) Remote SQL injection Vulnerability (деталі)
• Vegetav (news_item.php?id) Remote SQL injection Vulnerability (деталі)
• Elgg 1.7.9 <= | Multiple Cross Site Scripting Vulnerabilities (деталі)

10.12.2011

Продовжуючи тему уразливостей в D-Link DAP 1150, розповім вам про нові уразливості в даній точці доступу. У листопаді, 17.11.2011, я виявив Abuse of Functionality та Cross-Site Request Forgery уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router). Це третій advisory з серії записів про уразливості в продуктах D-Link. Попередні були про уразливості в DSL-500T ADSL Router та DAP 1150.

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

31.01.2012

Abuse of Functionality:

Логін адміна є фіксованим (це логін admin), його не можна змінити, тільки пароль. Що полегшує Brute Force атаку.

CSRF:

Весь функціонал адмінки вразливий до CSRF. Ось два приклади.

Зміна пароля адміна:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_config_action=3&res_config_id=69&res_struct_size=1&res_buf=password|

В розділі Wi-Fi / Common settings через CSRF можна включити/виключити Wi-Fi, а також змінити MBSSID та BSSID.

Наступний запит відключить Wi-Fi:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=39&res_struct_size=0&res_buf={%22Radio%22:false,%20%22mbssidNum%22:1,%20%22mbssidCur%22:1}

Дані уразливості досі не виправлені. D-Link не стала виправляти ці уразливості, так само як вони досі не виправили багато уразливостей в DSL-500T (с 2005 року).

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу записи на тему Man-In-The-Middle (MITM) атак. Торік я вже наводив статтю з Вікіпедії, в якій детально розповідається про даний клас атак.

В своєму записі Detecting MITM/Hacking Proxies Via SSL, RSnake розповідає про визначення проксі для MITM атак через SSL.

В своєму записі Places to MITM, RSnake розповідає про місця для MITM атак.

В своєму записі MITM, SSL and Session Fixation, RSnake розповідає про проведення Session Fixation атаки через MITM при використанні SSL у браузері.

У січні місяці Microsoft випустила 7 патчів. Що значно менше ніж у грудні.

У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають 8 уразливостей в програмних продуктах компанії. З них один патч закриває дві критичні уразливості, а інші шість патчів - важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7 та 2008 R2. А також Microsoft Office, .NET Framework, Windows Media Player та бібліотеки Microsoft AntiXSS. Також була виправлена уразливість в ОС Windows, що стосується протоколів SSL/TLS, яка використовується для проведення BEAST-атаки.