Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про нові шляхи взлому веб додатків, пропоную нове відео на веб секюріті тематику. Цього разу відео про те, як хакнути мільйони роутерів. Рекомендую подивитися всім хто цікавиться цією темою.

Defcon 18 - How to hack millions of routers

Два з половиною роки тому на конференції DEFCON 18 відбувся виступ Craig Heffner. В своєму виступі він розповів про уразливості в роутерах та їх експлуатацію. Зокрема він розповім про атаки на роутери з використанням Cross-Site Request Forgery та DNS Rebinding. З використанням даних методів атак, можна захопити контроль над різними мережевими пристроями (з функцією роутера), яких сотні мільйонів по всьому світу.

Про ці методи, як про CSRF атаки, так і про про DNS Rebinding я вже писав. Про CSRF атаки на модеми і точки доступу я написав власну статтю CSRF Attacks on Network Devices та наводив чимало таких уразливостей в різних пристроях, а про DNS Rebinding я наводив різноманітні статті й відео від RSnake. Рекомендую подивитися дане відео для розуміння векторів атак на мережеві пристрої.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Hacking tool
• Application service architecture
• Content filtering (Content-control software)
• Internet safety
• Website reputation ratings

Продовжуючи розпочату традицію, після попереднього відео про просунуті SQL Injection, пропоную нове відео на веб секюріті тематику. Цього разу відео про нові шляхи взлому веб додатків. Рекомендую подивитися всім хто цікавиться цією темою.

28c3: New Ways I’m Going to Hack Your Web App

Наприкінці 2011 року на конференції 28c3 відбувся виступ Jesse Ou і Rich. В своєму виступі вони розповіли про нові техніки взлому веб додатків, такі як Clickjacking та методи обходу захисту від Clickjacking, обхід захисту від CSRF, експлуатація складних XSS, обхід SOP та атаки через XML.

Про деякі з цих методів я вже розповідав. Рекомендую подивитися дане відео для розуміння векторів атак на веб додатки.

Продовжуючи тему технологій захисту від XSS атак, після статті про HttpOnly, розповім про іншу технологію захисту від XSS атак. Яку я розробив ще у лютому 2008 року. Цей метод використовує JavaScript для того щоб протидіяти XSS атакам.

Суть методу полягає в перевизначенні деяких методів DOM. Зокрема методу cookie класу document. Для цього потрібно вказати наступний JavaScript код:

HTMLDocument.prototype.__defineGetter__("cookie",function(){return null;});

Подібно до раніше описаного методу захисту з використанням HttpOnly, це вбереже від класичних атак на викрадення кукіса. Але це не вбереже від інших атак через XSS уразливості. Бо XSS атаки не обмежуються лише викраденням кукісів, про що я наголошував неодноразово.

Даний метод я побачив в IPB на початку 2008 року, коли досліджував виявлену мною Persistent XSS в IPB. В 2.х версіях движка цей алгоритм використовувся в якості XSS-фільтру, тому в браузерах Mozilla і Firefox не можна було дістатися кукісів.

Порівняно з HttpOnly, даний метод має ряд переваг:

1. На відміну від HttpOnly, цей метод підтримують не тільки нові браузери, але й старі. Якщо для Firefox підтримка того методу наявна лише з Mozilla Firefox 3.0.6, то підтримка цього методу є в усіх версіях Firefox, а також в старих версіях Mozilla і в усіх версіях Seamonkey (на яку було перейменовано програмний пакет Mozilla). Підтримуються усі браузери на движку Gecko та Opera (перевірялося в 10.62, можливо попередні версії також підтримуються).

2. Легкість впровадження. Для підтримки не потрібно додавати HttpOnly властивість до кукісів, достатньо розмістити необхідний JS код. Який може бути розміщений в js-файлі, що включений в усі сторінки сайта.

3. Окрім захисту від викраденням кукісів, цей метод можна розширити для захисту від інших видів XSS атак.

Наприклад, можна заборонити використання document.write, що унеможливіть створення іфреймів чи іншого html-коду для проведення CSRF атак чи розміщення шкідливого коду.

HTMLDocument.prototype.__defineGetter__("write",function(){return null});

Недолік лише один - підтримуються не всі браузери. Лише Mozilla Firefox (та інші браузери на движку Gecko) та Opera.

Так що цей метод може бути корисним. Як я вже казав, жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.

Продовжуючи розпочату традицію, після попереднього відео про просунуту експлуатацію MySQL, пропоную нове відео на веб секюріті тематику. Цього разу відео про просунуті SQL Injection. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 17: Advanced SQL Injection

Три роки тому на конференції DEFCON 17 відбувся виступ Joseph McCray. В своєму виступі він розповів про SQL Injection уразливості, їх класифікацію та ризики даних уразливостей.

А також про просунуті техніки проведення SQL ін’єкцій. Про обхід IDS і WAF, про підняття привілеїв в СУБД, використання вбудованих процедур та інші атаки. Рекомендую подивитися дане відео для розуміння векторів атак на веб додатки.

Серед технологій захисту від XSS атак можна виділити дві основні групи: серверні та клієнтські. Перші працюють повністю на стороні сервера (до них можна віднести як виправлення XSS уразливостей, так і використання WAF), другі працюють на стороні клієнта (і можуть вимагати підтримки в браузерах).

Причому клієнтські технології можна розділити на такі, що вимагають клієнтської підтримки, та такі, що не вимагають (реалізовані на JS). Тому такі технології захисту від XSS атак повинні не тільки підтримуватися в браузерах (і відповідно старі браузери без їх підтримки не будуть захищені), але й вони повинні бути включені на сервері. В своєму новому циклі статей я розповім вам про деякі з клієнтських технологій захисту від XSS. Серед них є такий захист як плагіни до браузерів (такий як NoScript для Firefox), але я буду розповідати про ті, які реалізуються на рівні поєднання серверних налаштувань і клієнтської підтримки (серверні заголовки), або ж на рівні JavaScript.

Прикладами таких технологій, які орієнтовані на браузери, є технології захисту від ClickJacking, про які я розповідав торік. Серед них є як плагіни до браузерів чи секюрні браузери, так і JS захист та заголовок X-Frame-Options. Першим серед технологій захисту від XSS атак я розгляну HttpOnly.

Заголовок HttpOnly встановлюється до кукісів. Для цього веб додаток повинен у своїй відповіді вказати серверний заголовок Set-Cookie з параметром HttpOnly:

Set-Cookie: name=value; expires=Tue, 1-Jan-2013 00:00:00 GMT; path=/; HttpOnly

І кожен з кукісів з таким параметром буде доступний лише для сервера, але не для клієнтського коду (JS/VBS). Це вбереже від класичних атак на викрадення кукіса.

Але це не вбереже від інших атак через XSS уразливості. Бо XSS атаки не обмежуються лише викраденням кукісів, про що я наголошував неодноразово. А також PDP ще в 2007 році писав про те, чому HttpOnly кукіси не врятують від XSS атак. До того ж, в перші роки після появи цієї технології та й в останні роки виявлялися методи обходу httpOnly в деяких браузерах.

Заголовок HttpOnly був придуманий Microsoft для Internet Explorer 6 SP1 в 2002 році і пізніше підтриманий іншими розробниками браузерів. І особисто я не вважаю його надійним захистом від XSS. Жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.

HttpOnly підтримують наступні браузери:

Internet Explorer 6 (повністю пропатчений) (тільки захист від читання)
Internet Explorer 6 SP1 (тільки захист від читання)
Internet Explorer 7+ (захист від читання і запису)
Mozilla Firefox 3.0.6+ (захист від читання і запису)
Netscape Navigator 9.0b3+ (захист від читання і запису)
Opera 9.50+ (тільки захист від читання)
Apple Safari 5+ (захист від читання і запису)
Google Chrome перші релізи (тільки захист від читання)
Google Chrome 12+ (захист від читання і запису)

Продовжуючи розпочату традицію, після попереднього відео про ефективні Denial of Service атаки проти веб додатків, пропоную нове відео на веб секюріті тематику. Цього разу відео про просунуту експлуатацію MySQL. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 17: Advanced MySQL Exploitation

Три роки тому на конференції DEFCON 17 відбувся виступ Muhaimin Dzulfakar. В своєму виступі він презентував методику проведення просунутих атак на SQL Injection уразливості для виконання коду. Зокрема на платформі MySQL.

Подібні атаки можливі на різних СУБД, але MySQL (особливо в зв’язці з PHP) є дуже поширеною в Інтернеті. Віддалене виконання коду відбувається при відправленні SQL запитів веб додатку з SQL Injection уразливістю - для розміщення на сервері шелкоду і його запуску. Рекомендую подивитися дане відео для розуміння векторів атак на веб додатки.

На тему бекдорів я вже писав в 2011 році в статті Розміщення шелів (бекдорів) на сайтах. Тоді я описав три методи, яким чином шели (бекдори) можуть бути розміщенні на сайті. В інтернеті існує багато сайтів на яких розміщені бекдори.

За звичай подібні скрипти розміщуються на сайтах після їх взлому. Але існує ще інший напрямок потрапляння бекдорів - через веб додатки. І якщо створення дірявого коду, який дозволяє віддалене виконання коду не є безпосередньо бекдором (хоча подібні дірки жартома так можуть обізвати), то навмисне впровадження подібного скрипта у веб додаток - це вже безпосередньо бекдор. І ось про це я розповім у даній статті.

Зараження веб додатків бекдорами - це поширене явище, яке з кожним роком стає більш масштабним. І окрім веб додатків, воно також стосується звичайних програм та ОС. Тому це актуальна проблема ІБ, особливо це стосується безпеки в Інтернеті. При зараженні веб додатку таким кодом, бекдор може розповсюджуватися на численні сайти - чим більш популярним є програма, тим більше сайтів можуть стати жертвами такої прихованої атаки.

Основні шляхи потрапляння бекдору у веб додаток:

1. Розміщення самим розробником. В опенсорс додатках такий код, за звичай, швидко виявляється, тому опенсорс розробники таким не займаються (зате вони нерідко роблять критичні уразливості в своїх додатках, що приводять до аналогічних наслідків). А ось розробники закритого ПЗ можуть собі це дозволити і нерідко знаходяться такі бекдори в комерційних закритих програмах.

2. Взлом сайту веб розробника і впровадження бекдору в дистрибутив програми. Щоб всі, хто викачає даний веб додаток, отримали бекдор “в подарунок”.

Зупинюся більш детально на другому напрямку поширення такого коду, який є типовим для опенсорс ПЗ. Ось декілька прикладів впровадження бекдору, що вже мали місце.

Випадки впровадження бекдору у веб додатках:

• В WordPress 2.1.1
• В MiniGal b13
• В Ucms <= 1.8
• В Cypress BX script
• В com_rsgallery2 gallery для Joomla
• В com_jumi / jumi 2.0.5 для Joomla
• В PyForum
• В phpMyAdmin
• В Piwik

Випадки впровадження бекдору у відкритих операційних системах:

• Забекдорена бібліотека OpenSSL в Debian
• Забекдорені пакети OpenSSH в Red Hat Linux
• Взлом інфраструктури Linux та FreeBSD, що трапився цієї осені, коли були взломані сервери з кодом даних ОС

Також бекдори нерідко трапляються в експлоітах. Про що я писав в статті Небезпека готових експлоітів. Подібно до того, як нерідко віруси і трояни розміщуються у креках для комерційних програм.

У вищезгаданій статті про розміщення шелів на сайтах я дещо торкнувся засобів пошуку бекдорів (про подібні програми я неодноразово писав в новинах). І в наступній статті я детально зупинюся на аспекті пошуку бекдорів.

В презентації The Economics of Cybercrime and the Law of Malware Probability, Sam Curry і Amrit Williams розповідають про економіку кіберзлочинності. Вони дослідили економічні аспекти кіберзлочинності в Інтернеті (такі як поширення шкідливого коду) та розробили математичний закон вірогідності malware.

Продовжуючи розпочату традицію, після попереднього відео про Denial of Service в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про ефективні Denial of Service атаки проти веб додатків. Рекомендую подивитися всім хто цікавиться цією темою.

28c3: Effective Denial of Service attacks against web application platforms

Наприкінці минулого року на конференції 28c3 був оприлюднений алгоритм проведення Denial of Service атак на різні мови програмування для веб та веб платформи - DoS через хеш таблиці. Зокрема в PHP дана уразливість була виправлена в PHP 5.3.9.

В ролику показаний виступ Alexander Klink і Julian Walde на конференції, де вони презентують даний метод DoS атак. Який вони розробили базуючись на статті “Denial of Service via Algorithmic Complexity Attacks” 2003 року, написаної Scott A. Crosby і Dan S. Wallach. В тому ж році дана уразливість була виправлена в Perl.

Атака відбувається при відправленні великої кількості аргументів веб додатку, що призводить до перевантаження сервера. Рекомендую подивитися дане відео для розуміння векторів атак на веб додатки і веб сервера.