Websecurity - Веб безпека

Подібно до використання сайтів для атак на інші сайти через Abuse of Functionality уразливості, через Abuse of Functionality також можна використовувати сайти для розсилки спаму.

Ситуація з розсилкою спаму через сайти подібна до використання сайтів для атак на інші сайти, про що я розповідав в вищезгаданій статті (що зокрема може використовуватися для проведення DoS та DDoS атак). В Інтернеті є чимало подібних уразливостей, про які я писав багато різів, тому чимало сайтів можуть використовуватися для розсилки спаму. Це можна робити через Abuse of Functionality та CRLF Injection уразливості (в даній статті я розповім саме про використанням Abuse of Functionality уразливостей).

Використання Abuse of Functionality для розсилки спаму.

Дослідження даних уразливостей я почав ще в 2007 році, коли виявив подібну уразливість на www.ibm.com. З тих пір я знайшов чимало сайтів з подібними уразливостями, а також уразливих плагінів для популярних веб додатків (що використовуються на багатьох сайтах).

Сайти з відповідними веб додатками, що дозволяють відправляти повідомлення на довільні емайли, або ж мають опцію для відправки копії на власний емайл, і при цьому дозволяють вказати всі необхідні поля, можуть використовуватися для відправки спаму. Це можуть бути як контакті форми, так й інши форми на сайтах.

Створення спам-ботнетів з сайтів.

Подібно до інструментів для проведення DDoS атак через Abuse of Functionality уразливості, як наприклад DAVOSET, так само можуть бути створені інструменти для масової розсилки спаму. Через численні Abuse of Functionality уразливості на багатьох сайтах. Подібні інструменти будуть використовуватися для автоматизованої розсилки спаму через різні уразливі сайти.

Тобто дані уразливості можуть бути використанні для створення спам-ботнетів з серверами-зомбі. Які буть розсилати спам по команді від власника ботнету. При цьому не потрібно буде взламувати сайти, а лише використовувати офіційний функціонал сайтів. І враховуючи, що спам буде розсилатися з серверів відомих компаній, то дуже вірогідно, що дані листи обійдуть спам-фільтри.

Приклади уразливих веб сайтів та веб додатків.

Подібні уразливості наявні на різних сайтах:

• на сайті IBM - www.ibm.com
• на www.delfi.ua
• на www.interface.ru
• на news.yahoo.com

Та в різних плагінах для веб додатків:

• WP-ContactForm для WordPress
• Contact Form ][ для WordPress
• com_alfcontact для Joomla

Враховуючи поширенність Abuse of Functionality уразливостей на сайтах, що дозволяють розсилати спам, та ігнорування адмінами сайтів даної проблеми, вона є актуальною. А враховуючи те, що мережу з таких зомбі-серверів можна створити без зайвого витрачання ресурсів (в тому числі й фінансових), як це має місце в класичних ботнетах, то даний вид ботнетів є дуже вигідним з фінансової сторони. Тому з часом спамери можуть звернути увагу на даний метод розсилки спаму та на даний вид спам-ботнетів.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Copy attack
• Covert channel
• Cross Application Scripting
• DNS cache poisoning
• Dangling pointer

Продовжуючи розпочату традицію, після попереднього відео про виконання коду через SQL Injection, пропоную новий відео секюріті мануал. Цього разу відео про десктопний фішинг. Рекомендую подивитися всім хто цікавиться цією темою.

Desktop Phishing - The New Art of Phishing

В даному відео ролику розповідається про відмінності між класичним і десктоп фішінгом. Та демонструється проведення фішинг атаки (на прикладі сайта paypal.com).

Суть атаки зводиться до заміни hosts файла в Windows системі жертви (в якому задається IP адреса сервера нападника для відповідних доменів). Про використання даного методу я вже раніше розповідав. Рекомендую подивитися дане відео для розуміння векторів атак з використанням десктопного фішингу.

Для привернення більшої уваги до проблеми описаної в статті Використання сайтів для атак на інші сайти, я провів додаткові дослідження. Для оцінки легкості, зручності та ефективності проведення атак на сайти через використання інших сайтів. Зокрема DoS та DDoS атак, про які я писав у вищезгаданій статті. Щоб показати, що дані атаки не є лише моїм припущенням, але їх цілком реально, легко і зручно проводити (і вони мають достатню ефективність).

Можливі наступні види DoS та DDoS атак з використанням даного методу:

1. DoS атака з використанням іншого сайту в якості проксі.
2. DoS атака з використанням іншого сайту в якості нападника.
3. DDoS атака з використанням багатьох інших сайтів в якості серверів-зомбі.

Якщо з першим двума видами атак все відносно просто і їх відносно легко проводити (в першому випадку лише потрібно знайти DoS уразливість на сайті, а в другому - великий файл на сайті), то з третьою атакою з використанням серверів-зомбі все більш складніше. Бо потрібно знайти відповідні Abuse of Functionality уразливості на багатьох сайтах та створити ботнет з серверів-зомбі. І щоб продемонструвати реальність даних атак я розробив спеціальну програму, про яку розповім в даній статті.

DoS атака з використанням іншого сайту в якості проксі.

http://www.google.com/ig/add?feedurl=http://site/script?p=benchmark(100000,md5(now()))

В цьому випадку використовується DoS уразливість на сайті http://site (в даному випадку DoS через SQL Injection), для проведення атаки через сайт Гугла (через функціонал iGoogle).

DoS атака з використанням іншого сайту в якості нападника.

http://www.google.com/ig/add?feedurl=http://site/big_file

При наявності великого файлу на сайті http://site можна провести DoS атаку на нього через сайт Гугла, вказавши в iGoogle адресу цього файлу. І якщо зробити серію таких запитів до iGoogle, сервер Гугла перенавантажить своїми запитами сервер, що атакується.

DDoS атака з використанням багатьох інших сайтів в якості серверів-зомбі.

Для дослідження ефективності даних атак я розробив програму для проведення DDoS атак через використання інших сайтів. Яку я назвав DDoS attacks via other sites execution tool (DAVOSET). Це інструмент для проведення DDoS атак через Abuse of Functionality уразливості на сайтах.

Для атаки в DAVOSET потрібно вказати лише адресу сайта, що атакується (http://site), або великого файлу на цьому сайті (http://site/big_file) чи DoS уразливості на ньому. Після чого всі зомбі-сервери зі списку заданого в програмі атакують вказаний сайт і перенавантажать сервер.

Для дослідження я використав 20 зомбі-серверів - це 20 онлайн сервісів, що мають Abuse of Functionality уразливості, що розміщені на 10 фізичних серверах (деякі з цих сервісів розміщені на одному сервері, а також є випадки використання декількох різних уразливих скриптів чи різних уразливостей в одному скрипті одного сервіса). Для тестування були вибрані два невеликих сайти на двух не дуже потужних серверах (враховуючи невелику кількість зомбі-серверів в ботнеті).

Для першого сайта: в результаті атаки завантаження головної сторінки даного сайта зросло в середньому на 21,19% - з 4,72 с. до 5,72 с. Тобто сайт став тормозити на короткий час. І це лише при 20 зомбі-серверах.

При цьому результати роботи DAVOSET наступні (за один запуск): час 0:05, запитів 20, байт відправлено 3068. Тобто невеличкий об’єм трафіку використаного програмою призвів до значно більшого об’єму трафіку на сервер, що атакується. При циклічному запуску програми (наприклад, кожні 5 секунд) та при більшій кількості зомбі-серверів, можна повністю заблокувати роботу даного серверу.

Для другого сайта: в результаті атаки завантаження головної сторінки даного сайта зросло в середньому на 1677% - з 2,21 с. до 39,28 с. (і на 3465% - до 78,80 с. при повторному тестуванні через пів години). І це лише при 20 зомбі-серверах.

При цьому результати роботи DAVOSET наступні (за один запуск): час 0:03, запитів 20, байт відправлено 3368. Зазначу, що другий сервер після запуску декількох атак (для підрахунку середнього значення) починав не просто сильно тормозити, а взагалі підвисав майже на пів години. Так що навіть невелика DDoS атака з 20 зомбі-серверами може надовго підвисити сервер.

Враховуючи поширенність Abuse of Functionality уразливостей на сайтах, що дозволяють атакувати інші сайти, та ігнорування адмінами сайтів даної проблеми, вона є актуальною. А враховуючи те, що мережу з таких зомбі-серверів можна створити без зайвого витрачання ресурсів (в тому числі й фінансових), як це має місце в класичних ботнетах (де потрібно створювати трояни та експлоіти, що будуть їх завантажувати на ПК користувачів, а також потрібно поширювати дані експлоіти та пітримувати зомбі-мережу), то даний вид ботнетів є дуже вигідним з фінансової сторони. Тому даний метод атак може стати поширеним в найближчій перспективі.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Buffer overflow
• Buffer overflow protection
• Clear Channel Assessment attack
• Code injection
• Common Vulnerabilities and Exposures

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю. Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок.

Наведу нові приклади Information Leakage уразливостей в різних веб додатках (зокрема форумах), що приводять до витоку інформації про версію системи.

IPB

В IPB на кожній сторінці форуму виводиться версія системи (Powered by Invision Power Board v1.3).

phpBB

В phpBB версію системи можна дізнатися в файлах http://site/docs/CHANGELOG.html, http://site/docs/INSTALL.html та http://site/docs/README.html (phpBB 2.0.13).

vBulletin

В vBulletin на кожній сторінці форуму виводиться версія системи (Powered by vBulletin Version 3.8.2).

SMF

В SMF на кожній сторінці форуму виводиться версія системи (Powered by SMF 1.1.11).

YaBB

В YaBB на кожній сторінці форуму виводиться версія системи (Powered by YaBB 2.4).

Продовжуючи розпочату традицію, після попереднього відео про отримання root на Linux, пропоную новий відео секюріті мануал. Цього разу відео про виконання коду через SQL Injection. Рекомендую подивитися всім хто цікавиться цією темою.

SecureState SQL Injection Video

В даному відео ролику демонструється виконання коду через SQL Injection уразливість для отримання віддаленого доступу з адмінськими правами на Windows сервері. Атака відбувається через SQL Server запущений з правами адміністратора.

Після того, як була знайдена SQL Injection, через неї виконується спеціальний код (з Binary Payload), що виконує необхідні команди на сервері з правами сервера СУБД, в якості якого виступає SQL Server. Що відкриває реверс шел на сервері, який з’єднується з telnet-клієнтом на комп’ютері хакера і надає йому адміньский доступ до системи. Рекомендую подивитися дане відео для розуміння векторів атак з використанням SQL Injection.

В минулому році в статті DoS атаки через Abuse of Functionality уразливості я розповів про можливість проведення DoS атак через Abuse of Functionality уразливості на інших сайтах. Зокрема я навів приклади подібних уразливостей на сайтах regex.info та www.slideshare.net. Дані атаки можуть бути як однонаправлені (unidirectional DoS), так і двонаправлені (bidirectional DoS), в залежності від потужностей обох серверів.

Зараз розповім вам про можливість проведення CSRF атак на інші сайти через Abuse of Functionality уразливості. Дослідження даних атак я почав ще в 2007 році, коли виявив подібну уразливість на regex.info.

Використання Abuse of Functionality для атак на інших сайти.

Сайти, які дозволяють робити запити до інших веб сайтів (до довільних веб сторінок), мають Abuse of Functionality уразливість і можуть бути використані для проведення CSRF атак на інші сайти. В тому числі DoS атаки через Abuse of Functionality, як зазначалося вище. CSRF атаки можна робити лише на ті сторінки, що не вимагають авторизації.

Для даних атак можна використати як Abuse of Functionality уразливості (подібні до наведених в даній статті), так і Remote File Include уразливості (як у PHP додатках) - це Abuse of Functionality через RFI.

Даний метод атак може знадобитися, коли необхідно провести приховану CSRF атаку на інший сайт (щоб не засвітитися), для проведення DoS і DDoS атак та для проведення інших атак, зокрема для виконання різних дій, які потрібно зробити з різних IP. Наприклад, при онлайн голосуванні, для накручування показів лічильників та показів реклами на сайті, а також для накручення кліків (click fraud).

Abuse of Functionality:

Атака відбувається при звернені одного сайта (http://site) до іншого (http://another_site) при використані відповідної функції сайта (http://site/script).

http://site/script?url=http://another_site

Переваги даного методу атак.

У даного метода, що використовує зовнішні сайти для атак на інші сайти, є наступні переваги (порівняно з використанням власного комп’ютера):

• Використання ресурсів інших серверів.
• Приховання реферера (порівняно з CSRF атаками через користувачів сайтів).
• Приховання власного IP, що окрім приховання джерела атаки, також може використовуватися для обходу обмежень на IP.
• Проведення DoS атак на інші сайти, з використанням серверів зовнішніх сайтів.
• Проведення DDoS атак на інші сайти, з використанням серверів зовнішніх сайтів.

Зазначу, що дану DoS атаку можна використати для атак на редиректори, про які я писав в своїх статтях Пекло редиректорів та Пекельний вогонь для редиректорів.

Також при проведенні DoS атак можна використати одразу декілька таких серверів і таким чином провести DDoS атаку. В такому випадку дані сервери будуть виступати в якості комп’ютерів-зомбі. Тобто бот-мережа буде зроблена не з домашніх комп’ютерів, а з веб-серверів (які можуть мати більші потужності й більш швидкі канали зв’язку). Тому дані уразливості можуть призвести до появи нового класу бот-мереж (з серверами-зомбі).

Приклади уразливих веб сайтів та веб сервісів.

Для проведення CSRF атак на інші сайти можна використати різні сервіси:

1. Онлайн сервіси regex.info та www.slideshare.net.

2. Анонімайзери, такі як anonymouse.org.

3. Онлайн перекладачі на www.google.com, translate.google.com, babelfish.altavista.com та babelfish.yahoo.com.

4. Сервіси для викачки відео з відео-хостингів, такі як keepvid.com.

5. Веб додаток Firebook на всіх сайтах, що його використовують (але потрібно мати доступ в адмінку або проводити CSRF атаку на адміна сайта).

6. W3C валідатори - всього 11 вразливих валідаторів (12 скриптів).

7. Функціонал iGoogle:

http://www.google.com/ig/add?feedurl=http://google.com

Ще 24.07.2008 я звернув увагу, що через Abuse of Functionality та Insufficient Anti-automation уразливості на сайті Гугла, даний функціонал iGoogle може бути використаний для атак на інші сайти.

Продовжуючи розпочату традицію, після попереднього відео про атаку з використанням Jikto і Blindmap, пропоную новий відео секюріті мануал. Цього разу відео про отримання root на Linux. Рекомендую подивитися всім хто цікавиться цією темою.

linux rooting video

В даному відео ролику демонструється отримання адмінського доступу (root) на Linux сервері. Для даної атаки необхідно мати доступ до файлової системи на веб сервері на Linux. Що може бути зроблено через уразливості (зокрема ті, що дозволяють закачати шел на сервер), про які я багато писав, в тому числі наводив відповідні відео ролики.

Після того, як шел розміщений на сервері, потрібно закачати експлоіт на сервер, відкомпілювати його та запустити. Для підняття своїх прав - з обмеженого акаунту до root. Рекомендую подивитися дане відео для розуміння векторів атак з використанням експлоітів для Linux для підняття прав (elevation of privilege) в системі.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Full disclosure
• Alphanumeric code
• Arbitrary code execution
• Blended threat
• Call gate