Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про взлом мережі за 60 секунд, пропоную нове відео на веб секюріті тематику. Цього разу відео про сліпі XSS. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Blind XSS

Торік на конференції DEFCON 20 відбувся виступ Adam Baldwin. В своєму виступі він розповів про Cross-Site Scripting, про його підкласи і, зокрема, про такий різновид persistent XSS як сліпі XSS. Сам я не вживаю такого терміну і всі persistent XSS називаю persistent (хоча раніше і ввів термін per-user persistent XSS, для відокремлення від звичайних постійних XSS таких, що спрацьовують не для всіх користувачів, а лише для поточної сесії користувача, тобто близькі за природою до reflected XSS). Адам вирішив вжити термін “blind XSS” для виділення окремої категорії постійних XSS. І детально розповів про них у своїй доповіді.

Сліпі XSS - це ті уразливості, де одразу немає виконання коду (це в першу чергу стосується тих XSS, що знаходяться в адмінках або акаунтах, куди нападник немає доступу). Це дуже поширена частина постійних XSS. В своїй практиці серед persistent XSS я більше стикався саме зі сліпими, ніж звичайними (й першою Cross-Site Scripting, яку я дослідив, була саме сліпа постійна XSS).

Адам продемонстрував свою платформу xss.io призначену для експлуатації XSS уразливостей. Рекомендую подивитися дане відео для розуміння векторів атак через уразливості у веб додатках.

Продовжуючи розпочату традицію, після попереднього відео про RCE eксплоіт для Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про взлом мережі за 60 секунд. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Owned in 60 Seconds: From Network Guest to Windows Domain Admin

Торік на конференції DEFCON 20 відбувся виступ Zack Fasel. В своєму виступі він розповів про можливість швидкого захоплення акаунта адміністратора домена Windows. Він розповів про новий інструментарій та нові методи перехоплення мережевих запитів Windows Integrated Authentication.

Зак продемонстрував атаки для захоплення домена Windows (в тому числі через Інтернет) та надав поради для захисту від них. Рекомендую подивитися дане відео для розуміння векторів атак на локальну мережу.

Раніше я вже писав про Гугл хакінг - використання Гугла чи інших пошукових систем для пошуку уразливостей на веб сайтах. Зокрема в статтях Використання Гугл хакінга та Просунутий Гугл хакінг я детально розглянув цю тему та навів приклади вразливих веб додатків та запити для їх пошуку в Google.

А в циклі статтей “Warning” Google хакінг та “Error” Google хакінг я розповів про методики пошуку уразливостей типу Full path disclosure та Information Leakage в пошукових системах.

Одним з просунутих методів пошуку подібних уразливостей є пошук Information Leakage в локальний пошуковцях. На відміну від Гугл хакінга, в даному випадку уразливості шукаються не в зовнішніх (глобальних) пошуковцях, а саме в локальних.

Даний метод я розробив на початку січня 2008. Information Leakage уразливість я знайшов в движку RiSearch, про XSS уразливість в якому я вже писав. До цієї IL вразливі всі версії даного движка, тому що дірка пов’язана з некоректною конфігурацією пошукової системи. Саме тому ця IL проявиться не не всіх сайтах, а лише на тих, де адміни допустилися помилок при конфігурації RiSearch. Один такий сайт мені трапився у січні 2008 (зараз на цьому домені вже інший сайт, тому про нього не згадую), але можливі й інші сайти з подібною вразливою конфігурацію.

Information Leakage:

Суть уразливості полягає в тому, що якщо адмін не заборонив індексацію папки зі скриптами, то вихідні коди скриптів індексуються й їх можна побачити через локальний пошук (Source Code Disclosure). Що може призвести до витоків логінів і паролів (та іншої важливої інформації), які вказані в коді веб додатків.

http://site/cgi-bin/search.pl?query=password

Движок RiSearch PHP, що є PHP версією RiSearch, також вразливий до даної атаки:

http://site/risearch/search.php?query=password

Даним запитом знаходяться всі скрипти сайта, які містять слово password. Що дозволяє виявити паролі (до адмінки, до БД, тощо). RiSearch виводить проіндексовані дані сніпетами, тому видно лише фрагменти коду, але цього може бути достатньо для атаки.

Аналогічним чином можна виявити всю критичну інформацію, що була проіндексована RiSearch. Подібні уразливості можуть бути як в цьому, так і інших локальних пошуковцях.

Продовжуючи розпочату традицію, після попереднього відео про викрадення рухів курсору в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про RCE eксплоіт для Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Microsoft Internet Explorer JavaScript OnLoad Handler Remote Code Execution Vulnerability

В даному відео ролику демонструється використання Metasploit Framework для проведення атаки на уразливість в Internet Explorer. В Metasploit створюється і запускається експлоіт для IE, який призводить до віддаленого виконання коду в Internet Explorer при відкритті сторінки з кодом експлоіту. Даний експлоіт відкриває шел на атакованому комп’ютері, що дозволяє нападнику отримати контроль над ним.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

На початку 2008 року, 03.02.2008, я проводив дослідження власного веб додатку і намагався перевірити можливість обходу фільтрів для проведення XSS атаки. Зокрема з використанням спеціальних символів для розділення імені тега та його властивостей. Це може знадобитися як для обходу XSS фільтрів, так і в тих випадках, де теги не фільтруються, але є обмеження на символи (наприклад, пробіл), тому потрібно використати інший символ для розділення імені тега та його властивостей з метою проведення XSS атаки. Нерідко стикаюся з такими сайтами, де фільтруються деякі символи.

Приклад XSS коду, де можуть знадобитися такі символи:

<img src='1' onerror=alert(document.cookie)>

Між назвою тега “img” і властивістю “src” повинен стояти пробіл. Але якщо цей символ заборонений (в конкретному веб додатку), то потрібно використати інші.

В той день я розробив спеціальну програму для перевірки з якими символами-роздільниками працює виконання скриптів в тегах. За допомогою цієї програми я згенерував html-сторінку для перевірки 256-символів ASCII в якості роздільників. Тоді я перевірив це на своєму браузері Mozilla 1.7.x. І ось через п’ять років, на початку цього місяця, я знайшов цю програму і вирішив перевірити на ній усі наявні в мене браузери (Firefox, IE, Chrome та Opera). Результати перевірки пропоную вашій увазі.

Зазначу, що в зв’язку зі змінами в коді Firefox (які я виявив пару років тому), код який працював в Mozilla та Firefox 3.0.х, вже не працює в більш нових версіях Firefox (а також в Chrome та Opera). Тому код для тестування довелося змінити, щоб протестувати ці браузери. А в Firefox 10 і 15 взагалі не працював код з “img onerror”, тому для тестування нових версій Firefox я зробив тест з “img onload”.

Наступні символи можуть використовуватися в якості роздільників між іменем тега та його властивостями (це в десятковій системі):

Mozilla 1.7.x:

Символи: 0, 8, 9, 10, 13, 32, 34.

Mozilla Firefox 3.0.19, 3.5.19, 3.6.28:

Символи: 9, 10, 13, 32, 47.

В Mozilla Firefox 10.0.7 ESR, 15.0.1:

Символи: 9, 10, 12, 13, 32, 47.

Internet Explorer 6, 7, 8:

Символи: 9, 10, 11, 12, 13, 32, 47.

Chrome 1.0.154.48:

Символи: 9, 10, 11, 12, 13, 32.

Opera 10.62:

Символи: 9, 10, 12, 13, 32, 47.

Mobile Safari 6.0.1, 8.4.1

Символи: 9, 10, 12, 13, 32, 47.

Також я розмістив дану програму в розділі Обхід XSS фільтрів, де ви можете перевірити ваш браузер.

Продовжуючи розпочату традицію, після попереднього відео про три генерації DoS атак, пропоную нове відео на веб секюріті тематику. Цього разу відео про викрадення рухів курсору в IE. Рекомендую подивитися всім хто цікавиться цією темою.

IE Cursor Exploit Demo

Наприкінці минулого року була оприлюднена уразливість в Internet Explorer, що призводить до витоку інформації про рухи курсору. Коли веб сторінка в браузері IE може відстежити будь-які переміщення мишею, навіть не пов’язані з нею (навіть в інших програмах запущених користувачем - на рівні ОС). І дане відео демонструє цей процес.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Продовжу тему “Error” Гугл хакінга (”Error” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “еррор” пошукових запитів:

“Fatal error” “on line”

“PHP Fatal error”

“Fatal error” main

“Fatal error” “Failed opening”

“Fatal error: Unable to read”

“Fatal error: Unable to open”

“Fatal error: Unable”

“Fatal error: Undefined class”

“Fatal error: Cannot redeclare”

“Internal Server Error”

Продовжуючи розпочату традицію, після попереднього відео про те, як хакнути мільйони роутерів, пропоную нове відео на веб секюріті тематику. Цього разу відео про три генерації DoS атак. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 19: Three Generations of DoS Attacks (with Audience Participation, as Victims)

Півтора роки тому на конференції DEFCON 19 відбувся виступ Sam Bowne. В своєму виступі він розповів про DoS атаки. Від класичного UDP флуду, до сучасних атак на прикладному рівні, заснованих на використанні уразливостей у веб серверах.

Про один з таких методів атаки, Slowloris, я вже писав. Рекомендую подивитися дане відео для розуміння векторів DoS атак.

В статті Атаки на банковские системы розповідається про методи атак на банківські системи. Зокрема з використанням шкідливого програмного забезпечення, націленого на махінації із системами онлайн-банкінга. Це так звані банківські трояни - “банкери”. Які відомі вже багато років, але останнім часом вони стали більш поширеними зі зростанням кількості користувачів онлайн-банкінга. В статті описаний універсальний російський банківський троян Ibank.

В даній статті розглянуті наступні аспекти атак на системи ДБО:

• Огляд методів атаки
• Технології
• Мішені
• Схеми
• Аналіз шкідливої програми Ibank
• Загальні відомості
• Інсталяція й особливості функціонування
• Шпигунська діяльність
• Механізм збору даних
• Цільові системи
• Блокування антивірусів
• Мережева активність
• Віддалене керування
• Технологія автозаливу

Про уразливості в системі Інтернет-банкінгу IFOBS, що використовується багатьма українськими банками, я вже писав. Тому атакувати системи ДБО можна через уразливості в них. Або ж можна атакувати користувачів за допомогою троянів, як описано у даній статті. Таким чином тема безпеки онлайн-банкінгу зараз є дуже актуальною.

В презентації Malware mitigation, Ramses Gallego розповідає про шкідливе програмне забезпечення. Про поточну ситуацію зі шкідливим ПЗ в Інтернеті та про методи протидії йому.