Websecurity - Веб безпека

В документі File Download Injection розповідається про FDI атаку. Про включення файлів для скачування з інших сайтів.

Дана атака проводиться через уразливості, що дозволяють включати серверні заголовки, такі як HTTP Response Splitting (WASC-25) та HTTP Response Smuggling (WASC-27). І вона призначена не для проведення класичних атак, як то XSS чи редирекції, а для збереження зловмисних файлів (таких як bat-файли) на локальних комп’ютерах з метою виконання довільних команд на комп’ютерах користувачів.

В статті розглянуті наступні аспекти FDI:

1. Короткий опис.
2. Технічні деталі.
3. Опис атаки.
4. Content-Length заголовки.
5. Reflected і Stored File Download Injection варіанти.
6. Приклади використання FDI.
7. Захист від FDI.

File Download Injection являє собою цікавий вектор атаки на HTTP Response Splitting та HTTP Response Smuggling уразливості у веб додатках.

В презентації Mapping Application Security to Business Value, компанія Redspin розповідає про прив’язку безпеки додатків до цінності бізнесу. І наводить роздуми та поради для ІТ і бізнес менеджерів.

Продовжуючи розпочату традицію, після попереднього відео про CRIME проти HTTPS, пропоную нове відео на веб секюріті тематику. Цього разу відео про BREACH проти HTTPS. Рекомендую подивитися всім хто цікавиться цією темою.

A BREACH beyond CRIME - Partial preview

Раніше я наводив відео стосовно BEAST і CRIME атак, а в даному відео ролику розповідається про використання BREACH атаки. Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext (BREACH) - це методика та інструментарій для атаки на SSL/TLS протоколи, що дозволяє організувати перехоплення переданого в рамках зашифрованого з’єднання сесійних кукісів та секретних токенів.

У відео показане використання BREACH для отримання секретного токена. Даний інструментарій дешифрує переданий в рамках https-з’єднання CSRF-токен. Рекомендую подивитися дане відео для розуміння векторів атак через уразливість в SSL/TLS протоколах.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про CRIME проти HTTPS. Рекомендую подивитися всім хто цікавиться цією темою.

CRIME vs startups

В даному відео ролику розповідається про використання CRIME-атаки. Compression Ratio Info-leak Made Easy (CRIME) - це інструментарій для атаки на SSL/TLS та SPDY протоколи, що дозволяє організувати перехоплення переданого в рамках зашифрованого з’єднання Cookie з параметрами аутентифікації користувацької сесії.

У відео показане використання CRIME для отримання кукісів на популярних сайтах. Даний інструментарій дешифрує переданий в рамках https-з’єднання сесійний кукіс. Рекомендую подивитися дане відео для розуміння векторів атак через уразливість в SSL/TLS та SPDY протоколах.

Розповім вам про атаки на панелі керування мережевих пристроїв. Торік я вже торкався цієї теми в статті CSRF атаки на мережеві пристрої (CSRF Attacks on Network Devices).

Атаки на мережеві пристрої з адмінками можуть відбуватися наступним чином:

1. Локально.
2. Віддалено через Інтернет за допомогою CSRF.
3. Віддалено-локально (через Wi-Fi).

При локальній атаці, доступ до адмінки відбувається користувачем або вірусом через комп’ютер в LAN. Наприклад, з комп’ютера в локальній мережі можна підібрати пароль в адмінку, зайти в неї та змінити конфігурацію мережевого пристрою.

При віддаленій атаці, доступ до адмінки відбувається через користувача в LAN. Дана атака відбувається через Інтернет, коли через користувача, що відвідав сайт підконтрольний нападнику, посилаються запити в адмінку в LAN.

Наприклад, нападник може зробити віддалений CSRF запит для відкриття доступу до адмінки і увійти до неї через Інтернет, щоб змінити конфігурацію пристрою, або він може зробити всі дії віддалено через CSRF запити. Дана тема детально описана у вищезгаданій статті.

При віддалено-локальній атаці, доступ до адмінки відбувається через Wi-Fi. Коли ззовні через Wi-Fi отримується доступ до локальної мережі й атакуються мережеві пристрої, в тому числі точки доступу Wi-Fi.

Таким чином цей варіант атаки має переваги двох попередніх: при віддаленому доступі до мережі, атака на адмінку проводиться як при локальному доступі до пристрою.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Internet Explorer 6-10, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Firefox. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2011-3659 Firefox 8/9 AttributeChildRemoved() Use-After-Free Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Mozilla Firefox 8 і 9. В Metasploit створюється і запускається експлоіт, який призводить до віддаленого виконання коду в Firefox при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Продовжуючи розпочату традицію, після попереднього відео про витік httpOnly кукі в Apache, пропоную нове відео на веб секюріті тематику. Цього разу відео про експлоіт для Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

CVE-2013-2551 MS13-037 Internet Explorer Vulnerability Metasploit Demo

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer 6, 7, 8, 9 і 10. В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про витік httpOnly кукі в Apache. Рекомендую подивитися всім хто цікавиться цією темою.

Exploit: Apache httpOnly Cookie Disclosure (CVE: 2012-0053)

В даному відео ролику демонструється експлоіт для уразливості в веб сервері Apache. Яка дозволяє нападнику отримати httpOnly кукі користувача сайта, що базується на Apache. При тому, що веб сервер не повинен допускати витоку даної інформації.

Атака відбувається при відправленні спеціальних запитів на веб сайт, який міститься на веб сервері з Apache. Рекомендую подивитися дане відео для розуміння векторів атак на веб сервери.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Software quality assurance
• Software quality management
• Algorithmic complexity attack
• Attack patterns
• Camfecting

В презентації Web Security Horror Stories, Simon Willison розповідає про різноманітні уразливості у веб додатках та їх ризики. Та наводить приклади успішних атак на популярні сайти з використанням цих уразливостей. Зокрема він розповів про XSS, CSRF, SQL Injection та Clickjacking, а також торкнувся атак пов’язаних з Flash, PDF і JSON.