Websecurity - Веб безпека

В своїй презентації Client Side Attacks, Mauricio Velazco розповідає про атаки на клієнтів. Презентація зроблена на іспанській мові, але є деякі слайди з текстом на англійській мові.

Як в 2009 році повідомив представник Mozilla в своїй статті cross-site xmlhttprequest with CORS, починаючи з версії Firefox 3.5 в браузері Firefox додана підтримка міжсайтових XHR запитів. Яка реалізована через специфікацію Cross-Origin Resource Sharing (CORS). Міжсайтові XHR запити також підтримуються в інших браузерах, зокрема в Safari, Chrome та IE8.

Якщо раніше XHR запити могли бути лише в рамкам одного домену, то в нових браузерах, що підтримують Cross-Site XMLHttpRequest, запити можуть бути проведені між різними доменами. Що створює можливості для нових міжсайтових атак.

Тому враховучи, що в Firefox 3.5, Safari 4, Chrome 2 та Internet Explorer 8 є підтримка Cross-Site XMLHttpRequest, то це може бути використано для міжсайтових XSS атак з викорисанням XHR. Так що при відповідних умовах в нових браузерах може проводитися новий вид атак - міжсайтові XHR атаки (cross-site XHR attacks).

При наступних умовах можливі міжсайтові XHR атаки:

1. При наявності HTTP Response Splitting уразливості на сайті для виведення потрібних заголовків сервера.
2. При наявності уразливостей, що дозволять завантажити на сайт серверні скрипти для виведення потрібних заголовків сервера.
3. При наявності на сайті XSS дірки, а на сервері нападника є скрипт, який дозволяє звертатися через XHR (таким чином комунікація відбувається через XHR).
4. При наявності проксі (що контролюється нападником), який для будь-якого сайта виводить необхідні заголовки сервера, щоб дозволити міжсайтовий XHR.
5. При наявності вірусів на комп’ютері користувача (це можуть бути й плагіни/доповнення до браузера), що для будь-якого сайта виводять необхідні заголовки, щоб дозволити міжсайтовий XHR.

Продовжуючи розпочату традицію, після попереднього відео про IIS WebDAV уразливість в дії, пропоную новий відео секюріті мануал. Цього разу відео про eксплоіт для LNK уразливості в Microsoft Windows. Рекомендую подивитися всім хто цікавиться цією темою.

Microsoft LNK Exploit – MS10-046

Раніше я вже писав про виконання коду через ярлики в Microsoft Windows. Дана уразливість була виявлена в різних версіях ОС Windows від Microsoft (патч для якої вийшов на початку серпня). І в даному відео ролику демонструється використання даної уразливості в ярликах для атаки на IE.

В відео показаний процес атаки на користувачів Internet Explorer через спеціально створений сайт (зі спеціальним ярликом). Рекомендую подивитися дане відео для розуміння векторів атак на браузер Internet Explorer.

Продовжуючи розпочату традицію, після попереднього відео про тунелінг експлоітів через SSH, пропоную новий відео секюріті мануал. Цього разу відео про IIS WebDAV уразливість в дії. Рекомендую подивитися всім хто цікавиться цією темою.

IIS WebDAV Vulnerability in Action

Раніше я вже писав про обхід аутентифікації WebDAV в Microsoft IIS, що була виявлена в веб сервері Microsoft в 2009 році. І в даному відео ролику демонструється використання даної уразливості в IIS.

В відео показані різні варіанти атаки через WebDAV. Рекомендую подивитися дане відео для розуміння векторів атак з використанням уразливості в аутентифікації WebDAV в IIS.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Intrusion detection system evasion techniques
• Laptop theft
• Login spoofing
• Memory safety
• Mixed threat attack

В своїй статті Неякісне використання MD5 у веб додатках я розповів про некоректне використання захисних механізмів, що призводить до уразливостей у веб додатках. У даній статті (що я планував написати з початку 2009) я роповім про інший приклад неякісного використання захисних механізмів, що дозволяє атакувати користувачів та адмінів сайтів.

Зловживання захисними механізмами.

Існує такий метод захисту як блокування (воно може бути зроблене по IP або іншим параметрам). І всі захисні механізми, що використовують автоматичне блокування, можуть бути використані проти користувачів та адмінів сайтів (і навіть ботів пошукових машин). Тобто можлива атака на захисні механізми сайта (на вбудований захист чи на WAF) з метою блокування доступу до сайта.

Заступ може бути заблокований як до акаунта користувача, так і до всього сайта. Тому можливо змусити сайт заблокувати користувачів, що призведе до DoS для кожного атакованого користувача і з великою кількістю заблокованих користувачів це призведе до DoS самого сайта (навіть без проведення DDoS атаки), тому що більшість користувачів не зможуть відвідати сайт.

Це інша версія зворотньої DDoS атаки (reverse DDoS attack) про яку я писав в 2008. Якщо в тому випадку атака вібдувалася на браузери користувачів сайта, то в даному випадку атака відбувається на захисні механізми сайта (від імені відвідувачів сайта).

Можливі наступні атаки:

• Атаки для блокування аккаунтів при некоректних логінах.
• Атаки на вбудовані захисні механізми (вбудовані IPS) з блокуванням.
• Атаки на WAF з включеним блокуванням.
• Атаки для блокування ботів пошукових систем.

Атаки на вбудовані IPS та WAF є більш небезпечними ніж атаки на логін форми, тому що вони призводять до блокування доступу до всього сайта і можуть бути використані не тільки для блокування користувачів та адмінів сайтів, але також і ботів пошукових систем.

Атаки для блокування аккаунтів при некоректних логінах.

Існують такі веб додатки (наприклад, форуми та інші движки), що використовують автоматичне блокування як захист від Brute Force атак на логін форми. Якщо логіни відомі (а я багато разів присав про численні Information Leakages у веб додатках, що призводять до витоку логінів), то можна заблокувати всі дані акаунти.

Це робиться шляхом введення коректного логіна і некоректного пароля (стільки разів, скільки треба для перевищення порогу блокувальної системи). Я бачив такі веб додатки (зокрема форумні движки) і такі атаки на них в своїй практиці. Це відома проблема для секюріті співтовариства, але все ще незрозуміла для веб розробників.

Атаки на вбудовані захисні механізми (вбудовані IPS) з блокуванням.

Існують сайти з вбудованими захисними механізмами з блокуванням і вони можуть бути атакованими з використанням даного методу. В 2009 я знайшов такий сайт як www.4post.com.ua, де серед інших уразливостей була Abuse of Functionality дірка (в захисному функціоналі, що блокував доступ при одному спеціальному запиті до сайта), що дозволяла проводити блокування користувачів та адмінів сайта.

Також я описав метод обходу блокування на даному сайті. Будь-який адмін чи користувача даного сайта, чи бот, що відвідав його, який не знає даного методу обходу, не будет мати доступу до всього сайта після проведення даної атакиk.

Так що з простою CSRF атакою (такою як GET запит через тег img) на користувачів сайта, можливо заблокувати повний доступ до сайта для користувачів і навіть адмінів сайта. Нижчезгадане блокування ботів пошукових систем також можливе на цьому сайті.

Атаки на WAF з включеним блокуванням.

Існують сайти з WAF з включеним блокуванням і вони також можуть бути атакованими з використанням даного методу. Я бачив такі сайти в своїй практиці, що використовують WAF (зокрема ModSecurity) та повністю блокують відвідувача (по IP) після декількох підозрілих запитів. Так що ламерські WAFи з такими налаштуваннями можуть бути використані проти користувачів та адмінів сайтів з ними.

З декількома простими CSRF атаками (повинно бути стільки атак, скільки треба для перевищення порогу WAF) на користувачів сайта, можливо заблокувати повний доступ до сайта для користувачів та адмінів сайта. Нижчезгадане блокування ботів пошукових систем також можливе на таких сайтах.

Атаки для блокування ботів пошукових систем.

Також можна заблокувати ботів (павуків) пошукових систем за допомогою даної атаки. Якщо зробити спеціальну лінку на іншому сайті що веде на цільовий сайт (і лінка містить необхідні параметри для включення блокування), тоді боти пошуковий систем перейдуть по даній лінці. І після відвідання цільового сайта бот буде заблокований (по IP, якщо блокування відбувається по IP, чи по сесії, якщо блокування відбуваєтьмся по сесії і бот підтримує обробку сесій). Що призведе до того, що сайт не буде проіндексований пошуковими системами і він випаде з індексів пошукових систем.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Man in the Browser
• In-session phishing
• Computer insecurity
• Integer overflow
• Inter-protocol exploitation

Продовжуючи розпочату традицію, після попереднього відео про використання BeEF і PHProxy для MITM атак, пропоную новий відео секюріті мануал. Цього разу відео про тунелінг експлоітів через SSH. Рекомендую подивитися всім хто цікавиться цією темою.

Tunneling Exploits Through SSH (whoppix)

В даному відео ролику розповідається про взлом сервера баз даних, що знаходиться на окремому сервері, через веб сервер, який знаходиться на комп’ютері, що доступний з Інтернет. Спочатку взламується веб сервер, на якому розміщується SSH сервер, до якого під’єднується нападник (обходячи при цьому фаєрвол).

Потім виявляється сервер в локальній мережі, де розміщена СУБД. Яка взламується з комп’ютера з веб сервером, до якого команди надходять через SSH. Рекомендую подивитися дане відео для розуміння векторів атак з використанням SSH.

В своїй презентації 2010: A Web Hacking Odyssey - Top Ten Hacks of the Year, Jeremiah Grossman розповідає про найкращі 10 веб хаків 2009 року. Раніше я вже писав про Найкращі веб хаки 2009 року і в своїй презентації Джеремія детально розповідає про десятку найкращих веб хаків.

This is English version of my Faulty using of MD5 in web applications article.

Cryptographic algorithm MD5 (Message-Digest algorithm 5), which designed for hash creation, is widely used in programming, particularly in developing of web applications, as security tool. Besides using it for hashing of passwords, MD5 is also using for other tasks which concern security (about which will be going in this article). E.g. for generating of passwords at installation or creating of new accounts, or at creating of random strings for names of files or folders.

At using of MD5 algorithm for security purposes its faulty using is possible, which will lead to decreasing of security of web applications and to appearing of vulnerabilities in them. These defects of using of MD5 algorithm I called MD5-string attack. In 2007-2008 I found two such cases, which concern WordPress (other web applications also could have such vulnerabilities).

As I already mentioned in 2008 - output alphabet of MD5 algorithm has 16 chars. So at using of e.g. function md5 (in PHP), at its output you’ll receive a string which consists of 16 chars of md5-alphabet. And at using of short string, its reliability will come out small, if to use this string for safety mechanisms (because it can be picked up relatively easy).

The number of possible combinations depending on length of md5-string:

16^1 = 16
16^2 = 256
16^3 = 4096
16^4 = 65536
16^5 = 1048576
16^6 = 16777216
16^7 = 268435456

Only at length of md5-string in 7 chars, its reliability will be acceptable (at using for safety mechanisms). If length of md5-string is less then 7 chars, then it can be picked up relatively quickly.

Examples of MD5-string attacks.

1. Using of md5-strings for creating of passwords.

As I wrote regarding Weak Password vulnerability in WordPress, in this engine (in versions WordPress 2.0.x and potentially up to 2.3.3 inclusive), the weak password was set at installation.

It consists from 6 chars of md5-alphabet. And because we have at output of function md5 the alphabet in 16 chars, then this password has 16777216 of possible combinations. And with bruteforce it can be picked up relatively quickly.

2. Using of md5-strings as path to important resources.

As I wrote regarding Information Leakage and Full path disclosure vulnerabilities in WordPress, in plugin WordPress Database Backup the function md5 is using for creating of the folder for backups.

Name of the folder looks like “backup-xxxxx” - it’s “backup-” and 5 chars of md5-alphabet. And it’s just 1048576 of possible combinations. Which can be picked up relatively quickly.

So at using of MD5 algorithm for safety mechanisms in web applications it’s needed to consider its alphabet. Because in case when short md5-string is using for creating of password (as in WP), or for name of the folder with backups of DB (as in plugin WordPress Database Backup), then it can be bruteforced relatively quickly.

P.S.

As showed my researches of work of different hash-functions (in addition to md5), in result of work of such hash-functions as gost, lm, md4, mysql323, mysql411, ntlm, ripemd128, ripemd160, ripemd256, ripemd320, sha1, sha224, sha256, sha384, sha512, tiger128_3, tiger128_4, tiger160_3, tiger160_4, tiger192_3, tiger192_4 and whirlpool the string results, which also is hexadecimal number (as in md5). So this string also has alphabet from 16 chars. And so all warnings regarding the length of string in function md5 (at using this string for safety mechanisms) in equal degree concern to these functions.