Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про eксплоіт для Apache mod_isapi, пропоную нове відео на веб секюріті тематику. Цього разу відео про іконкового ніндзя. Рекомендую подивитися всім хто цікавиться цією темою.

“Icon Ninjas” Internet Security PSA

В даному відео ролику, розробленного на замовлення Гугла та інших компаній для Internet Security PSA, демонструється типовий процес атаки через Інтернет (така собі соціальна реклама). І закликається Інтернет-користувачів слідкувати за безпекою власного комп’ютера виконуючи стандартні і давно відомі кроки для захисту ПК.

Рекомендую подивитися дане відео для розуміння Інтернет загроз та засобів захисту проти них.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager i (NNMi), Local Unauthorized Read Access to Files, Remote Cross Site Scripting (XSS) (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows running Java, Remote Denial of Service (DoS) (деталі)
• ZOHO ManageEngine ADSelfService multiple vulnerabilities (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Information Disclosure (деталі)
• Kunena SQL Injection Vulnerability & Information Leakage (деталі)
• O2 classic router: persistent cross site scripting (XSS) and cross site request forgery (CSRF) (деталі)
• python-django security update (деталі)
• Linksys WRT54G - read router password from file placed on FTP (деталі)
• Path disclosure in Xaraya (деталі)

04.06.2011

У березні, 06.03.2010, я знайшов Information Leakage та Brute Force уразливості в JBoss Application Server (JBoss AS). Які я виявив на одному сайті Укртелекома. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

09.09.2011

Information Leakage:

http://site/status
http://site/status?full=true

Публічно доступна статистика роботи сервера з переліком всіх його сервісів.

Brute Force:

http://site/jmx-console/
http://site/web-console/
http://site/admin-console/ (починаючи з версії 5.1.0)
http://site/jbossws/ (зустрічаються сервери, де на даний ресурс пароль не встановлено)

Та інші приватні ресурси з BF уразливістю (що, як і вищенаведені ресурси, окрім Admin Console, сховані за Basic Authentication). Список всіх ресурсів конкретного сервера можна побачити на сторінці status?full=true.

Уразливі JBoss 3.2.7, JBoss 4.0.5.GA, JBoss 5.0 та попередні версії.

В статті Silverlight: защита и нападение розповідається про методи захисту та атаки на Silverlight додатки. Про безпеку при розміщенні Silverlight-додатків на веб сайтах.

В даній статті розглянуті наступні аспекти пов’язані з безпекою Silverlight:

• Модель безпеки Silverlight.
• Sandbox.
• Мережева взаємодія.
• Десктопні додатки Silverlight.
• Експлуатація уразливостей Silverlight-контролів.
• Як зробити Silverlight-контроли більш безпечними.

Флеш не єдина RIA платформа в Інтернеті, тому варто також звертати увагу на безпеку платформи Silverlight.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://poladm.gov.ua (хакером iskorpitx) - 22.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.ldu.mns.gov.ua (хакером ShadowNET) - 27.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.pokerpublic.net (хакером iskorpitx) - 28.07.2011, зараз сайт вже виправлений адмінами
• http://pro.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт вже виправлений адмінами
• http://au.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт вже виправлений адмінами

18.08.2011

Виявленні численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 10.3, AIR 2.7.

Пошкодження пам’яті, переповнення буфера, цілочисленні переповнення, міжсайтовий скриптінг.

• Adobe Flash Player ActionScript FileReference Buffer Overflow (деталі)
• Adobe Flash Player BitmapData.scroll Integer Overflow Remote Code Execution Vulnerability (деталі)
• Adobe Flash Player ActionScript Display Memory Corruption Vulnerability (деталі)
• Adobe Flash Player Integer Overflow (деталі)
• Security update available for Adobe Flash Player (деталі)

09.09.2011

Додаткова інформація.

• Adobe Flash Player MP4 sequenceParameterSetNALUnit Remote Code Execution Vulnerability (деталі)

22.11.2010

У серпні, 04.08.2010, я знайшов Cross-Site Scripting, Brute Force та Insufficient Anti-automation уразливості на сайті http://kshop.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на optik.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше.

08.09.2011

XSS:

http://kshop.com.ua/asearch/%22%3E%3Cimg%20src=1%20onerror=alert(1)%3E.html

Brute Force:

http://kshop.com.ua/login.html
http://kshop.com.ua/inc/login.php?login&login=1&passw=1

Insufficient Anti-automation:

http://kshop.com.ua/login.html
http://kshop.com.ua/inc/login.php?restore&remail=1

Даний сайт зараз не працює. Так і не виправивши уразливості, власники сайта вирішили прикрити свій онлайн магазин.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtostrada.net.ua - інфекція була виявлена 06.09.2011. Зараз сайт входить до переліку підозрілих.
• http://keynod32.at.ua - інфекція була виявлена 27.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://multiki.pp.ua - інфекція була виявлена 20.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://eurolab.ua - інфекція була виявлена 16.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://eurolab.kiev.ua - інфекція була виявлена 15.06.2011. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Cisco Network Access Control Guest Server System Software Authentication Bypass Vulnerability (деталі)
• CGI:IRC XSS issue (деталі)
• HP Operations for UNIX, Remote Cross Site Scripting (XSS), Unauthorized Access (деталі)
• SourceBans Version 1.4.7 XSS (деталі)
• THOMSON Router XSS (деталі)
• XSS vulnerability in RunCMS (деталі)
• Vulnerability in xmlsec1 (деталі)
• Path disclosure in RunCMS (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• SQL Injection in RunCMS (деталі)

В 2007 я виявив уразливості на images.google.com (в пошуці по зображенням), про які розповів під час проекту MOSEB, та www.google.com та translate.google.com (в онлайн перекладачі). І тоді Гугл проігнорував дані уразливості, а в 2009 році я виявив, що вони частково (втихаря) виправили дірку в пошуці по зображенням - шляхом обмеження адрес, на які можна зайти через даний функціонал. І я тоді одразу ж розробив метод обходу даного обмеження, про що зараз вам розповім.

Дані уразливості можна використати для проведення фішинг атак та для розповсюдження malware. І Гугл ввів обмеження, що при перегляді зображень можна зайти тільки на ті сторінки, що є в БД системи. Що на думку компанії мало би зупинити подібні атаки, бо їх пошуковець індексує лише нешкідливі сторінки, а якщо вказати URL сторінки, яка не є в базі, то виведеться повідомлення і користувачу необхідно буде клікнути по лінці.

Але це обмеження обходиться наступним чином. Можна взяти вже готову сторінку (з зображенням в даному випадку), яка проіндексована Гуглом - це може бути як сторінка на сайті нападника, яку він підготував для атаки і дав пошуковцю її проіндексувати, або це може бути сторінка взломаного сайта. Після чого, на цю сторінку розміщується malware чи інший контент (наприклад, для фішинга), і використовується робочий URL на images.google.com для проведення атаки.

Що цікаво, якщо розмістити на сторінці html-код для проведення фішинг атаки на користувачів Google, то бот скоріше за все цього не виявить. Тому можна буде не після індексації розміщувати цей код на сайт, а навіть до індексації - бот пошуковця спокійно проіндексує такі сторінки.

Аналогічний метод може використовуватися і на інших сайтах Гугла (так само й на сайтах інших пошукових компаній), де використовується обмеження по URL. Що тільки на заіндексовані сторінки, що є в БД системи, можна зайти при перегляді зображень, або може бути зроблений редирект (в редиректорі пошуковця).