Websecurity - Веб безпека

This is English version of my Dark home article.

After the article Dark side of bookmarks, I’ll draw you attention to another aspect of security which concerned with web browsers.

There is such useful functionality in browsers as Home Page (homepage). To which browser is going at his start (if it’s set accordingly). At first sight this functionality doesn’t betoken any problems with security for users of the browsers, but it’s not so. There are several attacks, which can be conducted via homepage function. I planned to tell about it already in 2008 and I’d tell you about it in my article “Dark home”.

Note, that if in my practice I saw attacks via bookmarks few times, then attacks via homepage function I saw many times. Particularly there are programs, which at their installation on computer (including secretly) are changing homepage setting in IE.

Attacks via homepage function.

There are possible next attacks via homepage function:

1. Spam.
2. Phishing.
3. Malware spreading.
4. DoS attacks.

This browsers’ functionality creates conditions for conducting of persistent attacks, because adjusted homepage are saving in settings of the browsers at computers of the users. So every of above-mentioned attacks is persistent attack, which can trigger at the next start of the browser, or when user will press Home button in his browser. So probability of triggering of this attack is much higher, then at attack via bookmarks.

Methods of conducting of attacks.

The next methods can be used for setting of malicious homepages:

1. Social engineering: inscriptions “Set your homepage” at the sites under control of offenders (where code for redirection or other code is placed, which will trigger on next visit of the site).
2. Hacking of the sites and changing of codes in links “Set your homepage” to codes with malicious link, or putting of such links at the sites under control of offenders.
3. Using of viruses for changing of existent settings of homepage to malicious link in victim’s browser.
4. Using of attacks with active (looped) proposition to set as homepage (in Internet Explorer), so as to let victim to accidentally set this site as homepage (or to force her to do it).

Attacks in different browsers.

Among above-mentioned methods of attacks all four work in Internet Explorer, and in other browsers only attacks 1 and 3. So at attack on users of all browsers, and especially alternative ones, methods of social engineering, or viruses can be used. At using of viruses, during of changing of homepage settings in browser, it’s needed also to check if browser is set in such way, to start with a blank page, and if it’s set in this way, then to change this option, to let browser starts with homepage.

At attack on users of Internet Explorer, attacks 2 and 4 can be used. For this it’s needed to use the code of setting as Homepage (which works only in IE).

<a href="#" onClick="this.style.behavior='url(#default#homepage)';this.setHomePage('http://badsite')">Set your homepage!</a>

Spam.

Advertising site can be set as homepage. So homepage function can be used for spam spreading. And besides of site advertising in such way, it also can be used for turning of statistic of this site (in different ratings).

Phishing.

Just as in case of spam, homepage function can be used for phishing. But in this case, besides conducting of attack via methods 1, 2 and 4, the most effective will be method 3. So as to let virus to find (in history, in bookmarks or in homepage settings), which bank the victim is using, and to set phishing site of this bank as homepage. So as to let victim to run browser and right away proceed to phishing site, which pose itself as a site of her bank.

Malware spreading.

Attack will be conducting via setting link on exploit for browser as homepage. Which will execute malicious code in browser of the user, after start of the browser, and will install virus at his computer.

DoS attacks.

Attack will be conducting via setting link on DoS exploit as homepage. After starting of the browser by the user, his browser will crash or freeze. At that it will be persistent attack, which will be repeated at every start of the browser, so user will can’t use it at all, until he change this option.

Mechanism of setting as homepage also can be used by itself for conducting of DoS attack on browsers. This attack I called DoS via homepage. Internet Explorer 6, Internet Explorer 7 and previous versions (and possible next versions too) are vulnerable to it.

Conclusions.

Attacks via homepage function are completely real and dangerous. So users of the browsers must be careful in Internet and don’t set any site as homepage. And it’s advisable to set own browser is such way, so at start not homepage opens, but a blank page.

Після статті Темна сторона закладок, зверну вашу увагу на ще один аспект безпеки пов’язаний з веб браузерами.

В браузерах існує такий корисний функціонал як домашня сторінка (homepage). На яку браузер переходить при його запуску (при його відповідному налаштуванні). На перший погляд даний функціонал не передвіщує жодних проблем з безпекою для користувачів браузерів, але це не так. Існує ряд атак, які можуть проводитися через функцію домашньої сторінки. Про це я запланував розповісти ще в 2008 році і розповім вам про це в своїй статті “Темний дім” (Dark home).

Зазначу, що якщо в своїй практиці я декілька разів зустрічав атаки через закладки, то атаки через функцію домашньої сторінки я зустрічав багато разів. Зокрема існують програми, які при встановленні на комп’ютер (в тому числі приховано), змінюють налаштування домашньої сторінки в IE.

Атаки через функцію домашньої сторінки.

Можливі наступні атаки через функцію домашньої сторінки:

1. Спам.
2. Фішинг.
3. Поширення шкідливого коду.
4. DoS атаки.

Даний функціонал браузерів створює умови для проведення постійних (persistent) атак, тому що задана домашня сторінка зберігається в налаштуваннях браузерів на комп’ютерах користувачів. Тому кожна з вищезгаданих атак є постійною атакою, яка може спрацювати при черговому запуску браузера, або коли користувач натисне кнопку Home в своєму браузері. Тобто вірогідність спрацювання даної атаки набагато більша, ніж при атаці через закладки.

Методи проведення атак.

Для встановлення шкідливих хоумпейджів можуть застосовуватися наступні методи:

1. Соціальна інженерія: надписи “Зробіть своєю домашньою сторінкою” на сайтах підконтрольних зловмисникам (де розміщений код для редирекції чи інший код, що спрацює при наступному відвідуванні сайта).
2. Взлом сайтів і зміна кодів у лінках “Зробити своєю домашньою сторінкою” на коди з шкідливою лінкою, або встановлення подібних лінок на сайтах підконтрольних зловмисникам.
3. Використання вірусів для зміни існуючих налаштувань домашньої сторінки на шкідливу лінку у браузері жертви.
4. Використання атак з активною (зацикленою) пропозицією додати в якості Homepage (в Internet Explorer), щоб жертва випадково зробила даний сайт своєю домашньою сторінкою (або змусити її це зробити).

Атаки в різних браузерах.

Серед вищенаведених методів атак в Internet Explorer працюють всі чотири, а в інших браузерах лише атаки 1 і 3. Тому при атаці на користувачів всіх браузерів, і особливо альтернативних, можна використати методи соціальної інженерії, або віруси. При використанні вірусів, під час зміни налаштувань домашньої сторінки в браузері, потрібно також перевірити чи не налаштований браузер таким чином, щоб запускатися з пустою сторінкою, і якщо він налаштований саме так, то змінити цю опцію, щоб браузер запускався з домашньою сторінкою.

При атаці на користувачів Internet Explorer, можна використати атаки 2 і 4. Для цього потрібно використати код встановлення в якості Homepage (що працює лише в IE).

<a href="#" onClick="this.style.behavior='url(#default#homepage)';this.setHomePage('http://badsite')">Зроби своєю домашньою сторінкою!</a>

Спам.

В якості домашньої сторінки може бути вказаний рекламний сайт. Тобто функція домашніх сторінок може використовуватися для поширення спаму. І окрім реклами сайта таким чином, це також може використовуватися для накручування статистики даного сайта (в різних рейтингах).

Фішинг.

Так само як і у випадку спаму, функція домашніх сторінок може використовуватися для фішингу. Але в цьому випадку, окрім проведення атаки через методи 1, 2 і 4, особливо ефективними буде метод 3. Щоб вірус виявив (в історії, закладках чи налаштуванні домашньої сторінки), яким банком користується жертва, і встановив в якості домашньої сторінки фішинг сайт даного банку. Щоб жертва запустила браузер і одразу перейшла на фішерський сайт, який видає себе за сайт саме її банку.

Поширення шкідливого коду.

Атака буде відбуватися через встановлення в якості домашньої сторінки лінки на експлоіт для браузера. Що виконає шкідливий код в браузері користувача, після запуску браузера, і встановить вірус на його комп’ютер.

DoS атаки.

Атака буде відбуватися через встановлення в якості домашньої сторінки лінки на DoS експлоіт. Після запуску браузера користувачем, його браузер вилетить або зависне. Причому це буде постійна атака, яка буде повторюватися при кожному запуску браузера, що користувач взагалі не зможе ним користуватися, доки не змінить дану опцію.

Також механізм встановлення в якості домашньої сторінки сам може бути використаний для проведення DoS атаки на браузери. Дану атаку я назвав DoS через хоумпейдж. До неї уразливі Internet Explorer 6, Internet Explorer 7 та попередні версії (та потенційно й наступні версії).

Висновки.

Атаки через функцію домашньої сторінки є цілком реальними і небезпечними. Тому користувачам браузерів потрібно бути уважними в Інтернеті і не додавати будь-який сайт в якості домашньої сторінки. І бажано налаштувати свій браузер таким чином, щоб при запуску відкривалася на домашня, а пуста сторінка.

This is English version of my Dark side of bookmarks article.

There is such useful functionality in browsers as bookmarks. This menu in IE called Favorites, and in other browsers called Bookmarks. At first sight this functionality doesn’t betoken any problems with security for users of the browsers, but it’s not so. There are several attacks, which can be conducted via bookmarks. I planned to tell about it already in 2008 and I’d tell you about it in my article “Dark side of bookmarks”.

Attacks via bookmarks.

There are possible next attacks via bookmarks:

1. Spam.
2. Phishing.
3. Malware spreading.
4. DoS attacks.

Bookmarks create conditions for conducting of persistent attacks, because bookmarks are saving at computers of the users. So every of above-mentioned attacks is persistent attack, which can trigger in any time, when user will choose bookmark in his browser.

Methods of conducting of attacks.

The next methods can be used for spreading of malicious bookmarks:

1. Social engineering: inscriptions “Press Ctrl-D” at the sites under control of offenders (where code for redirection or other code is placed, which will trigger on next visit of the site).
2. Hacking of the sites and changing of codes in links “Add to Favorites” to malicious codes, or putting of such links at the sites under control of offenders.
3. Using of viruses, which add bookmarks into victim’s browser.
4. Using of viruses for changing of existent bookmarks to malicious ones in victim’s browser.
5. Using of attacks with active (looped) proposition to add to bookmarks (in modern browsers), so as to let victim to accidentally add to bookmarks (or to force her to add to bookmarks).

Spam.

Bookmarks on advertising sites can be put into Bookmarks (Favorites). So bookmarks can be used for spam spreading.

Phishing.

Just as in case of spam, bookmarks can be used for phishing. But in this case, besides putting of bookmarks via methods 1, 2 and 5, the most effective will be methods 3 and 4. So as to let victim to click on bookmark, which must lead to the site of her bank, but in result proceed to phishing site.

Malware spreading.

Attack will be conducting via bookmark on exploit for browser. Which will execute malicious code in browser of the user, after click on bookmark, and will install virus at his computer.

DoS attacks.

Attack will be conducting via bookmark on DoS exploit. After click on bookmark by the user, his browser will crash or freeze.

Mechanism of bookmarks also can be used by itself for conducting of DoS attacks on browsers. This attack I called DoS via bookmarks. Firefox 3 and previous versions, Internet Explorer 6, Internet Explorer 7 and Opera 9 and previous versions are vulnerable to it.

Conclusions.

Attacks via bookmarks are completely real and dangerous. So users of the browsers must be careful in Internet and don’t add anything in bookmarks. And don’t click on unknown bookmarks in own browser.

В браузерах існує такий корисний функціонал як закладки (букмарки). Дане меню в IE називається Favorites, в інших браузерах - Bookmarks. На перший погляд даний функціонал не передвіщує жодних проблем з безпекою для користувачів браузерів, але це не так. Існує ряд атак, які можуть проводитися через закладки. Про це я запланував розповісти ще в 2008 році і розповім вам про це в своїй статті “Темна сторона закладок” (Dark side of bookmarks).

Атаки через закладки.

Можливі наступні атаки через закладки:

1. Спам.
2. Фішинг.
3. Поширення шкідливого коду.
4. DoS атаки.

Закладки створюють умови для проведення постійних (persistent) атак, тому що закладки зберігаються на комп’ютерах користувачів. Тому кожна з вищезгаданих атак є постійною атакою, яка може спрацювати в будь-який час, коли користувач вибере закладку в своєму браузері.

Методи проведення атак.

Для поширення шкідливих закладок можуть застосовуватися наступні методи:

1. Соціальна інженерія: надписи “Натисніть Ctrl-D” на сайтах підконтрольних зловмисникам (де розміщений код для редирекції чи інший код, що спрацює при наступному відвідуванні сайта).
2. Взлом сайтів і зміна кодів у лінках “Добавте у вибране” на шкідливі коди, або встановлення подібних лінок на сайтах підконтрольних зловмисникам.
3. Використання вірусів, що заносять закладки у браузер жертви.
4. Використання вірусів для зміни існуючих закладок на шкідливі у браузері жертви.
5. Використання атак з активною (зацикленою) пропозицією додати в закладки (у сучасних браузерах), щоб жертва випадково додала у закладки (або змусити її додати у закладки).

Спам.

В закладки (Bookmarks, Favorites) можуть бути занесені закладки на рекламні сайті. Тобто закладки можуть використовуватися для поширення спаму.

Фішинг.

Так само як і у випадку спаму, закладки можуть використовуватися для фішингу. Але в цьому випадку, окрім занесення закладок через методи 1, 2 та 5, особливо ефективними будуть методи 3 і 4. Щоб жертва клікнула на закладку, яка повинна вести на сайт її банку, а в результаті перейшла на фішерський сайт.

Поширення шкідливого коду.

Атака буде відбуватися через закладку на експлоіт для браузера. Що виконає шкідливий код в браузері користувача, після кліку по закладці, і встановить вірус на його комп’ютер.

DoS атаки.

Атака буде відбуватися через закладку на DoS експлоіт. Після кліку по закладці користувачем, його браузер вилетить або зависне.

Також механізм закладок сам може бути використаний для проведення DoS атаки на браузери. Дану атаку я назвав DoS через букмарки. До неї уразливі Firefox 3 та попередні версії, Internet Explorer 6, Internet Explorer 7 і Opera 9 та попередні версії.

Висновки.

Атаки через закладки є цілком реальними і небезпечними. Тому користувачам браузерів потрібно бути уважними в Інтернеті і не додавати будь-що в закладки. І не клікати по невідомим закладкам в своєму браузері.

В Інтернеті постійно відбуваються фішинг-атаки. Я це знаю не тільки з публічної статистики, але й з власного досвіду - мені щодня приходить по декілька ламерських фішерських емайлів (серед щоденного потоку спама). В Уанеті також відбуваються атаки фішерів і з кожним роком все більше.

Зокрема нещодавно я писав стосовно фішинг-атак, де зазначав, що фішинг-атаки на клієнтів українських банків відбуваються регулярно. Подібні атаки мали місце в 2006, 2007, 2008 і 2009 році. І головне, що на подібні атаки ведуться люди, які стають жертвами фішерів - подібні випадки були в попередні роки і в цьому році (хоча той випадок, про який повідомила СБУ, виглядає дещо підозрілим, але він є ціклом імовірним).

За останніми даними, число фішингових атак досягло дворічного максимуму. Тому користувачам сайтів українських банків та онлайнових платіжних систем потрібно бути обережними в Інтернеті.

В своїй презентації Фішинг-атаки через Інтернет, я навів приклади фішерських атак. Серед методів фішинг-атак я виділив наступні:

• Зараження комп’ютера користувача банківським трояном.
• Підробка банківського сайта.
• Використання уразливостей банківського сайта.

Також існують нові просунуті методи проведення фішерських атак, про які я писав раніше. Це фішинг-атаки через електронну пошту, коли фішинг сайт розміщується в емайлі, та через редиректори.

Ідею з використанням редиректорів для фішинг-атак я придумав влітку цього року і поки ще не зустрічав випадків подібних атак, але з часом такі атаки можуть з’явитися (тому я попередив про це як власників сервісів редирекції та розробників браузерів, так і всю інтернет спільноту). При використанні редиректорів для проведення даних атак, можна розмістити фішинг сайт в лінці. Такі атаки можна провести через TinyURL та інші сервіси редирекції.

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: “filename cannot be empty”

Warning: constant

Warning: Unable to access

Warning: convert “function.convert”

Warning: “cannot read from”

Warning: copy

Warning: failed to open stream

Warning: curl “function.curl”

Warning: “No such file or directory”

Warning: current “function.current”

В своїй презентації HDIV (HTTP Data Integrity Validator), Bisan розповідає про HTTP Data Integrity Validator. Даний фреймворк являє собою опенсорсний Java Web Application Security Framework.

В статті Слепая быстрота: новейшие методы Blind SQL Injection розповідається про новітні методи проведення Blind SQL Injection атак. Враховуючи, що при сліпій SQL ін’єкції потрібно діставати інформацію з БД посимвольно, то дана атака є більш повільною ніж звичайна SQL ін’єкція, тому й розробляються методи для її пришвидшення.

В статті наводяться наступні методи Blind SQL Injection атак:

• Повний перебір,
• Бінарний (двійковий) пошук,
• Використання find_in_set() і подібних функцій,
• Використання find_in_set() + more1row.

Якщо методи повного перебору і бінарного пошуку вже давно відомі, то методи з використанням find_in_set() є новими, і вони дозволяють ще більше пришвидшити сліпі SQL ін’єкції.

Зазначу, що методи з використанням find_in_set() мають ряд обмежень порівняно з методом бінарного пошуку. Тому на власній практиці я вже багато років використовую саме бінарний пошук для Blind SQL Injection і буду використовувати й надалі. Але сучасні розробки в галузі Blind SQL Injection потрібні, щоб ще більше пришвидшити дані атаки.

Продовжуючи розпочату традицію, після попереднього відео про просунутий SQL Injection в Joomla, пропоную новий відео секюріті мануал. Цього разу відео про XSS та HTML Injection атаки в ICQ. Рекомендую подивитися всім хто цікавиться цією темою.

ICQ 6 HTML EXECUTION AND CRASH

В даному відео ролику демонструється проведення HTML Injection атаки в ICQ 6. Враховуючи, що ICQ 6 використовує движок Internet Explorer, можна проводити XSS та HTML Injection атаки, в тому числі використовуючі уразливості в IE для виконання коду та DoS атак.

Використання движків браузерів, зокрема IE, в інших додатках, створює умови для проводення Cross-Application Code Execution (тобто Cross-Application Scripting) та Cross-Application DoS атак. Рекомендую подивитися дане відео для розуміння векторів міжпрограмних атак та небезпеки подібних уразливостей.

В статті Защита сайта с помощью .htaccess и .htpasswd розповідається про захист сайта за допомогою .htaccess і .htpasswd на веб сервері Apache.

Використання вбудованих механізмів захисту інформації веб сервера Apache дозволяє просто і достатньо надійно захистити необхідні ресурси веб сайта. Дані механізми можуть застосовуватися для обмеження доступу до файлів або директорій.

В даній статті розповідається про файли .htaccess і .htpasswd та процес їх створення. Всі приклади використовують базову (basic) аутентифікацію.