Websecurity - Веб безпека

03.09.2010

У квітні, 14.04.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.entel.kiev.ua (це українська секюріті компанія). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.03.2011

XSS:

• alert(document.cookie)
• цікавий
• html включення

Insufficient Anti-automation:

http://www.entel.kiev.ua/ru/index.php?r=43

http://www.entel.kiev.ua/ru/getpassw.php

В даних формах немає захисту від автоматизованих запитів (капчі).

Дані уразливості, як і багато інших, досі не виправлені.

Ще 06.02.2008 я виявив CSRF уразливість в Mozilla та Firefox. Дану атаку я назвав Prefetching CSRF, тому що CSRF-атака відбувається через функцію префетчінгу. Це вбудована CSRF уразливість, бо використовується вбудований функціонал браузера.

Функцію префетчінга я використовував ще з березня 2003, як почав користуватися Мозілою, але лише в лютому 2008 року я звернув увагу на можливість використання функції префетчінга для проведення CSRF атак (і з тих пір більше її не використовую).

По замовчуванню в Мозілі та Феєрфоксі опція префетчінга увімкнена. Що дозволяє проводити дану атаку на всіх користувачів Mozilla, Firefox та інших браузерів на движку Gecko.

Атаку можна провести через теги link або meta, або через HTTP заголовок Link, в яких задається relation тип next або prefetch.

Через теги:

<link rel=”prefetch” href=”http://site/script_to_attack”>

<meta http-equiv=”Link” content=”<http://site/script_to_attack>; rel=prefetch”>

Через HTTP заголовок:

Link: <http://site/script_to_attack>; rel=prefetch

Для атаки потрібно розмістити необхідні html-теги на сайті (або додати необхідний заголовок до скрипта), що може бути зроблено через відповідні уразливості, або додано нападником на власному сайті. Після чого потрібно заманити жертву на відповідну сторінку.

Дана методика CSRF-атак стане в нагоді, коли інші методи недоступні. Зокрема коли користувач браузера відключить зображення, скрипти, плагіни, frame/iframe та css, тобто всі можливі варіанти (на його думку) для проведення CSRF-атак, все рівно можна буде провести CSRF-атаку через функцію префетчінга.

До того ж даний метод може бути використаний для обходу систем захисту від CSRF. Зокрема розширення NoScript від Firefox, яке з 2007 року також має вбудований захист від CSRF-атак. Використовуючи функцію префетчінга NoScript легко обходиться.

При цьому завдяки можливості використовувати заголовки сервера для префетчінга можна проводити приховані атаки. Тому що інструкція браузеру зробити CSRF-атаку буде знаходитися не в тілі веб сторінки, а в HTTP заголовку, тому звичайний користувач не зможе легко виявити подібну атаку (джерело і напрям атаки). Так само як не зможуть її виявити і секюріті програми, що аналізують лише код веб сторінок.

Для захисту від даної атаки потрібно відключити префетчінг в браузері. В старій Mozilla це можна було зробити через меню (в опціях), але в Firefox ще з самих перших версій дану можливість з меню (з опцій) прибрали. Тому потрібно задати налаштування просунутим методом (який працює в усіх браузерах на движку Gecko). Щоб відключити цей функціонал, в about:config в network.prefetch-next вкажіть false.

Атака працює лише в Mozilla та Firefox (та інших браузерах на движку Gecko, що має функцію префетчінга). В браузерах Internet Explorer, Opera та Chrome це не працює. Вразливі всі версії Mozilla та Mozilla Firefox (в тому числі Firefox 3.x та бета версії 4.0).

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Source code virus
• Virus hoax
• Vulnerability (computing)
• Vulnerability database
• Webattacker

За повідомленням hackzona.com.ua, Microsoft усунула уразливість в Malware Protection Engine.

В лютому Microsoft випустила патч для свого програмного механізму виявлення зловмисного програмного забезпечення. Раніше в Мережі з’явилися дані, в яких говорилося, що через наявність бага в програмному забезпеченні Microsoft Malware Protection Engine зловмисники могли отримувати несанкціонований доступ до системи.

Як видно з цього випадку з Malware Protection Engine від Майкрософт та багатьох інших випадків, про які я писав в новинах - секюріті програми та програмні механізми для забезпечення безпеки також бувають дірявими. Й власникам секюріті сайтів і програмних продуктів також варто слідкувути за їх безпекою.

За повідомленням habrahabr.ru, HSTS буде впроваджений у Firefox і Google Chrome.

Найближчим часом стандарт HTTP Strict Transport Security (HSTS) буде підтримуватися браузерами Firefox і Google Chrome. Ця специфікація забезпечує абсолютно гарантований спосіб комунікації клієнта із сервером тільки через захищений протокол.

Зараз HSTS підтримується Google Chrome починаючи з версії 4.0.211.0 та в останніх бета версіях Mozilla Firefox 4 (і буде пітримуватися в фінальній версії Firefox 4). А також в розширенні NoScript для Firefox починаючи з версії 1.9.8.9.

За повідомленням www.xakep.ru, власники SpyEye кинули виклик “етичним хакерам”.

Сайт “білих” хакерів, розроблений для того, щоб розпізнавати шкідливі домени, піддався нападу кіберзлочинців, що використовують трояни Zeus і SpyEye для DDoS-атаки.

В цьому місяці кіберзлочинці проводили атаки на швейцарський whіtehat сайт abuse.ch, що розпізнає шкідливих провайдерів і домени, що містять банківські трояни. Раніше я вже розповідав про антивірус для сайтів ZeuS Tracker від abuse.ch.

В даній добірці уразливості в веб додатках:

• nessusd_www_server.nbin cross site scripting and version disclosure (деталі)
• Authentication bypass in phpLiterAdmin (деталі)
• XSS in NinkoBB (деталі)
• Mac OS X WebDAV kernel extension local denial-of-service (деталі)
• SQL injection in DBHcms (деталі)
• Spring Security bypass of security constraints (деталі)
• K-Meleon for windows about:neterror Stack Overflow DoS (деталі)
• Joomla 1.5.21 | Potential SQL Injection Flaws (деталі)
• ‘WSN Links’ SQL Injection Vulnerability (деталі)
• Quick Easy FTP Server USER command Vulnerability (деталі)

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Blocking Alert, RSnake розповідає про блокування alert-боксів, що використовуються при тестуванні XSS уразливостей. Про те, що це не є правильним підходом і про методику, як це обмеження обійти.

Сам багато разів стикався з такими випадками, коли блокувалася функція alert (чи інші функції), при цьому XSS уразливість залишалася і атаку можна було провести через інший вектор. Тому XSS уразливості потрібно виправляти якісно, не блокуючи лише якісь окремі фрази. До речі, подібним “страждають” і WAF, які також обходяться за рахунок використання інших векторів атак .

В своєму записі Why HttpOnly won’t protect you, PDP ще в 2007 році розповів про те, чому HttpOnly кукіси не врятують від XSS атак. Технологія HttpOnly для захисту сесійних кукісів має обмежені можливості - вона захищає лише від викрадення сесійних кукісів, але не від XSS атак взагалі (а дані атаки не обмежуються лише викраденням кукісів).

Про що я багато років нагадую всім тим адмінам і веб девелоперам, які замість виправлення XSS, лише виправляють один з векторів атаки (за допомогою HttpOnly чи інших методів). А XSS уразливості потрібно виправляти якісно.

В своєму записі Micro PHP LFI Backdoor, RSnake розповідає про компактний LFI бекдор. Та про нестандартні методи проведення LFI атак (про деякі з них я вже розповідав, а про інші розповім з часом).

В цьому місяці, 05.03.2011, відбувся масовий взлом сайтів на сервері Realon Service. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Realon Service. Взлом відбувся після згаданого масового взлому сайтів на сервері Faust.

Всього було взломано 173 сайти на сервері Realon Service (IP 194.54.81.150). Це наступні сайти: dotar.kr.ua, alau.com.ua, alma-taro.ru, andysoftware.ru, asoftware.org.ua, avantes.net, badapps.ru, akwatoria.com, aloha.kiev.ua, 2236161.kiev.ua, art-web.net.ua, 24diplom.com, agrobudtrade.com.ua, amwaymagazin.com.ua, avto-remont.org.ua, buller.kiev.ua, board.canis-club.org, baratameds.com, book-auto.com, boombaster.com, bmfiles.com, canis-club.org, civilcepro.gov.ua, cleverrhythms.kiev.ua, cinemax5d.com, china-on-sale.com, confiskat.in.ua, coalition.mk.ua, dimicandum.com.ua, delice.mk.ua, divainternational.ch, dashaakulova.com, comfortline.kiev.ua, dokumentik.com, diplomrf.com, dives-group.ru, edu-ukraine.com, drugpreguntas.com, el-help.info, elitediscount.net, enoflex.com, este-line.com.ua, familycounseling-odessa.org, fcpolyana.com, eurostyle.net.ua, fci-tech.com, eyvazov-md.com, garant-realty.com.ua, fordodessa.com, evfreesm.com, findbransonperry.com, estet-taxi.com, gek.od.ua, gardpro.com.ua, feyeriya.com, galocamera.co.ua, garmin.mk.ua, ingi.com.ua, hostingmaks.mk.ua, gilles.in, ifnmu.com.ua, interstroy.com.ua, interglobus.com.ua, iqtravel.com.ua, ivestland.ru, imvest.com.ua, kawa4ay.com.ua, kind-heart.info, jdissa.com, karamelka.com.ua, jeans-optom.com.ua, klondaik-engineering.com, izmailtv.com, korea-san.com.ua, knauf.ivestland.ru, kupalnik.mk.ua, kvartiravip.net.ua, l-tour.dn.ua, kulkoff.com, lasante.od.ua, lcc-izmail.org, mamasale.com.ua, liya.net.ua, lider-mebeli.com, mgroup.org.ua, melarhim.com, mir-remonta.kiev.ua, mlm4you.ru, lipowl.com, mlmcompany.ru, mobilife.com.ua, mobilacs.org.ua, moybb.com.ua, my4erdak.com, newfxgames.com, munten.ru, oemoil.net, na2se4ka.com, nikomramor.com, ochakovsea.kiev.ua, oknaport.com, mylifestyle.com.ua, nikofilm.com.ua, one-shot.com.ua, pellets.mk.ua, perlyna.lviv.ua, oniks-pf.com.ua, panacey.com.ua, ortolutsk.com, pellets.biz.ua, otsyideti.org, partner-business.com.ua, predictions-fate.com, polelya.com.ua, prolisok.kiev.ua, pri4al.com, saltroom.com.ua, satava-trans.com.ua, romashka.mk.ua, vanilla-man.com, soblazn.od.ua, shkola-slova.com.ua, thermomix.mk.ua, speleocamera.com.ua, sociolab.net, rmesenv.com, racingstream.net, tkachenkoalex.net, veneda.com.ua, spbdiplom.com, profi-kursi.com, speleocamera.kiev.ua, tneu.com.ua, speleocamera.co.ua, respect.mk.ua, salsa-dance.com.ua, smgzone.com, ruseries.com, science-house.odessa.ua, topseries.net, saltlamp.org.ua, shalemonblan.com.ua, toy-dom.com, scorini.com, shock-anti.com, saki-crimea.com.ua, shop.prodecoupage.com, sticker-online.net, stroyremont.in.ua, tvoymalysh.in.ua, scorini.com.ua, terazoid.com.ua, talk.mk.ua, skazka.mk.ua, sutrakiev.com.ua, prospekt-realty.com, silversphinx.com.ua, tokio.com.ua, promizol.mk.ua, sidecarmx.com.ua, rfdiplom.com, remont-pro.com.ua, rfdocument.com, safedisk.od.ua, sitecheckup.net, radiostanciya.com, weles.com.ua, webomarket.mk.ua, xtremeartclub.net, vetka.com.ua, wellspa.com.ua, weddinggallery.com.ua, wellness-spa.com.ua. Серед них український державний сайт civilcepro.gov.ua.

Всі зазначені сайти були взломані 5 березня 2011 року. Дефейси 173 сайтів проведено хакерами з RBH-Crew.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

20.01.2011

У жовтні, 31.10.2010, я знайшов Local File Inclusion, Insufficient Anti-automation, Cross-Site Scripting та Full path disclosure уразливості в W-Agora (це система веб публікації, тобто по суті CMS). Які я виявив на різних сайтах, що використовують дану систему. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в W-Agora.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

18.03.2011

Local File Inclusion:

http://site/register.php?bn=1 (в папці conf)

http://site/register.php?bn=..\1 (в будь-які папці - тільки на Windows-серверах)

Local File Inclusion:

Дана уразливість працює в 4.0, але атака в Windows не працює в 4.2.1.

http://site/rss.php3?site=1 (в папці conf)

http://site/rss.php3?site=\..\1 (в будь-які папці - тільки на Windows-серверах)

Insufficient Anti-automation:

http://site/register.php?site=support

В формі немає захисту від автоматизованих запитів (капчі).

XSS:

http://site/register.php?bn=%3Cbody%20onload=alert(document.cookie)%3E

XSS:

Дана уразливість працює в 4.0, але не працює в 4.2.1.

http://site/rss.php3?site=%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure:

http://site/rss.php?bn=1

Уразливі W-Agora 4.2.1 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах PhotoSmash Galleries та 1 Flash Gallery. Для котрих з’явилися експлоіти. PhotoSmash Galleries - це плагін для стоворення фото галерей, 1 Flash Gallery - це ще один плагін для стоворення фото галерей.

• XSS in PhotoSmash wordpress plugin (деталі)
• XSS in 1 Flash Gallery wordpress plugin (деталі)
• SQL Injection in 1 Flash Gallery wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про діряві сайти McAfee, пропоную нове відео на веб секюріті тематику. Цього разу відео про Google як загрозу вашій приватності. Рекомендую подивитися всім хто цікавиться цією темою.

Google’s Part In Growing Threats To Your Privacy

Подібно до відео про ризики використання Gmail та Chrome від Google, де розповідалося про ризики приватності, що виникають при використанні Gmail та Chrome від Google, в даному відео розповідається про ризики використання пошуковця Гугла та браузера Chrome, як і взагалі всіх веб сервісів даної компанії. Це запис сюжету, що був показаний в новинах на телебаченні в США.

Про ризики для приватності для Інтернет користувачів, що йдуть від компанії Google, говориться вже багато років. І регулярно виникають різні заяви, як незалежних громадськіх організацій, так і деяких компаній, що займаються вивчення приватності, а також подібні заяви були від представників ЄС, що звинувачують Гугл у створенні ризиків приватності й занадто активному збиранні інформації про користувачів їхніх сервісів та програмних продуктів. А також в сервісі Safe Browsing, з яким працює не тільки Chrome, але й інші браузери, зокрема Firefox.

Це чергова заява Consumerwatchdog стосовно підходів Гугла . Рекомендую подивитися дане відео для розуміння ризиків приватності при використанні веб сервісів, зокрема сервісів Гугла.