Websecurity - Веб безпека

Виявлені численні уразливості безпеки в Microsoft .Net Framework та Silverlight.

Уразливі продукти: Microsoft .Net Framework та Silverlight на Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Переповнення індексу масиву, виконання коду через компілятор JIT.

• Microsoft Security Bulletin MS11-039 - Critical Vulnerability in .NET Framework and Microsoft Silverlight Could Allow Remote Code Execution (2514842) (деталі)
• Microsoft Security Bulletin MS11-044 - Critical Vulnerability in .NET Framework Could Allow Remote Code Execution (2538814) (деталі)

13.10.2010

У червні, 27.06.2010, я знайшов нову Cross-Site Scripting уразливість на сайті http://bigmir.net, обійшови їхній WAF (що я вже робив багато разів). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на dnevnik.bigmir.net.

Детальна інформація про уразливість з’явиться пізніше.

22.06.2011

XSS:

http://passport.bigmir.net/logout?url=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpOzwvc2NyaXB0Pg==

Дана уразливість вже виправлена. І як і в більшості випадків з Бігміром, зробили вони це втихаря (після мого повідомлення), не подякувавши мені. А варто не забувати дякувати людям. При цьому виправлений лише даний вектор атаки, але можливі інші вектори (при цьому потрібно буде обійти їхній WAF).

Зазначу, що в даному функціоналі є також Redirector уразливість, про яку я писав в 2008 році, і яка досі не виправлена.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

http://192.168.1.1/configuration/ports.html?120

При даному запиті відбувається рестарт модема.

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) через CSRF можлива зміна параметрів Bridge порта.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) через CSRF можлива зміна параметрів Bridge порта.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В даній серії статей про просунуті методи SQL Injection атак я розповім вам про різні цікави методи, що дозволять пришвидшити процес проведення SQL ін’єкцій та збільшити їх ефективність.

Зараз розповім вам про групування при SQL Injection. Групування - це відома процедура, що використовується при SQL запитах у веб додатках (а також при атаках на SQL Injection уразливості) для об’єднати в одному полі результуючих даних декілька полів.

Зокрема в MySQL групування відбувається за допомогою використання функцій concat та concat_ws. Це буває корисним при SQL ін’єкції, коли потрібно (для зручності чи при обмеженнях) вивести значення кількох полів в одному.

Окрім групування полів (щоб в одному полі одного запису виводилися значення декількох полів), є ще можливість групувати записи. Це робиться за допомогою функції group_concat.

Її синтаксис наступний: group_concat(table_name) або group_concat(table_name separator 0×3a). Детально про синтаксис ви можете дізнатися в документації MySQL.

Функція group_concat була додана в MySQL 4.1. Тому в більш старих версіях нею не вийде скористатися, але в версіях починаючи з 4.1 вона стане в нагоді.

Про дану функцію я дізнався торік (в 2010 році я виявив кілька нових цікавих методів, про які розповім в своїх статтях). За допомогою даного методу можна виводити в одному полі одного запису будь-яку кількість записів (в одне поле). Щоб не виводити їх по одному, а одразу декілька (або усі). А якщо скомбінувати перший і другий метод, то можна виводити будь-яку кількість полів будь-якої кількості записів в одному полі.

16.06.2011

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Скриптінг між додатками в обробнику mhtml, пошкодження пам’яті в VML, численні пошкодження пам’яті в IE, витік інформації.

• Microsoft Security Bulletin MS11-037 - Important Vulnerability in MHTML Could Allow Information Disclosure (2544893) (деталі)
• Microsoft Security Bulletin MS11-050 - Critical Cumulative Security Update for Internet Explorer (2530548) (деталі)
• Microsoft Security Bulletin MS11-052 - Critical Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2544521) (деталі)

21.06.2011

Додаткова інформація.

• Microsoft Internet Explorer Link Property Processing Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer vgx.dll imagedata Remote Code Execution Vulnerability (деталі)
• (Pwn2Own) Microsoft Internet Explorer Uninitialized Variable Information Leak Vulnerability (деталі)
• Microsoft Internet Explorer layout-grid-char style Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer selection.empty Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer DOM Modification Race Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer HTTP 302 Redirect Remote Code Execution Vulnerability (деталі)

02.08.2011

Додаткова інформація.

• Microsoft Internet Explorer ‘toStaticHTML’ HTML Sanitizing Information Disclosure (деталі)

В даній добірці уразливості в веб додатках:

• Multiple XSS injection vulnerabilities and a offsite redirection flaw within HP System Management Homepage (Insight Manager) (деталі)
• SQL injection in Hycus CMS (деталі)
• HP Insight Diagnostics Online Edition Running on Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
• SQL injection in Hycus CMS (деталі)
• XSS in Sybase Afaria (деталі)
• SQL injection in Hycus CMS (деталі)
• Security update for libxml2 (деталі)
• Path disclosure in GetSimple CMS (деталі)
• Citrix Access Gateway Command Injection Vulnerability (деталі)
• XSS vulnerability in Habari (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

При відправці GET або POST запитів в розділах Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) і Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) вібдувається довготривалий DoS модему. В моїх дослідженнях модем не працював до 16 годин (доки сам не перезавантажився). Єдине, що в даному випадку можна зробити - це вручну перезавантажити модем (шляхом його виключення-включення).

http://192.168.1.1/configuration/ports.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24
http://192.168.1.1/configuration/ports_advanced.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24

Дані атаки спрацюють при дефолтній конфігурації модема (коли він в режимі bridge) і не спрацюють коли конфігурація змінена (коли він в режимі router).

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mns.gov.ua - інфікований державний сайт, інфекція була виявлена 10.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://ezoloto.com.ua - інфекція була виявлена 13.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://aprel.blox.ua - інфекція була виявлена 12.06.2011. Зараз сайт входить до переліку підозрілих.
• http://archive.org.ua - інфекція була виявлена 20.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://sova.com.ua - інфекція була виявлена 04.06.2011. Зараз сайт не входить до переліку підозрілих.

Виявлене пошкодження пам’яті в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 10.3.

Дана memory corruption уразливість може призвести до вибивання та до потенційного виконання довільного коду. Про виявлену мною DoS в Flash плагіні я вже писав раніше.

• Security update available for Adobe Flash Player (деталі)

21.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://interavto.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.06.2011

SQL Injection:

http://interavto.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Зараз сайт не працює. Замість виправлення дірок (цієї та багатьох інших, що є в движку сайта), адміни вирішили закрити його.