Websecurity - Веб безпека

Продовжу свою серсію записів про Business Logic уразливості на різних e-commerce сайтах. В статті Business Logic уразливості через CSRF я писав про Business Logic уразливості, що дозволяють маніпулювати фінансовими даними користувачів. Які можна ініціювати через CSRF атаки.

Після www.propage.ru в якості приклада таких уразливостей наведу уразливості на www.liqpay.com - електроній платіжній системі LiqPAY. Враховучи, що після оприлюднення мною попередніх уразливостей в LiqPAY, ПриватБанк проігнорував їх, я оприлюднюю їх одразу (full disclosure).

У листопаді, 15.11.2009, я знайшов Cross-Site Request Forgery та Insufficient Process Validation уразливості на сайті https://www.liqpay.com. Які дозволяють переводити гроші на інші рахунки LiqPAY чи на карти. Про що найближчим часом сповіщу адміністрацію сайта.

Виводити гроші з рахунків і карт користувачів можна через обідві уразливості (CSRF і Insufficient Process Validation). Дані уразливості наявні в двох функціоналах системи, тому можливі атаки на кожну з них: для виведення на інший рахунок LiqPAY і для виведення на карту. Тобто всього 4 уразливості.

CSRF:

Функціонали виведення грошей на інший LiqPAY акаунт і на карту вразливі до CSRF.

Для виведення коштів на інший LiqPAY акаунт потрібно відправити два запити:

POST запит на https://www.liqpay.com/?do=transfer_create&to=to_phone

do=from_phone_to_phone_confirm&currency=USD&to_phone=_num_&amount=1000&currency2=USD&special=transfer_create

POST запит на https://www.liqpay.com/?do=transfer_create&to=to_phone
do=from_phone_to_phone_result

Для виведення коштів на карту потрібно відправити два запити:

POST запит https://www.liqpay.com/?do=transfer_create&to=to_card

do=from_phone_to_card_confirm&currency=USD&to_card=_num_&amount=1000&currency2=USD&special=transfer_create

POST запит https://www.liqpay.com/?do=transfer_create&to=to_card
do=from_phone_to_card_result

Insufficient Process Validation:

В фунціоналах виведення коштів на інший LiqPAY акаунт і на карту немає перевірки автентичності запиту - через отримання sms-ки з кодом і введення даного коду. Тому OTP вводиться лише при логіні, а всі транзакції в системі не підтверджуються OTP. При тому, що подібний захист існує в Приват24. Але чомусь в LiqPAY ПриватБанк цього не зробив (мабуть бажаючи “спростити” цей процес для користувачів), що призвело до значного погіршення безпеки, особливо враховучи CSRF уразливості.

Виправлення CSRF не вирішить проблеми повністю. Тому що гроші з рахунків користувачів можна бути виводити через XSS, при доступі до мобільника користувача, через віруси або при тимчасовому доступі до комп’ютера. Тому потрібно виправляти також і Insufficient Process Validation.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу стосовно різних цікавих секюріті тем.

В своєму записі XMLHTTPReqest “Ping” Sweeping in Firefox 3.5+, RSnake розповідає про використання CORS в Firefox (починаючи з версії 3.5) для проведення крос-доменних XMLHTTPReqest запитів для пінгування.

В своїй статті Міжсайтові XHR атаки я вже розровідав про використання даного функціоналу для проведення атак.

В своєму записі Cloud Cracking, RSnake розповідає про “хмарний” хакінг. Про використання cloud технологій в хакерських цілях. Використовуючи “хмарні” технології, або ботнети, що є хакерським аналогом “хмари”, можна отримати захмарні результати .

В своєму записі Mozilla Plans Fix for CSS History Hack, RSnake розповідає про те, що Мозіла в цьому році запланувала виправити CSS History Hack. Уразливість, що відома вже 8 років (з 2002 року), нарешті отримала увагу Мозіли.

Але спочатку Мозіла повинна виправити дану уразливість. До того ж, це буде стосуватися тільки браузерів Мозіли (причому лише нових версій), а браузери всіх інших виробників все ще будуть вразливі до CSS History Hack.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах онлайн магазинів, баннерних систем та e-commerce сайтах (України, Росії та США):

• www.banner.kiev.ua
• adfox.ru
• www.banner.kiev.ua
• server.cpmstar.com, www.banner.kiev.ua та www.adspeed.com
• www.banner.kiev.ua
• c8.net.ua
• www.abn-ad.com
• kshop.com.ua

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• sushido.com.ua
• www.antique.com.ua
• www.kievgallery.kiev.ua
• 77.120.114.100
• valfork.com

А також згадував про інфіковані онлайн магазини та e-commerce сайти в Уанеті:

• shop.futbolka.info
• bestofaudio.com
• webmastak.net
• gift-shop.com.ua
• xshop.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

29.04.2010

У жовтні, 15.10.2009, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://moemesto.ru. В тому числі знайшов можливість обходу виправлення попередньої XSS. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на moemesto.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.12.2010

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

XSS (обхід фільтрації попередньої XSS):

• alert(document.cookie)
• цікавий

Це версія для IE, використовуючи MouseOverJacking можна зробити версію для всіх браузерів.

Abuse of Functionality:

На сторінці http://moemesto.ru/register/ можна визначати логіни та емайли користувачів сайта. Також це можна зробити за прямими запитами до скрипта:

http://moemesto.ru/ajax/check_field.php?field=login&value=111

http://moemesto.ru/ajax/check_field.php?field=email&value=1@1.com

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі).

Більшість з зазначених уразливостей досі не виправлено. До того ж на сайті є чимало інших уразливостей, на які я звернув увагу адмінів, коли повідомляв про ці дірки, але вони також досі не виправлені.

У вересні, 19.09.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://host-tracker.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://host-tracker.com/check_page/?furl=http://google.com

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до даного функціоналу призведе до 63 запитів (з 63 різних серверів) до цільового сайта.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Даний сервіс повільно робитить запити до цільового сайта (поступово з кожного з 63 серверів), що зменшує навантаження на нього, але все рівно не захищає від атак через даний сервіс.

У веб серверів, що розміщені на ОС Windows, є свої особливості. Й окрім тих атак, що можуть проводитися на сайти на серверах з Linux та іншими ОС, на сайти на серверах з Windows можуть проводитися деякі інші атаки. Дані атаки можуть використовуватися для отримання даних (information leakage) та вихідних кодів скриптів (source code disclosure), а в деяких випадках для виконання довільного коду.

До таких атак відносяться:

1. Directory Traversal з використанням зворотного слеша. Про дану атаку я вже розповідав в статті Використання back slash для Directory Traversal атак.

2. Використання Alternative Data Streams (ADS) в NTFS.

3. Використання “;” проти Microsoft IIS.

4. Використання 8.3 імен файлів та директорій.

5. Використання пробільних символів наприкінці імені файлу. Це може використовуватися на уразливих веб серверах як під Windows, так і Linux та інших ОС.

6. Використання “.” наприкінці імені файлу або директорії. Це може використовуватися на уразливих веб серверах як під Windows, так і Linux та інших ОС.

7. Використання верхнього регістру в іменах папок. Це можливо в Apache під Windows.

8. Використання імен папок з розширенням “.asp” проти IIS.

Деякі з наведених атак працюють лише на вразливих веб серверах, а деякі (як перша) - на усіх веб серверах з ОС Windows.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.slavrada.gov.ua (хакером Lekosta) - 29.10.2010, похаканий форум державного сайта, зараз він вже виправлений адмінами
• http://palliativecare.gov.ua (хакером GHoST61) - 09.12.2010, похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vitrina.com.ua (хакером DeviL Hacker) - 07.10.2010, зараз сайт не працює і редиректить на інший сайт
• http://wpp.pp.ua (хакерами з 1923TURK-GRUP) - 14.12.2010, зараз сайт вже виправлений адмінами
• http://rcmdc.com.ua (хакером GHoST61) - 11.12.2010, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• XSS and Content Injection in HTC Windows Mobile SMS Preview PopUp (деталі)
• SQL injection vulnerability in TCMS (деталі)
• Local File Inclusion in TCMS (деталі)
• SQL injection vulnerability in CompuCMS (деталі)
• HP System Management Homepage (SMH) for Linux and Windows, Remote Unauthorized Information Disclosure, Unauthorized Data Modification, Denial of Service (DoS) (деталі)
• HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS), Denial of Service (DoS), Execution of Arbitrary Code, Unauthorized Access (деталі)
• SQL injection vulnerability in CompuCMS (деталі)
• XSS vulnerability in CompuCMS (деталі)
• HP Operations Manager for Windows, Remote Execution of Arbitrary Code (деталі)
• XSS vulnerability in CompuCMS (деталі)

У вересні, 19.09.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://www.watchmouse.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://www.watchmouse.com/en/checkit.php?c=jpcheckit&vurl=http://google.com

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до даного функціоналу призведе до десяти запитів (з 10 різних серверів) до цільового сайта.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі).

Продовжуючи розпочату традицію, після попереднього відео про безпеку веб шлюзу, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Microsoft Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Metasploit Internet Explorer CSS Tags

В відео показаний процес атаки на користувачів IE через пошкодження пам’яті в бібліотеці mshtml.dll. Дана уразливість стосується Internet Explorer 6, 7 і 8. Для створення експлотіа використовується Metasploit Framework. Рекомендую подивитися дане відео для розуміння векторів атак на браузер Internet Explorer.