Websecurity - Веб безпека

20.09.2010

Ще в березні, 13.03.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості на хакерському сайті http://www.hackerscenter.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні Insufficient Anti-automation та Abuse of Functionality уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.03.2011

Insufficient Anti-automation:

http://www.hackerscenter.com/index.php?
/component/option,com_mailto/link,1/tmpl,component/

На даній сторінці немає захисту від автоматизованих запитів (капчі). В системі використовується таймаут для захисту, але це легко обходиться.

Abuse of Functionality:

Можлива розсилка спаму на довільні емайли (можна підмінити всі важливі поля, а також можна підмінити URL).

XSS (при обході PHPIDS):

POST запит на сторінці http://www.hackerscenter.com/index.php?
/component/option,com_mailto/link,1/tmpl,component/
" style="xss:expression(alert(document.cookie))В полях: E-mail to, Sender, Your E-mail, Subject.

Дані уразливості досі не виправлені.

Минулої осені, 30.10.2010 та в деякі інші дні, відбувся масовий взлом сайтів на сервері Besthosting. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Besthosting. Взлом відбувся після згаданого масового взлому сайтів на сервері Garant-Park-Telecom.

Всього було взломано 772 сайти на сервері Besthosting (IP 195.248.234.31). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.difku.gov.ua.

Зазначені сайти були взломані 30 жовтня 2010 року та в деякі інші дні. Дефейси 771 сайту проведено хакерами з 1923Turk і 1 сайту хакерами з -wht-.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

В даній добірці уразливості в веб додатках:

• Hewlett-Packard OpenView NNM webappmon.exe execvp_nc Remote Code Execution Vulnerability (деталі)
• HP OpenView Network Node Manager “ov.dll” Buffer Overflow Vulnerability (деталі)
• Stored XSS vulnerability in Webmedia Explorer (деталі)
• XSS vulnerability in Kandidat CMS (деталі)
• HP OpenView Network Node Manager “nnmrptconfig.exe” Buffer Overflow (деталі)
• HP OpenView Network Node Manager (OV NNM) Running on Windows, Remote Execution of Arbitrary Code (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
• XSS vulnerability in Kandidat CMS (деталі)
• XSS vulnerability in Kandidat CMS (деталі)
• XSS vulnerability in MemHT Portal (деталі)

24.01.2011

У листопаді, 05.11.2010, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation уразливості в системі MC Content Manager (це українська комерційна CMS). Які я виявив на сайті br-ua.com та інших сайтах на даному движку. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MC Content Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

22.03.2011

XSS:

Уразливості на сторінках реєстрації та відновлення паролю.

MC Content Manager XSS.html

MC Content Manager XSS2.html

MC Content Manager XSS3.html

Abuse of Functionality:

http://site/users/register

http://site/users/remind

На сторінках реєстрації та відновлення паролю можна визначати емайли користувачів (що є логінами).

Insufficient Anti-automation:

http://site/users/register

http://site/users/remind

Хоча капчі використовуються на даних сторінках, але для визначення емайлів (логінів) користувачів не потрібно вводити коректну капчу.

Уразливі потенційно всі версії MC Content Manager (MC Content Manager v.10.1.1 та попередні версії).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах GRAND Flash Album Gallery, Cool Video Gallery та Inline Gallery. Для котрих з’явилися експлоіти. GRAND Flash Album Gallery - це плагін для створення фото галерей, Cool Video Gallery - це плагін для створення відео галерей, Inline Gallery - це ще один плагін для створення фото галерей.

• SQL Injection in GRAND Flash Album Gallery wordpress plugin (деталі)
• Path disclosure in Cool Video Gallery wordpress plugin (деталі)
• XSS in Inline Gallery wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://bestofnet.com.ua - інфекція була виявлена 21.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://facebooklogin.io.ua - інфекція була виявлена 16.02.2011. Зараз сайт входить до переліку підозрілих.
• http://mixon.ua - інфекція була виявлена 11.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://dominanta-center.com.ua - інфекція була виявлена 26.02.2011. Зараз сайт входить до переліку підозрілих.
• http://radiorocks.kiev.ua - інфекція була виявлена 20.03.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти facebooklogin.io.ua та radiorocks.kiev.ua також хостить в себе Укртелеком.

Виявлена можливість проведення DoS атаки проти бібліотеки libzip та PHP.

Уразливі продукти: libzip 0.9, PHP 5.3.

Звертання по нульовому вказівнику у функції _zip_name_locate.

• libzip 0.9.3 _zip_name_locate NULL Pointer Dereference (incl PHP 5.3.5) (деталі)

03.09.2010

У квітні, 14.04.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.entel.kiev.ua (це українська секюріті компанія). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.03.2011

XSS:

• alert(document.cookie)
• цікавий
• html включення

Insufficient Anti-automation:

http://www.entel.kiev.ua/ru/index.php?r=43

http://www.entel.kiev.ua/ru/getpassw.php

В даних формах немає захисту від автоматизованих запитів (капчі).

Дані уразливості, як і багато інших, досі не виправлені.

Ще 06.02.2008 я виявив CSRF уразливість в Mozilla та Firefox. Дану атаку я назвав Prefetching CSRF, тому що CSRF-атака відбувається через функцію префетчінгу. Це вбудована CSRF уразливість, бо використовується вбудований функціонал браузера.

Функцію префетчінга я використовував ще з березня 2003, як почав користуватися Мозілою, але лише в лютому 2008 року я звернув увагу на можливість використання функції префетчінга для проведення CSRF атак (і з тих пір більше її не використовую).

По замовчуванню в Мозілі та Феєрфоксі опція префетчінга увімкнена. Що дозволяє проводити дану атаку на всіх користувачів Mozilla, Firefox та інших браузерів на движку Gecko.

Атаку можна провести через теги link або meta, або через HTTP заголовок Link, в яких задається relation тип next або prefetch.

Через теги:

<link rel=”prefetch” href=”http://site/script_to_attack”>

<meta http-equiv=”Link” content=”<http://site/script_to_attack>; rel=prefetch”>

Через HTTP заголовок:

Link: <http://site/script_to_attack>; rel=prefetch

Для атаки потрібно розмістити необхідні html-теги на сайті (або додати необхідний заголовок до скрипта), що може бути зроблено через відповідні уразливості, або додано нападником на власному сайті. Після чого потрібно заманити жертву на відповідну сторінку.

Дана методика CSRF-атак стане в нагоді, коли інші методи недоступні. Зокрема коли користувач браузера відключить зображення, скрипти, плагіни, frame/iframe та css, тобто всі можливі варіанти (на його думку) для проведення CSRF-атак, все рівно можна буде провести CSRF-атаку через функцію префетчінга.

До того ж даний метод може бути використаний для обходу систем захисту від CSRF. Зокрема розширення NoScript від Firefox, яке з 2007 року також має вбудований захист від CSRF-атак. Використовуючи функцію префетчінга NoScript легко обходиться.

При цьому завдяки можливості використовувати заголовки сервера для префетчінга можна проводити приховані атаки. Тому що інструкція браузеру зробити CSRF-атаку буде знаходитися не в тілі веб сторінки, а в HTTP заголовку, тому звичайний користувач не зможе легко виявити подібну атаку (джерело і напрям атаки). Так само як не зможуть її виявити і секюріті програми, що аналізують лише код веб сторінок.

Для захисту від даної атаки потрібно відключити префетчінг в браузері. В старій Mozilla це можна було зробити через меню (в опціях), але в Firefox ще з самих перших версій дану можливість з меню (з опцій) прибрали. Тому потрібно задати налаштування просунутим методом (який працює в усіх браузерах на движку Gecko). Щоб відключити цей функціонал, в about:config в network.prefetch-next вкажіть false.

Атака працює лише в Mozilla та Firefox (та інших браузерах на движку Gecko, що має функцію префетчінга). В браузерах Internet Explorer, Opera та Chrome це не працює. Вразливі всі версії Mozilla та Mozilla Firefox (в тому числі Firefox 3.x та бета версії 4.0).

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Source code virus
• Virus hoax
• Vulnerability (computing)
• Vulnerability database
• Webattacker