Websecurity - Веб безпека

На початку лютого 2012 року я виявив цікавий метод атаки на веб сайт через mod-itk. Модуль для Apache mod_itk (mpm-itk) застосовується для покращення безпеки веб сервера. Він використовується на віртуальних хостінгах і його призначення - запуск веб сервера для кожного віртуального хоста під вказаним User і Group. І при невірній конфігурації веб сервера, це можна використати для атаки.

Цей модуль використовується на сервері мого хостера і у лютому я виявив значну проблему безпеки пов’язану з mod_itk (я звернув на неї увагу ще в січні, а в лютому детально дослідив цю нестандартну поведінку). І після мого повідомлення, хостер виправив конфігурацію для покращення безпеки.

Суть атаки полягає в тому, що при використанні на сервері mod_itk, можна редагувати файли навіть при правах 644 (чого не можна зробити при звичайних умовах, за виключенням файлів, згенерованих самим веб сервером). Тобто звичайні read-only файли зі стандартними правами 644 (що мають всі файли після завантаження їх по FTP) можна редагувати.

І відповідно у адмінках движків, що мають функції редагування (таких як WordPress), можна відредагувати будь-які файли, в тому числі й php-скрипти. Що призведе до виконання коду, якщо нападник отримає доступ до адмінки такого движка. При тому, що апріорі файли мали права, які повинні були захистити від даної атаки. Таким чином на сервері створюється бекдор. Це потрібно враховувати при використанні mod_itk (mpm-itk) на сервері.

У червні я повідомив про цю особливість mod-itk його автору і розробникам Apache. За словами автора модуля, подібна поведінка пов’язана з конфігурацією веб сервера (мій хостер зробив стандартні налаштування, а потрібно було спеціальним чином налаштувати веб сервер). Тому обов’язково вивчайте документацію при встановленні будь-якого модуля до веб сервера й особливо mod-itk, і робіть безпечні налаштування. Тоді у вас не виникнуть проблеми з безпекою.

Продовжуючи розпочату традицію, після попереднього відео про DoS через колізії хеш функцій в PHP, пропоную нове відео на веб секюріті тематику. Цього разу відео про DoS атаки через хеш функції BCrypt і SHA. Рекомендую подивитися всім хто цікавиться цією темою.

DDoS Hacking On Sites With Poorly Implemented BCrypt And SHA Hashing

В продовження минулого відео стосовно атак на хеш функції, пропоную новий ролик, причому цього разу атака відбувається без використання колізій хешів. В ролику розповідається про DoS атаку на веб сайти, де використовуються хеш функції BCrypt і SHA. При відправленні великого обсягу даних, що буде захешований, можна навантажити процесор сервера.

Атака відбувається під час відправлення спеціальних запитів веб серверу з веб додатками, що використовують такі хеш функції, як BCrypt і SHA. Рекомендую подивитися дане відео для розуміння векторів атак на сайти.

Продовжуючи розпочату традицію, після попереднього відео про Обхід httpOnly в Firefox і Java, пропоную нове відео на веб секюріті тематику. Цього разу відео про DoS через колізії хеш функцій в PHP. Рекомендую подивитися всім хто цікавиться цією темою.

Denial of Service using Hash tables collisions in PHP

В PHP існує DoS уразливість через передбачувані колізії хеш-функції. В ролику демонструється дана DoS атака на PHP та показане завантаження 8-ядерного процесора.

Атака відбувається під час відправлення спеціальних запитів веб серверу зі встановленим PHP. Рекомендую подивитися дане відео для розуміння векторів атак на сайти на PHP.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Data validation
• w3af
• Web application security
• Cross-document messaging
• Same origin policy

В презентації Building Secure Web Services Using Windows Communication Foundation, Petar Vucetin розповідає про WCF. Про те, як використовувати Windows Communication Foundation для створення безпечних веб сервісів.

Окрім зовнішніх веб антивірусів - систем (розміщених на зовнішніх сайтах), що перевіряють сайти на наявність вірусів (malware) - також існують і внутрішні веб антивіруси. Це антивірусні системи, що вбудовані безпосередньо у веб додатки. Цим вони відрізняються від Web VDS та інших антивірусних систем.

В останні роки вже декілька веб розробників представили такі системи в своїх програмних продуктах. Розглянемо ці системи.

Вбудовані веб антивіруси є в веб додатках IPB та Bitrix. Як я розповідав раніше, в Invision Power Board цей механізм з’явився ще в версії IPB 2.1.7 (в 2006 році). А в Bitrix Site Manager цей механізм з’явився в версії Bitrix 9.0 (в 2010 році).

В форумі IPB механізм антивіруса, який потрібно включити в адмінці для запуску перевірки, являє собою перевірку цілісності файлів. Тобто він лише перевіряє цілісність всіх файлів движка, в цьому він аналогічний таким плагінам для WP, як WordPress Exploit Scanner та Belavir. По суті він не є антивірусом, незважаючи на офіційну назву, бо він не виявляє код шкідливого ПЗ, але тим не менше він може використовуватися для захисту від бекдорів та вірусів на форумі.

Стосовно веб-антивіруса в “1С-Битрикс”, то це перша система керування сайтом (CMS), що має вбудований антивірус (якщо до WordPress є плагіни, то в даній системі він постачається в базовій комплектації). В Bitrix цей захисний механізм працює автономно в автоматичному режимі, на відміну від IPB, де антивірус необхідно було адміну запускати вручну для сканування сайту.

І він краще захищає від атак спрямованих на поширення malware, ніж даний функціонал в IPB. Тому що він безпосередньо перевіряє html-код, що генерується движком, для виявлення коду шкідливого ПЗ. Окрім веб антивірусу, в Bitrix також є перевірка цілісності файлів (аналогічна функціоналу IPB), а також перевірка цілісності скрипта контролю (який проводить перевірку цілісності системи).

Тому захисний функціонал Bitrix Site Manager, який в тому числі включає веб антивірус, більш потужний ніж аналогічний функціонал Invision Power Board. Але обидва розробники постійно покращують свої системи та й інші веб розробники, як це видно по плагінам для WordPress, також випускають свої рішення в цій сфері.

Продовжуючи розпочату традицію, після попереднього відео про ClickJacking веб камери, пропоную нове відео на веб секюріті тематику. Цього разу відео про обхід httpOnly в Firefox і Java. Рекомендую подивитися всім хто цікавиться цією темою.

Bypass httpOnly in Firefox 8.0.1 and Java plugin 7ux

Існує такий захист кукісів як httpOnly. В ролику демонструється обхід httpOnly в Firefox. Для атаки використовується функція Packages браузера Firefox (підтримується починаючи з Firefox 3.6) та Java плагін (вразлива версія Java 7u1).

Атака відбувається під час виконання JS коду в браузері (тобто під час проведення XSS атаки на користувача). Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

В статті Використання сайтів для атак на інші сайти два роки тому я розповів про можливість атак на інші сайти через Abuse of Functionality і Remote File Include уразливості, та навів приклади Abuse of Functionality дірок на різних сайтах (в тому числі сайтах Google, Yahoo і W3C). Окрім даних класів дірок, XXE уразливості також можуть використовуватися для атак на інші сайти.

В класифікації уразливостей WASC TC v2.0 є такий клас як XML External Entities (XXE) (WASC-43). Який ще називають XXE Injection.

Дані уразливості можуть використовуватися для читання вмісту локальних файлів - Local File Disclosure (тобто Directory Traversal). Але також дану уразливість можна використати для з’єднання з зовнішніми серверами. Тобто можна робити запити до інших веб сайтів і через дані уразливості можна проводити CSRF і DoS атаки на інші сайти.

Атака відбувається через тег ENTITY. Якщо вказати локальний файл - “file:///etc/passwd”, то відбудеться включення і витік змісту локального файлу. А якщо вказати зовнішній ресурс - “http://site/page”, то відбудеться запит до сторінки зовнішнього сайта. Що можна використати для атак на зовнішні сайти, аналогічно атакам описаним у вищезгаданій статті.

<?xml version="1.0"?>
<!DOCTYPE foo [
  <!ELEMENT methodName ANY>
  <!ENTITY xxe SYSTEM "http://site/page" >]>
<methodCall>
  <methodName>&xxe;</methodName>
</methodCall>

XXE Injection уразливості були виявлені в багатьох продуктах. Таких як Squiz CMS, Zend Framework, CakePHP та численні продукти Adobe (BlazeDS, Adobe LiveCycle Data Services ES2, Adobe ColdFusion, Adobe LiveCycle ES2). І враховуючи популярність Zend Framework, вони будуть знайдені ще в багатьох продуктах (як це було виявлено в CakePHP).

Для автоматизації атак на інші сайти можна використати такий інструмент як DAVOSET - DDoS attacks via other sites execution tool. Abuse of Functionality дірки передбачали відправлення як GET, так і POST запитів. DAVOSET був розроблений для GET запитів.

XXE Injection атака передбачає відправлення спеціального XML-запиту методом POST. Тому інструмент для проведення атак на інші сайти через XXE уразливості повинен підтримувати POST метод. Наприклад, його підтримка може бути додана в DAVOSET.

Продовжуючи розпочату традицію, після попереднього відео про обхід Cross Origin в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про ClickJacking веб камери. Рекомендую подивитися всім хто цікавиться цією темою.

Webcam ClickJacking

В ролику демонструється ClickJacking атака на веб камеру. З використанням відомої техніки ClickJacking на сайті Макромедії (що тепер належить Адобу) відбувається атака на налаштування флеш-плеєра. Показана атака для зміни налаштувань веб камери, що дозволить віддалено включити веб камеру на комп’ютері користувача та слідкувати за ним. Аналогічно можно провести зміну інших налаштувань флеш-плагіна, зокрема мікрофона - для підслуховування користувача.

Атака відбувається при відвідуванні в браузері спеціально створеного веб сайта, що містить код експлоіту - в даному випадку у вигляді онлайн-гри. Рекомендую подивитися дане відео для розуміння векторів атак на Flash.

У січні я дав інтерв’ю журналу “Власть денег”. І в п’ятому номері журналу, що вийшов 01.02.2012, вийшла стаття, в якій також розповідається і про мене.

Стаття називається “Кібервибори”. В ній розповідається про українських хакерів (як blackhat, так і whitehat хакерів), про кримінальні хакерські послуги в Україні та їх використання партіями, в тому числі в контексті майбутніх парламентських виборів.

Так що кому буде цікаво прочитати інформацію про мене, як тим хто вже читав про мене в журналі Фокус на інших журналах , так і всім іншим, можете дістати собі цей номер “Власть денег”, або прочитати статтю в Інтернеті.

Стаття була розміщена 3 лютого на сайті ДеПо - Кибервыборы.

В зв’язку з тим, що в березні 2014 року з сайта www.depo.ua всі статті були прибрані, то ось вам дана стаття на іншому сайті - Кибервойна! Кибервойна!...