Websecurity - Веб безпека

Продовжу тему “Error” Гугл хакінга (”Error” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “еррор” пошукових запитів:

“Fatal error”

“Fatal error: Call to undefined”

“Fatal error: Call to undefined function”

“Fatal error: Call to undefined method”

“Fatal error: Call to a member”

“Fatal error: Call to a member function”

“Fatal error: Allowed memory size”

“Parse error”

“Parse error: syntax error”

“Parse error: parse error”

В новій главі свого Посібника з безпеки, про яку я згадував на минулому тижні, я розповів про небезпеки Full path disclosure уразливостей.

Витік повного шляху (Full path disclosure) - це уразливість, що призводить до витоку повного шляху на сервері. Це один з найбільш поширених витоків інформації, як я вже зазначав в своїх статтях про “Warning” Google хакінг та “Error” Google хакінг, де я наводив приклади пошукових запитів, що виводять мільйони вразливих сайтів. І Full path disclosure дірки несуть в собі небезпеку для сайтів.

Даний тип уразливостей може бути використаний:

1. Для отримання інформації про структуру папок на сервері. Що може бути в подальшому використано для проведення Directory Traversal, Local File Inclusion та SSI Injection атак.
2. Для знаходження прихованих ресурсів на сайті з отриманої структури папок.
3. Для отримання інформації про логін до ftp акаунту та інших сервісів сервера.
4. Для отримання інформації про назву БД та логін до акаунту СУБД.

Також в даній главі свого посібника я розповів про методи захисту від Full path disclosure уразливостей. Наведені методи захисту для мов програмування Perl і PHP.

В своїй презентації Using Security Engineering and Formal Methods to create secure Web Applications, Nick Mathew розповідає про створення безпечних веб додатків. Про те, як використовуючи секюріті інженерію та формальні методи можна створювати безпечні веб додатки.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Meet-in-the-middle attack
• Brute-force attack
• Threat model
• Time-of-check-to-time-of-use
• Timeline of computer viruses and worms

В статті CrimeWare: новий виток противостояния розповідається про CrimeWare. Це фінансові шкідливі програми, тобто віруси, що призначені для викрадення фінансових даних користувачів.

Дана стаття присвячена аналізу ситуації, що склалася останнім часом в області атак шкідливих програм на клієнтів фінансових організацій. В ній описанна ситуація з протистоянням фінансових шкідливі програми як з антивірусною індустрєю, так і з фінансовим сектором. Піднямаються питання атак кіберкриміналу, технологічних можливостей антивірусної індустрії, захисту клієнтів фінансовими організаціями, пошуку ефективного рішення та державної підтримки.

Географія розподілу шкідливих хостингів, що займаються поширенням фінансових шкідливих програм достатньо широка. Серед 10 країн, на хостінгах яких найбільше розповсюджувалися фінансові віруси в першому кварталі 2010 року, є наступні: Бразилія, США, Китай, Росія, Німеччина, Франція, Іспанія, Великобританія, Південна Корея та Нідерланди.

Враховуючи дірявість e-commerce сайтів, включаючи сайти, що працюють з кредитними картами, в тому числі тих, що ховаються за секюріті логотипами, то дана тема є достатньо актуальною.

Витоки інформації на сайтах трапляються часто, такі як витоки повного шляху (Full path disclosure), витоки паролів та інші випадки витоків важливої інформації. В даній статті (запланованої в 2009) я розповім про витоки інформації через статистику відвідувань.

Системи статистики відвідувань можуть бути з обмеженим доступом (по логіну і паролю), а можуть бути і відкриті. От останні й представляють загрозу і про них буде йти мова. Тому що до відкритих систем статистики можуть дістатися усі бажаючі, в тому числі й нападники, які використають статистичну інформацію для своїх цілей.

Серед популярних статистичних систем є така система як Webalizer. Яку часто розміщують на сайті в публічному доступі (не обмеживши до неї доступ лише адміністаторам сайта). Що призводить до витоків інформації про сайт - сам багато разів знаходив Webalizer на різних сайтах . Зокрема раніше я писав про уразливості в XAMPP, серед яких є й стандартний і легковгадуємий шлях до Webalizer (доступ до якого не обмежений).

Використовуючи наступний дорк можна знайти сайти з незахищеним Webalizer, що були проіндексовані Гуглом:

intitle:”Usage Statistics for” - до 557000 сайтів. Серед них до 17100 державних сайтів, в тому числі до 2040 американських gov-сайтів.

Необмежений доступ до систем статистики відвідувань та витік інформації про неї може призвести до:

• Витоку реальних статистичних даних (які можуть не співпадати з офіційно декларуємими).
• Витоку даних про джерела трафіку.
• Витоку даних про структуру сайта, в тому числі про приховані ресурси (які також можуть бути не захищені паролем).
• В самих системах статистики відвідувань можуть бути уразливості.
• В самих прихованих ресурсах, інформація про які витікає через систему статистики відвідувань, можуть бути уразливості.

Тому варто обмежувати доступ до статистики відвібувань, щоб не допускати витоків інформації.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Microsoft Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Adobe Flash Player. Рекомендую подивитися всім хто цікавиться цією темою.

Metasploit Adobe Flash Player Button

В відео показаний процес атаки на користувачів Flash Player та Acrobat Reader (атака також можлива через їхні плагіни до браузерів). Дана уразливість стосується Flash Player 9.0, 10.0 і 10.1, Adobe Reader 9.4, Adobe Acrobat 9.4 та будь-яких інших продуктів, що включають флеш плеєр.

Для створення експлотіа використовується Metasploit Framework. Рекомендую подивитися дане відео для розуміння векторів атак на Flash Player та інші продукти з вбудованим флеш плеєром.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Цього разу статті на тему безпеки онлайнових електронних транзакцій.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• 3-D Secure
• Secure Electronic Transaction
• Transport Layer Security (TLS та SSL)
• Card security code
• Man-in-the-middle attack

В сезон новорічних покупок в Інтернеті, в тому числі в Уанеті, збільшується купівельна активність населення. На свята, особливо на Новорічні і Різдвяні свята, люди активно купують товари в онлайн магазинах, користуються електронними платіжними системами та іншими e-commerce сайтами.

На протязі багатьох років я неодноразово розповідав про безпеку e-commerce сайтів (як в Україні, так і інших країнах) - про дірки на сайтах онлайн магазинів, банків, електронних платіжних систем, обмінників та інших e-commerce сайтів. Тому безпека таких сайтів залишає бажати кращого, що потрібно враховувати під час онлайн шопінгу.

Серед таких уразливих e-commerce сайтів є також сайти з логотипами Verified by VISA, MasterCard SecureCode та SSL, які намагаються робити вигляд, що вони безпечні (розміщуючи ці логотипи в себе на сайтах). Як у випадку електронної платіжної системи LiqPAY. Але як добре видно з моїх новин, до бепечності таким сайтам ще далеко.

Тому інтернет користувачам при користуванні такими сайтами (особливо під час онлайн шопінгу) варто не вірити сліпо даним логотипам та офіційним заявам на дірявих сайтах, що у них все безпечно. А потрібно враховувати всю наявну інформацію про стан безпеки даних сайтів (в тому числі й інформацію в моїх новинах).

Бо як видно на прикладі LiqPAY, e-commerce сайти часто ховаються за секюріті логотипами, зокрема Verified by VISA, MasterCard SecureCode та SSL. Намагаючись таким чином задурити людям голову (при цьому зовсім не слідкуючи або недостатньо слідкуючи за безпекою). Незважаючи на назви цих технологій, вони не зможуть захистити від дірявих сайтів, через які нападники можуть дістатися до ваших онлайн гаманців та пластикових карток.

Технологія SSL вирішує лише невелике коло завдань для підвищення безпеки взаємодії користувача з сайтом і вона не врятує від дірок на сайті. А технології Verified by VISA, MasterCard SecureCode та ряд інших (J/Secure і SafeKey) - це технології, що базуються на стандарті 3-D Secure, і вони лише додають додатковий рівень безпеки, але вони не врятують від дірок на сайті. Тому за безпекою сайту також потрібно слідкувати і проводити аудит, зокрема PCI DSS (але зазначу, що я писав і про діряві PCI DSS сайти, як то easypay.ua).

До того ж електронні платіжні системи, що працюють з пластиковими картками, повинні відповідати PCI DSS. Але LiqPAY не відповідає даному стандарту, не має PCI DSS сертифіката. Зате має інші сертифікати, які для них було дешевше отримати, ніж проходити PCI DSS сертифікацію. Логотипи яких вони розмістили на сайті, роблячи тим самим вигляд і вводячи людей в оману, що в них все безпечно (що не так, враховуючи численні дірки) і вони мають необхідні сертифікати (при цьому не маючи PCI DSS сертифіката). Тобто вони намагаються підмінити необхідні сертифікати (PCI DSS) тими, які є додатковими (які можуть використовуватися на додаток до необхідних, але не замість них).

У веб серверів, що розміщені на ОС Windows, є свої особливості. Й окрім тих атак, що можуть проводитися на сайти на серверах з Linux та іншими ОС, на сайти на серверах з Windows можуть проводитися деякі інші атаки. Дані атаки можуть використовуватися для отримання даних (information leakage) та вихідних кодів скриптів (source code disclosure), а в деяких випадках для виконання довільного коду.

До таких атак відносяться:

1. Directory Traversal з використанням зворотного слеша. Про дану атаку я вже розповідав в статті Використання back slash для Directory Traversal атак.

2. Використання Alternative Data Streams (ADS) в NTFS.

3. Використання “;” проти Microsoft IIS.

4. Використання 8.3 імен файлів та директорій.

5. Використання пробільних символів наприкінці імені файлу. Це може використовуватися на уразливих веб серверах як під Windows, так і Linux та інших ОС.

6. Використання “.” наприкінці імені файлу або директорії. Це може використовуватися на уразливих веб серверах як під Windows, так і Linux та інших ОС.

7. Використання верхнього регістру в іменах папок. Це можливо в Apache під Windows.

8. Використання імен папок з розширенням “.asp” проти IIS.

Деякі з наведених атак працюють лише на вразливих веб серверах, а деякі (як перша) - на усіх веб серверах з ОС Windows.