Websecurity - Веб безпека

13.09.2010

У квітні, 29.04.2010, я знайшов Cross-Site Scripting та Remote HTML Include уразливості на http://www.un.org - сайті Організації Об’єднаних Націй (ООН). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

23.04.2011

XSS (RXI):

• alert(document.cookie)
• редиректор

Remote HTML Include (RHI):

• редиректор

Дані уразливості досі не виправлені.

Подібно до уразливостей в багатьох темах для WordPress, Drupal та ExpressionEngine, також уразливими є багато тем та компонентів для Joomla.

У березні, 05.03.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в наступних темах та компонентах для Joomla: темі PBV MULTI VirtueMart Theme для компоненту VirtueMart, компоненті Registration, що є складовою Joomla, та компоненті Handy Photo Album.

Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в даних темах такі ж самі як і в раніше згаданих темах для WP, Drupal та ExpressionEngine. Тому що дані шаблоні містять TimThumb, про уразливості в якому я вже писав.

Тема PBV MULTI VirtueMart Theme для компоненту VirtueMart для Joomla:

Full path disclosure:

http://site/components/com_virtuemart/themes/pbv_multi/scripts/timthumb.php?src=http://

Уразлива до Full path disclosure, Abuse of Functionality та DoS. У випадку AoF та DoS доступ можливий лише до поточного і дозволених сайтів.

Компонент Registration, що є складовою Joomla:

XSS:

http://site/components/com_registration/script/timthumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Уразливий до XSS, Full path disclosure, Abuse of Functionality та DoS.

Компонент Handy Photo Album для Joomla:

XSS:

http://site/components/com_hpalbum/timthumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Уразливий до XSS, Full path disclosure, Abuse of Functionality та DoS.

Уразливі версії даних шаблонів та компонентів з TimThumb 1.24 та попередніми версіями. Зокрема уразливі PBV MULTI VirtueMart Theme 1.0.5 та попередні версії, Registration 1.0.0 та Handy Photo Album 1.0.1 та попередні версії. Окрім цих є ще багато інших вразливих шаблонів та компонентів для Joomla. Ім’я вразливого скрипта може бути timthumb.php або thumb.php.

Інформую вас про останні оновлення на сайті, що були зроблені в квітні.

Поповнив розділ Секюріті програми новим додатком - MustLive Uploader, що стане в нагоді при секюріті аудиті. Також заплановані інші оновлення та поповнення даного розділу.

Після останнього оновлення обох тестів з веб безпеки, нещодавно я оновив друге тестування, в якому ви можете перевірити рівень своїх хакерських знань. В даній версії додав 5 нових запитань.

Також повідомляю, що учора, 21.04.2011, виповнилося 12 років моєму першому сайту http://mlbpg.narod.ru!

З чим себе і вас поздоровляю . В зв’язку з цим можете послухати моїх нових композицій.

За повідомленням hackzona.com.ua, хакери вкрали конфіденційні дані у Barracuda Networks.

На початку квітня веб сайт розробника рішень з мережевої безпеки Barracuda Networks піддався хакерській атаці, яка привела до витоку конфіденційних даних партнерів і співробітників компанії.

Я вже писав про уразливості на www.barracudacentral.org - одному з сайтів компанії Barracuda Networks. Так що взлом іхнього сайта цілком передбачуваний.

За повідомленням www.xakep.ru, найбільші торгові сайти цілком відкриті для атак.

Фахівці в області комп’ютерних систем зареєстрували серйозні недоліки в програмному забезпеченні деяких найбільших торгових сайтів і показали, як вони можуть бути атаковані з метою одержання DVD, журналів в електронному вигляді й інших продуктів безкоштовно чи по сильно знижених цінах, що не були встановлені продавцями.

За останні 5 років я багато писав стосовно уризливостей на сайтах банків, онлайн магазинів та інших e-commerce сайтах та веб додатках для таких сайтів. Про що я регулярно публікую добірки про безпеку e-commerce сайтів в Уанеті.

За повідомленням hackzona.com.ua, хакери заразили більше 1,5 млн. сайтів.

Шкідлива програма, що маскується під антивірусне ПЗ (так звана scareware) заразила понад півтора мільйони сайтів у Всесвітній мережі і продовжує поширюватися. За даними Websense, цим вірусом також були заражені кілька сторінок одного з найбільших онлайнових музичних магазинів - Apple iTunes.

В даній добірці уразливості в веб додатках:

• HP MagCloud iPad App, Remote Unauthorized Access to Data (деталі)
• Cookie Auth Bypass in Hot Links SQL (деталі)
• URL and Title XSS in AxsLinks (деталі)
• HP Operations Agent Running on Windows, Local Elevation of Privileges and Remote Execution of Arbitrary Code (деталі)
• report.cgi SQL inj in Hot Links SQL (CGI version) (деталі)
• url XSS in Hot Links Lite (деталі)
• Multiple Vulnerabilities in Cisco Wireless LAN Controllers (деталі)
• sitename XSS in Hot Links Lite (деталі)
• Multiple XSS in MCG GuestBook (деталі)
• HP ProLiant G6 Lights-Out 100, Remote Management, Denial of Service (DoS) (деталі)

Відсутність захисту в логін формах, зокрема капчі, може призвести до різних атак. І не тільки до Brute Force атак (WASC-11), що є відомою уразливістю в формах аутентифікації, а також до багатьох інших атак направлених на інші уразливості сайта чи веб додатка. І я вже багато років зустрічаю можливості для подібних атак на різних сайтах і движках.

Якщо від Brute Force атак можна захищатися як за допомогою капчі, так й інших методів (обмеження доступу по IP чи блокування акаунту на деякий час), то у випадку інших уразливостей, коли відбуваються віддалені чи автоматизовані атаки, використання капчі є дуже актуальним.

А так як дуже рідко капча використовується в логін формах, то дана проблема є дуже поширеною в Інтернеті. На сайтах де немає уразливостей в адмінці чи акаунтах користувачів можна обійтися без капчі (наприклад, я не використовую в себе на сайті капчі в логін формі, бо для мене це не актуально), а ось для сайтів з внутрішніми уразливостями це дуже актуально. Мільйони веб сайтів, багато движків та різних пристроїв з веб інтерфейсом (таких як роутери, модеми та інші) зараз є вразливими до даних атак.

Відсутність захисту від автоматизованого (віддаленого) логіну, зокрема капчі, може бути використано:

• Для проведення Brute Force атак.
• Для проведення Login Enumeration атак - при наявності відповідних Abuse of Functionality уразливостей в логін формах, як в MyBB.
• Для проведення XSS атак - при наявності відповідних XSS уразливостей, як в MyBB.
• Для проведення Redirector атак - при наявності відповідних URL Redirector Abuse уразливостей, як в MyBB.
• Для проведення CSRF атак (для віддаленого логіну), в тому числі на різні девайси (зокрема на модеми). Про подібні атаки на адмінки ADSL модемів я розповім найближчим часом.
• Для проведення фішинг атак, коли викрадаються облікові дані користувача і одразу ж відбувається логін в його акаунт (наприклад, для викрадення грошей з рахунку). Про Insufficient Anti-automation уразливість в LiqPAY, що може бути використана для подібних атак, я вже розповідав.
• Для проведення SQL Injection атак, коли є звичайна SQLi або blind SQLi уразливість в акаунті користувача, і треба експлоіту залогінитися і дістати дані з БД. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
• Для проведення RCE атак, коли необхідна авторизація для віддаленого виконання команд. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
• Для проведення Arbitrary File Upload атак - через відповідні уразливості в акаунті користувача, як в WordPress. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
• Для проведення Abuse of Functionality атак - через різні AoF уразливості в акаунті користувача, наприклад тих, що дозволяють розсилати спам. Як в Drupal та в модулі в Print для Drupal.

При цьому потрібно, щоб капча була в логін формі одразу, а не з’являлася після невдалої спроби аутентифікації, як це має місце в MyBB. Що призводить до можливості проведення зазначених атак (як XSS і Redirector атак в MyBB), тому що аутентифікація при проведенні даних атак відбувається ще до появи капчі.

Так що при наявності будь-яких з наведених уразливостей (за виключенням Brute Force, яка може бути виправлена й іншими методами), капча в логін формі може знадобитися - чи як основний, чи як додатковий захист. Особливо якщо ті чи інші уразливості не можуть бути виправлені, як у випадку AoF, коли вони є важливим функціоналом сайта.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dmsu.gov.ua (хакером MCA-CRB) - 15.04.2011 - взломаний державний сайт
• http://дизайн-интерьер.com.ua (хакером L-H-G) - 31.03.2011, зараз сайт вже виправлений адмінами
• http://www.gaz24.info (хакером webi) - 13.03.2011, зараз сайт вже виправлений адмінами
• http://www.azoveko.com (хакером fouad11000) - 10.04.2011, зараз сайт вже виправлений адмінами
• http://www.mozart-pool.kiev.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS)

12.03.2011

У січні, 03.01.2011, я знайшов Information Leakage, Abuse of Functionality, Insufficient Anti-automation та Brute Force уразливості в форумному движку MyBB. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MyBB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

21.04.2011

Information Leakage:

Логіни є іменами користувачів на форумі (і відповідно на сторінках форума можна виявити логіни).

Abuse of Functionality:

В даних функціоналах можливе виявлення логінів - по id можна визначити всі логіни:

http://site/member.php?action=profile&uid=1

http://site/member.php?action=activate&uid=1

Abuse of Functionality:

http://site/member.php?action=login

Якщо вводити неправільний логін і пароль та правильний логін і неправильний пароль, то в другому випадку з’являється капча. Що дозволяє виявляти логіни (при цьому цей процес може бути автоматизованим, тому що не захищений капчею).

Insufficient Anti-automation:

http://site/member.php?action=activate&uid=1

http://site/member.php?action=lostpw

В даних функціоналах немає захисту від автоматизованих атак (капчі).

Brute Force:

В формі логіна використовується вразлива капча (http://site/member.php?action=login), яка з’являється після невдалої спроби аутентифікації.

Для обходу капчі використовується метод session reusing with constant captcha bypass method описаний в моєму проекті Month of Bugs in Captchas.

Уразливі MyBB 1.6.3 та попередні версії. В версіях MyBB 1.6.3 та 1.4.16, що вийшли 17.04.2011, розробники не виправили дані уразливості.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Universal Post Manager та WP-StarsRateBox. Для котрих з’явилися експлоіти. Universal Post Manager - це плагін для створення голосуваннь та багатьох інших функцій на сайті на WP, WP-StarsRateBox - це плагін для створення рейтингу сторінок.

• Multiple SQL Injection in Universal Post Manager wordpress plugin (деталі)
• SQL Injection in WP-StarsRateBox wordpress plugin (деталі)
• Multiple XSS in WP-StarsRateBox wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своїй презентації Securing Web Applications, Eric Lawrence з Microsoft розповідає про безпеку веб додатків. Про атаки на веб додатки і браузери та про методи їх убезпечення (зокрема про можливості IE8).