Websecurity - Веб безпека

10.12.2010

У липні, 25.07.2010, я знайшов Full path disclosure та Insufficient Anti-automation уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

15.02.2011

Full path disclosure:

При POST запиті до сторінки з формою з використанням кириличного символу, виводиться повідомлення про помилку, в якому виводиться повний шлях в системі.

Уразливості мають місце на сторінках: http://site/user/, http://site/user/1/edit, http://site/user/password, http://site/user/register, http://site/contact, http://site/user/1/contact. Інші сторінки, що містять форми, також можуть бути уразливими.

Експлоіт:

Drupal Full path disclosure.html

Як зазначили розробники Drupal, дані уразливості виникають через включення опції дебагінгу в адмінці. Тому для уникнення цих та інших FPD на сайті потрібно вимкнути цю опцію.

Insufficient Anti-automation:

В різних формах в Drupal використовується уразлива капча. Вразливий Captcha модуль, тому всі капча-плагіни також можуть бути вразливими. Для обходу капчі потрібно вказати коректне значення captcha_sid та одне і те саме значення капчі (captcha_response). Даний метод обходу капч описаний в мене в проекті Month of Bugs in Captchas. Атака можлива доки активне дане значення captcha_sid.

Уразливості мають місце на сторінках з формами: http://site/contact, http://site/user/1/contact, http://site/user/password та http://site/user/register. Інші форми, де використовується капча, також будуть уразливими.

Враховуючи, що Captcha модуль для Drupal є стороннім модулем, то Insufficient Anti-automation уразливість є як в Captcha модулі (обхід капчі), так і в самому Друпалі (відсутність капчі). В результаті ми маємо ситуацію “forever vulnerable”, коли стандартна інсталяція Drupal вразлива до IAA та Captcha модуль також вразливий до IAA (але Captcha модуль був вже виправлений торік, тому рекомендується оновити його до останньої версії).

Експлоіт:

Drupal CAPTCHA bypass.html

Уразливі Drupal 6.20 та попереднії версії (перевірено в Drupal 6.17). Уразливі версії Captcha модуля до 6.x-2.3 та 7.x-1.0.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах TagNinja, Enable Media Replace та WP Forum Server. Для котрих з’явилися експлоіти. TagNinja - це плагін для взаємодії з Facebook, Enable Media Replace - це плагін для заміни атачментів, WP Forum Server - це плагін для стоворення форуму.

• WordPress TagNinja 1.0 Cross Site Scripting (деталі)
• WordPress Enable Media Replace SQL Injection / Shell Upload (деталі)
• WP Forum Server 1.6.5 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://potok.ua - інфекція була виявлена 02.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://potok.in.ua - інфекція була виявлена 02.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://sudnijdenprishel.com - інфекція була виявлена 13.02.2011. Зараз сайт входить до переліку підозрілих.
• http://allit.dp.ua - інфекція була виявлена 04.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://email-marketing.com.ua - інфекція була виявлена 08.02.2011. Зараз сайт входить до переліку підозрілих.

Виявлені уразливості безпеки в СУБД IBM DB2.

Уразливі версії: IBM DB2 9.7.

Переповнення буфера і цілочислене переповнення в db2dasrrm.

• IBM DB2 db2dasrrm validateUser Remote Code Execution Vulnerability (деталі)
• IBM DB2 db2dasrrm receiveDASMessage Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Sourcefire Products Static Web SSL Keys Vulnerability (деталі)
• LFI / RCE vlunerability in Joomla Community Builder Enhenced (CBE) Component (деталі)
• OverLook Cross-site Scripting Vulnerability (деталі)
• XSS vulnerability in Expression CMS (деталі)
• Juniper Secure Access series (Juniper IVE) Cross-Site Scripting Vulnerability (деталі)
• Juniper Secure Access seriers (Juniper IVE) authenticated XSS & REDIRECTION (деталі)
• JS Calendar 1.5.1 Joomla Component Multiple Remote Vulnerabilities (деталі)
• Joomla! 1.5.20 <= Cross Site Scripting (XSS) Vulnerability (деталі)
• Collabtive Multiple Vulnerabilities (деталі)
• Dlink Di-604 router authenticated user ping tool Xss and DoS (деталі)

Продовжуючи розпочату традицію, після попереднього відео про eксплоіт для уразливості в Adobe Flash Player, пропоную нове відео на веб секюріті тематику. Цього разу відео про ризики використання Gmail та Chrome від Google. Рекомендую подивитися всім хто цікавиться цією темою.

Google’s Gmail and Chrome Pose Privacy Risks

В відео розповідається про ризики приватності, що виникають при використанні Gmail та Chrome від Google. Це запис сюжету, що був показаний в новинах на телебаченні в США.

Зазначу, що подібні проблеми з приватністю, які пов’язанні з SSL, стосуються і будь-яких інших поштових сервісів окрім Gmail Гугла. Рекомендую подивитися дане відео для розуміння ризиків приватності при використанні електронної пошти з веб інтерфейсом і необхідності використання SSL.

Торік, 09.08.2010, вийшла Invision Power Board 3.1.2. Це перша версія форуму Invision Power Board гілки 3.1.х, що отримала фінальний статус.

• Форум IP.Board 3.1.2 (деталі)

Компанія IBResource повідомляє про вихід нової версії форуму IP.Board 3.1.2 (IPB). У порівнянні з версією 3.0 нова лінійка IP.Board 3.1 включає цілий ряд поліпшень і нових можливостей.

03.12.2008

Вчора, 02.12.2008, я знайшов уразливості на сайті WASC http://www.webappsec.org, в Web Security Mailing List. Даний Mailing List - це розсилка на тему веб безпеки. І в ній я виявив Abuse of Functionality, Insufficient Anti-automation та Information Leakage уразливості, а сьогодні ще й виявив Information Leakage.

Детальну інформацію про уразливості я напишу модераторам розсилки та всім її участникам в самому Web Security Mailing List.

12.02.2011

Раніше розсилка розміщувалася за адресою http://www.webappsec.org/lists/websecurity/, а з кінця січня 2011 року вона розміщується за адресою http://lists.webappsec.org /mailman/listinfo/websecurity_lists.webappsec.org. На сервері lists.webappsec.org окрім Web Security Mailing List також почали розміщуватися інші розсилки WASC.

Abuse of Functionality:

Коли участник посилає повідомлення в розсилку, після публікації вона посилається всім дописувачам. І погані хлопці (спамери), що підписані на розсилку, можуть встановити автовідповідач зі спамовим (чи зловмисним) повідомленням. І дане повідомлення автоматично відправиться на емайл відправника.

Abuse of Functionality:

Розсилка захищає емайли участників, що посилають повідомлення в розсилку (шляхом видозміни їх - обфускації). Але використовуючи підписку спамери можуть легко виявити емайли участників.

Insufficient Anti-automation:

Можлива автоматизована реєстрація. Що дозволить спамерам автотизовано підписуватися на розсилку та проводити дві вищезгадані атаки.

Information Leakage:

В розсилці емайли участників приховуються в опублікованих повідомленнях (шляхом заміни домену на “xxxxx”) - для захисту від спамерів. Але в тексті повідомлення (при цитуванні) публікуються емайли в чистому вигляді. В результаті, в одному листі можуть бути приховані й не приховані емайли, що приводить до витоку емайлів.

Якщо Information Leakage уразливість була оперативно виправлена, то інші уразливості виправлені не були. Представники WASC проігнорували їх, вважаючи дані загрози прийнятними і “типовим явищем” для розсилок, тому користувачам розсилок варто враховувати дані загрози в розсилках при їх використанні.

За повідомленням www.xakep.ru, cайт із 10 мільйонами користувачів попереджає про крадіжку паролів.

Вебсайт Trapster, що допомагає водіям уникнути штрафів за перевищення швидкості, попереджає 10 мільйонів своїх зареєстрованих користувачів про те, що їх e-mail адреси і паролі можуть виявитися в руках хакерів, що взломали сайт.

За повідомленням hackzona.com.ua, SecureWorks попереджає про нову версію трояна BlackEnergy.

Група зловмисників використовує нову версію трояна BlackEnergy для крадіжки паролів до систем онлайн-банкінгу ряду російських і українських банків. Про це минулого року розповів Джо Стюарт з SecureWorks на конференції FIRST.

Зокрема в руки дослідника потрапили плагіни для BlackEnergy, що використовуються для крадіжки грошей з рахунків “великої кількості російських і українських банків”. Про які саме банки йде мова, Стюарт не уточнює, проте говорить, що у всіх цих системах онлайн-банкінгу використовується Java-аплет, який завантажує зі змінного носія користувацький приватний ключ, необхідний для аутентифікації.

За повідомленням www.xakep.ru, Міністерство внутрішньої безпеки інвестує в кібербезпеку.

Захист від внутрішніх загроз, ботмереж і шкідливого ПЗ, а також дослідження, спрямоване на підтримку Comprehensive National Cyber Initiative (CNCI), серед областей інвестування в кібербезпеку, що буде зроблене Department of Homeland Security (DHS) США у 2011 році.

06.08.2010

У січні, 24.01.2010, я знайшов Cross-Site Scripting та Redirector (URL Redirector Abuse) уразливості на проекті http://smallurl.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на smallurl.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.02.2011

XSS:

• alert(document.cookie)
• цікавий

XSS + MouseOverJacking:

• alert(document.cookie)

Redirector:

http://smallurl.ru/anonym/?http://websecurity.com.ua

Даний редиректор не є основним функціоналом даного сервіса редирекції, де URL зберігаються в БД і їх можна перевірити. В даному випадку це відкритий редиректор, який адміністрація сервісу ніяк не контролює (та надає можливість анонімної редирекції).

Дані уразливості досі не виправлені.