Websecurity - Веб безпека

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю.

Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок. В класифікації WASC визначений окремий клас уразливостей для таких витоків інформації - Fingerprinting (WASC-45).

Наведу нові приклади подібних уразливостей в різних веб додатках, що приводять до витоку інформації про версію системи.

phpMyAdmin

В phpMyAdmin версію можна дізнатися в файлах /readme.php, /README, /changelog.php, /ChangeLog, /Documentation.html, /translators.html, /Documentation.txt, /scripts/setup.php та /RELEASE-DATE-2.11.11 (Version 2.11.11). В останньому випадку потрібно забрутфорсити ім’я файла і таким чином визначити версію веб додатка.

Silverstripe CMS

В Silverstripe версію системи можна дізнатися в файлі http://site/cms/silverstripe_version (2.4.2).

DataLife Engine

В DLE є декілька витоків інформації:

• Версію системи можна дізнатися в файлах /install.php, /update.php та /UpdateReadMe.txt.
• По рокам копірайтів можна визначити приблизну версію системи (”2004-2011″ значить, що це версія не менше 9.2).

Продовжуючи розпочату традицію, після попереднього відео про використання редиректорів для атаки, пропоную нове відео на веб секюріті тематику. Цього разу відео про захист від небезпечних сайтів. Рекомендую подивитися всім хто цікавиться цією темою.

Web of Trust - Helping to Protect Your Computer From Unsafe Sites

В даному відео розповідається про небезпечні сайти, що розповсюджують шкідливе програмне забезпечення (malware). Яке може заразити ваш комп’ютер. І для захисту власного комп’ютера варто використовувати сервіси, що попереджують про шкідливі сайти (торік я багато розповідав про такі сервіси, які я називаю веб антивірусами).

В відео зокрема показаний один з таких сервісів - Web of Trust, про який я вже розповідав. Рекомендую подивитися дане відео для розуміння векторів атак через інфіковані та шкідливі сайти.

В статті HTML5: взгляд через призму безопасности розповідається про п’яту версію стандарту HTML. І проводиться оцінка HTML5 з позиції безпеки.

В даній статті розглянуті наступні нововедення стандарту HTML5 та їх вплив на безпеку браузерів, сайтів та веб додатків:

• Веб сховище.
• SQL ін’єкція у веб браузері.
• Нові теги й атрибути.
• Нові типи полів форм.
• Валідація даних у формах.
• Міждоменна взаємодія.
• Визначення місця розташування.

Стосовно міждоменної взаємодії (Cross-Domain Messaging) в сучасних браузерах та ризиків безпеки, що вона несе, я вже писав в своїй статті Міжсайтові XHR атаки. Де я описав можливості проведення атак нового типу на браузери, що підтримують Cross-Site XMLHttpRequest (це технологія розроблена виробниками браузерів, а W3C в стандарті HTML5 також намагається запровадити подібну технологію).

Продовжуючи розпочату традицію, після попереднього відео про приватні дані в Інтернеті, пропоную нове відео на веб секюріті тематику. Цього разу відео про використання редиректорів для атаки. Рекомендую подивитися всім хто цікавиться цією темою.

java.com Arbitrary URL Redirect

В даному відео від YGN Ethical Hacker Group показаний процес використання URL Redirector Abuse уразливості, що вони знайшли на сайті java.com. В своїх статтях Редиректори: прихована загроза та Атаки через закриті редиректори я детально розповів про небезпеки даних уразливостей.

В відео показано як можна використати подібну уразливість для редирекції відвідувача на довільний сайт. Зокрема на сайт зі шкідливим ПЗ. Рекомендую подивитися дане відео для розуміння ризиків атак через редиректори.

Відсутність захисту в логін формах, зокрема капчі, може призвести до різних атак. І не тільки до Brute Force атак (WASC-11), що є відомою уразливістю в формах аутентифікації, а також до багатьох інших атак направлених на інші уразливості сайта чи веб додатка. І я вже багато років зустрічаю можливості для подібних атак на різних сайтах і движках.

Якщо від Brute Force атак можна захищатися як за допомогою капчі, так й інших методів (обмеження доступу по IP чи блокування акаунту на деякий час), то у випадку інших уразливостей, коли відбуваються віддалені чи автоматизовані атаки, використання капчі є дуже актуальним.

А так як дуже рідко капча використовується в логін формах, то дана проблема є дуже поширеною в Інтернеті. На сайтах де немає уразливостей в адмінці чи акаунтах користувачів можна обійтися без капчі (наприклад, я не використовую в себе на сайті капчі в логін формі, бо для мене це не актуально), а ось для сайтів з внутрішніми уразливостями це дуже актуально. Мільйони веб сайтів, багато движків та різних пристроїв з веб інтерфейсом (таких як роутери, модеми та інші) зараз є вразливими до даних атак.

Відсутність захисту від автоматизованого (віддаленого) логіну, зокрема капчі, може бути використано:

• Для проведення Brute Force атак.
• Для проведення Login Enumeration атак - при наявності відповідних Abuse of Functionality уразливостей в логін формах, як в MyBB.
• Для проведення XSS атак - при наявності відповідних XSS уразливостей, як в MyBB.
• Для проведення Redirector атак - при наявності відповідних URL Redirector Abuse уразливостей, як в MyBB.
• Для проведення CSRF атак (для віддаленого логіну), в тому числі на різні девайси (зокрема на модеми). Про подібні атаки на адмінки ADSL модемів я розповім найближчим часом.
• Для проведення фішинг атак, коли викрадаються облікові дані користувача і одразу ж відбувається логін в його акаунт (наприклад, для викрадення грошей з рахунку). Про Insufficient Anti-automation уразливість в LiqPAY, що може бути використана для подібних атак, я вже розповідав.
• Для проведення SQL Injection атак, коли є звичайна SQLi або blind SQLi уразливість в акаунті користувача, і треба експлоіту залогінитися і дістати дані з БД. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
• Для проведення RCE атак, коли необхідна авторизація для віддаленого виконання команд. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
• Для проведення Arbitrary File Upload атак - через відповідні уразливості в акаунті користувача, як в WordPress. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
• Для проведення Abuse of Functionality атак - через різні AoF уразливості в акаунті користувача, наприклад тих, що дозволяють розсилати спам. Як в Drupal та в модулі в Print для Drupal.

При цьому потрібно, щоб капча була в логін формі одразу, а не з’являлася після невдалої спроби аутентифікації, як це має місце в MyBB. Що призводить до можливості проведення зазначених атак (як XSS і Redirector атак в MyBB), тому що аутентифікація при проведенні даних атак відбувається ще до появи капчі.

Так що при наявності будь-яких з наведених уразливостей (за виключенням Brute Force, яка може бути виправлена й іншими методами), капча в логін формі може знадобитися - чи як основний, чи як додатковий захист. Особливо якщо ті чи інші уразливості не можуть бути виправлені, як у випадку AoF, коли вони є важливим функціоналом сайта.

В своїй презентації Securing Web Applications, Eric Lawrence з Microsoft розповідає про безпеку веб додатків. Про атаки на веб додатки і браузери та про методи їх убезпечення (зокрема про можливості IE8).

Продовжуючи розпочату традицію, після попереднього відео про приватність в Google Gmail, пропоную нове відео на веб секюріті тематику. Цього разу відео про приватні дані в Інтернеті. Рекомендую подивитися всім хто цікавиться цією темою.

Everyone Knows Your Name

Вже багато років я планував розповісти про це відео і ось нарешті дійшов до нього. Воно на тему приватності особистих даних, як і декілька останніх відео, про які я писав (і ця тема стає з кожним роком все більш актуальною). Це соціальна реклама на тему розповсюдження приватних даних в інтернеті.

В відео показані ризики приватності для людей, що розміщують особисті дані в Мережі (зокрема в соціальних мережах та на інших соціальних сайтах). В ньому закликається думати, що ви розміщуєте в онлайні. Рекомендую подивитися дане відео для розуміння ризиків приватності в Інтернеті.

Серед цікавих векторів XSS атак, на які недостатньо звертають увагу веб розробники, є атаки на форми де використовуються різноманітні rich редактори (або коли веб розробники візуалізують дані в формах подібно до rich редакторів чи використовують AJAX). Cross-Site Scripting уразливості в таких формах можуть мати місце навіть при наявності фільтрації вхідних та віхідних даних.

До rich редакторів відносяться FCKeditor, CKEditor (це назва FCKeditor починаючи з третьої версії), TinyMCE та інші. Які додаються до форм, щоб надати користувачам можливості візульної обробки даних. А також подібні XSS уразливості можуть мати місце в веб додатках, що візуалізують контент.

Суть уразливості зводиться до того, що веб додаток (rich редактор або інший веб додаток) візуалізує отримані дані (вони можуть бути отримані від користувача, або з БД, куди вони були занесі так чи інакше від користувача). І навіть якщо у веб додатку є фільтрація вхідних і/або вихідних даних, коли спеціальні html символи замінюються на їхні сутності, це можна обійти і виконати XSS код. Для цього потрібно використати тег img та відповідний обробник (onerror чи onload).

За допомогою даного коду можна провести XSS атаку на подібні веб додатки. Тег img буде візуалізований в зображення і при цьому виконається код в браузері користувача:

<img src=’1′ onerror="javascript:alert(document.cookie)">

Про подібні уразливості я неодноразово писав за останні 4 роки: стосовно persistent XSS (в Relay та Drupal) та reflected XSS (в Relay, PHP-Nuke та Drupal). А також неодноразово зустрічав подібні дірки на різних сайтах. Враховуючи поширеність вищезгаданих веб додатків, дані уразливості стосуються мільйонів сайтів.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• War dialing
• Wardriving
• Warzapping
• Cross-Server Attack (XSA)
• Zero-day attack

Продовжуючи розпочату традицію, після попереднього відео про Google як загроза вашій приватності, пропоную нове відео на веб секюріті тематику. Цього разу відео про приватність в Google Gmail. Рекомендую подивитися всім хто цікавиться цією темою.

Google GMail Privacy

Подібно до двох попередніх відео на тему приватності, де розповідалося про ризики використання Gmail, пошуковця Гугла та браузера Chrome (як і взагалі всіх веб сервісів даної компанії), в даному випадку більш детально розповідається про Gmail - сервіс веб пошти від Google.

Це відео безпосередньо від Consumerwatchdog стосовно підходів Гугла до ігнорування приватності користувачів своїх програмних продуктів і сервісів. А також тих людей, що взаємодіють з користувачами ПЗ і сервісів Гугла.

В відео детально розглянуті ризики безпеки і приватності при користуванні Gmail на прикладі функції автозбереження Гмайла та функції створення ярликів для веб сайтів в Google Chrome (на прикладі Гмайла). Дана функція Chrome, що була в браузері з самої першої версії, доволі цікава, але має обмеження (які описані в даному відео), що можуть призвести до проблем з приватністю. Рекомендую подивитися дане відео для розуміння ризиків приватності при використанні веб сервісів, зокрема сервісів Гугла.