Websecurity - Веб безпека

В своїй презентації Secure Web Applications, Vasan Ramadoss розповідає про безпечні веб додатки. Про безпечну публікацію та транзакції в Вебі.

В своєму документі SQL Smuggling Or, The Attack That Wasn’t There, Avi Douglen розповідає про атаки з використанням техніки SQL Smuggling. Це атаки на SQL ін’єкції на веб сайтах з використанням техніки обходу захисних систем.

SQL Smuggling - це техніка проведення SQL Injection атак з обходом захисних систем. Як вбудованих у веб додаток захистних фільтрів, так і встановлених на сервері IDS, IPS та WAF систем.

Зазначу, що в своїй практиці я неодноразово використовував техніку SQL Smuggling, в тому числі розробляв нові види обхідних технік. А також створював техніки smuggling-атак для інших класів уразливостей, про що я напишу окремо.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Predictable serial number attack
• Privilege escalation
• Race condition
• Racetrack problem
• Reflection attack

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Microsoft Internet Explorer, пропоную новий відео секюріті мануал. Цього разу відео про використання HTTP Parameter Pollution. Рекомендую подивитися всім хто цікавиться цією темою.

HTTP Parameter Pollution - Yahoo! Mail classic attack

В відео показаний процес атаки на сайт Yahoo! Mail з використанням HTTP Parameter Pollution. Про даний метод атак на веб додатки, розроблений в 2009 році, я згадував раніше. Рекомендую подивитися дане відео для розуміння сучасних векторів атак на веб додатки.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Metasploit Project
• Password cracking
• Payload (software)
• Pharming
• Physical information security

Продовжуючи розпочату традицію, після попереднього відео про обхід аутентифікації в Mikrotik Hotspot, пропоную новий відео секюріті мануал. Цього разу відео про eксплоіт для Microsoft Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Internet Explorer iepeers.dll use-after-free - Demo

В відео показаний процес атаки на користувачів Internet Explorer через use-after-free уразливість в iepeers.dll бібліотеці браузера. Для створення експлотіа використовується Metasploit Framework. Рекомендую подивитися дане відео для розуміння векторів атак на браузер Internet Explorer.

Про переваги атак на сайти з використанням інших сайтів я вже коротко писав в статті Використання сайтів для атак на інші сайти. А також розробив програму DAVOSET для проведення таких атак. Зараз більш детально розповів про переваги використанням інших сайтів для проведення DoS і DDoS атак та для розсилки спаму.

При проведенні DoS атак через інші сайти є наступні переваги:

• Використання ресурсів інших серверів для атаки.
• Приховання джерела атаки (за рахунок приховання власного IP).
• Обхід обмежень на IP при атаці на сайт (за рахунок використання інших серверів).
• Підставлення сайтів, що використовувалися для проведення атаки.
• Використання трафіку інших серверів.
• Можна заDoSити як цільовий сайт, так і сайт-посередник, так і обидва сайти.

При проведенні DDoS атак через інші сайти є наступні переваги:

• Використання ресурсів інших серверів.
• Приховання джерела атаки (за рахунок приховання власного IP).
• Обхід обмежень на IP при атаці на сайт (за рахунок використання інших серверів).
• Підставлення сайтів, що використовувалися для проведення атаки.
• Використання багатьох серверів, що посилить атаку.
• Використання трафіку інших серверів.

При розсилці спаму через інші сайти є наступні переваги:

• Використання ресурсів інших серверів.
• Приховання джерела розсилки спаму (за рахунок приховання власного IP).
• Підставлення сайтів, що використовувалися для розсилки спаму.
• Використання трафіку інших серверів.

З вищенаведеного видно, що у даних атак є чимало переваг і тому з часом вони будуть все більше використовуватися. І тому потрібно виправляти уразливості, що дозволяють використовувати ваші сайти для атак на інші сайти.

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для LNK уразливості в Microsoft Windows, пропоную новий відео секюріті мануал. Цього разу відео про обхід аутентифікації в Mikrotik Hotspot. Рекомендую подивитися всім хто цікавиться цією темою.

How to bypass Mikrotik Hotspot Login Page

В відео показана робота Mikrotik Hotspot, що обмежує доступ в Інтернет для залогінених користувачів. І автор відео обходить аутентифікацію в Mikrotik Hotspot і отримує вільний доступ в Інтернет. Рекомендую подивитися дане відео для розуміння векторів атак з використанням подібних уразливостей в Mikrotik Hotspot та інших системах.

В своїй статті Використання захисних механізмів для блокування доступу до сайта я розповів про некоректне використання захисних механізмів, що дозволяє атакувати користувачів та адмінів сайтів. У даній статті я роповім про інший приклад неякісного використання захисних механізмів, що призводить до уразливостей у веб додатках.

При використанні функції crypt, зокрема для створення хешів паролів, можуть виникнути секюріті проблеми. Якщо в статті Неякісне використання MD5 у веб додатках я розповів про обрізання рядків, що використовуються для секюріті потреб, самими розробниками, то в даному разі мова йде про обрізання рядків (зокрема паролів) самим алгоритмом. Що потрібно враховувати всім веб розробникам, які використовують crypt.

Функція crypt (при використанні стандартного DES алгоритму, що є по замовчуванню) урізає паролі до 8 символів. При створенні хеша функцією crypt враховуюється лише перші 8 символів паролю. Це задокументований функціонал crypt.

Але при цьому дана особливість не є достатньо відомою. І існує велика кількість додатків, зокрема на Perl та PHP, які використовують crypt (з DES). Я сам використовую Perl з січня 2001 року, але лише в 2010 році дізнався про цю особливість crypt. В літературі, яку я читав, ні слова про обмеження crypt не було сказано, і в основному лише рекомендувалося її використовувати для хешування паролів (тобто як надійний метод хешування). В своєму Посібнику з безпеки, написаному в 2005, я також порадив використовувати crypt, не зазначивши про дану особливість (але в цьому році я додав інформацію про обмеження crypt).

В Інтернеті можна знайти чимало статтей, де рекомендується використовувати функцію crypt, але при цьому рідко коли згадується про її обмеження. А в тих довідниках де про це згадується, це робиться без достатнього акцентування, тому читачі можуть на це просто не звернути уваги. Зокрема в perldoc лише в одному реченні згадується про цю особливість (чого недостатньо), зате в керівництві по PHP на це звертається більше уваги (і радиться використовувати інші алгоритми замість DES, чого цілком достатньо для привернення уваги розробників).

Тому хеш пароля довжиною більше 8 символів буде таким самим, що і хеш пароля в 8 символів (при ідентичних перших 8 символах). Що зпрощує підбір паролів і може бути використаним для атаки на Perl та PHP додатки, які використовують crypt для перевірки хешів (зокрема, хешів паролів), або при брутфорсі викрадених хешів. А також на папки на серверах з Apache, що захищені htpasswd.

Пароль в 8 символів може бути в деяких випадках достатнім, а в інших випадках - недостатнім, до того ж нападник може проводити атаку тривалий час і підібрати навіть 8 символьний пароль. А якщо використовується пароль (навіть достатньо довгий), в якому перші 8 символів легко вгадуємі і лише наступні символи не є легко вгадуємими (наприклад, “password_randomchars”), то він буде легко підібраний, тому що при створенні хеша враховуються лише перші 8 символів (”password”).

Дана ситуація має місце в Perl та PHP. В інших мовах програмування, що підтримують стандартний DES алгоритм, ситуація подібна. А також в Apache htpasswd.exe, якщо він використовує DES, при використанні на сайті htpasswd-функціонала Apache (зокрема в версії для Linux та Unix систем, бо на Windows використовується MD5 алгоритм, але є спеціальна версія htpasswd.exe, що використовує DES алгоритм). Тому при використанні даних інструментів, потрібно замість DES використоувати інший алгоритм.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• NOP slide
• Null character
• OSVDB
• Off-by-one error
• Operation: Bot Roast