Websecurity - Веб безпека

В цьому місяці я написав статтю про секюріті дослідження в Інтернеті, зокрема про знаходження уразливостей на веб сайтах та їх оприлюднення, а також про хакінг веб сайтів, та їх відповідність законодавству. Дана стаття була опублікована в The Web Security Mailing List в двох частинах 07.06.2009 та 14.06.2009.

Сьогодні я розмістив на сайті мою статтю на англійській мові (об’єднавши дві частини в одну статтю) та її переклад на українську мову. З якою ви можете ознайомитися.

Хакінг веб сайтів, секюріті дослідження, оприлюднення та законодавство

Зміст.

1. Передмова.
2. Знаходження уразливостей.
3. Хакінг веб сайтів.
4. Оприлюднення уразливості.
5. Приклади законів данної тематики.
6. Рекомендації по легальним секюріті дослідженням.
7. Інші цікаві аспекти веб безпеки та законодавства.

Hacking of web sites, security researches, disclosure and legislation

Table of contests.

1. Foreword.
2. Finding of vulnerabilities.
3. Hacking of web sites.
4. Vulnerability disclosure.
5. Examples of laws on this subject.
6. Guidelines for legal security researches.
7. Other interesting aspects of web security and legislation.

Продовжуючи розпочату традицію, після попереднього відео про локальне включення файлу через JPG, пропоную новий відео секюріті мануал. Цього разу відео про XSS атаки через файли зображень. Рекомендую подивитися всім хто цікавиться цією темою.

XSS injection in image formats

Якщо в попередньому відео ролику демонструвалася LFI атака через jpg файл, то в даному відео ролику демонструється XSS атака через файли зображень (зокрема через png файл). Тобто на сайт завантажується зображення в форматі png, в якому розміщений JavaScript (або VBScript) код.

І при перегляді даного файлу в Internet Explorer цей код виконається (що є давно відомою особливістю IE). Рекомендую подивитися дане відео для розуміння векторів Cross-Site Scripting атак, зокрема через файли зображень.

В своїй презентації Hacking and Securing .NET Apps, Shreeraj Shah розповідає про хакінг та захист веб додатків на платформі .NET. Про особливості атак на .NET додатки та їх захисту.

Продовжуючи розпочату традицію, після попереднього відео про роботу з Metasploit 3, пропоную новий відео секюріті мануал. Цього разу відео про локальне включення файлу через JPG. Рекомендую подивитися всім хто цікавиться цією темою.

Local JPG shell Inclusion (LFI using php injected JPG)

В даному відео ролику демонструється LFI атака через локальний jpg файл. Тобто на сайт завантажується зображення в форматі jpg, в якому розміщений php код. І через Local File Inclusion уразливість цей код виконується. Рекомендую подивитися дане відео для розуміння векторів LFI атак, зокрема через jpg та інші файли.

В квітні цього року, 29.04.2009, я знайшов новий тип Cross-Site Scripting уразливостей, який я назвав Доменний XSS (Domain reflected XSS). Даний різновид XSS я знайшов на www.engadget.com.

Доменний XSS - це reflected XSS уразливість, коли атака відбувається через символи в імені домена (піддомена), коли дане ім’я використовується в коді веб сторінки. Даний тип Cross-Site Scripting я відніс до підтипу reflected XSS.

Приклад XSS уразливості:

http://%3c%2fscript%3e%3cscript%3ealert(document.cookie)%3c%2fscript%3ewww.site.com

В даному типі XSS уразливостей атака відбувається через XSS код розміщений в імені піддомена (в вищенаведеному прикладі - в домені третього рівня).

Якщо для атаки потрібні символи кутових дужок, то уразливість спрацює лише в Mozilla 1.7.x та попередніх версіях (як у випадку уразливості на www.engadget.com). Якщо ж ці символи не потрібні для атаки, то вона спрацює і в інших браузерах. Наприклад, у випадку використання лапок, атака спрацює в Internet Explorer (в IE6, IE7 і потенційно в IE8), Mozilla (у всіх версіях), Firefox (в версіях до Firefox 3) та інших браузерах на движку Mozilla.

В минулому році я писав про взломи державних сайтів України. За весь 2008 рік мною був виявлений один взлом державного сайта. Це явно лише верхівка айзбергу, бо це лише той випадок, що я знайшов (а подібні взломи за звичай швидко виправляються і про них офіційно ніде не повідомляється), і реальна кількість взломів державних сайтів України набагато більша.

В цьому році ситуація зі взломами державних сайтів погіршилася. Лише за перші 5 місяців 2009 року були похакані два державні сайти: Державної податкової адміністрації у Волинській області (http://www.vl-sta.gov.ua) та Головного управління Пенсійного фонду України в Хмельницькій області (http://pfu-km.gov.ua). І це лише знайдені мною випадки, й таких сайтів могло бути більше.

На минулому тижні я знайшов цікаву статтю (за 2005 рік) на сайті журнала Хакер - Неприступный .gov.ua. В якій розповідається про взлом (автором статті) одного урядового порталу. І з якою ви можете ознайомитися. З цієї статті в Хакері, з вищезгаданих випадків взломів державних сайтів та з інформації, яку я навів в своїй попередній статті, можна зробити відповідні висновки про стан безпеки державних сайтів України.

В продовження моїх досліджень уразливостей в пошукових системах, розповім вам про новий цікавий метод URL Spoofing атак, який я назвав URL Hiding. Який може бути використаний для проведення фішинг атак та розповсюдження шкідливого ПЗ (зокрема, він може застосовуватися разом з раніше описаними методами). Дану URL Hiding атаку я виявив в Google, але інші пошуковці також можуть бути вразливими.

В цьому місяці, 19.05.2009, під час пошуку в Гуглі, я виявив цікавий сайт, який в серпі не виводить URL. С подібними сайтами мені раніше доводилося стикатися під час користування Гуглом (з 2000 року), але це перший сайт, адресу якого я записав. Даний сайт це http://_-lilit-_.photosight.ru.

site:_-lilit-_.photosight.ru

У випадку, коли використовується URL Hiding разом з URL Spoofing методами, про які я писав раніше (коли робиться довгий URL, наприклад з використанням символа “_”), то це підвищує ефективність фішинг та інших атак. Тому що довгий і підозрілий URL не буде виведений в серпі пошукової системи, а коли користувач перейде по лінці, то він може не звернути увагу на URL (через використання URL Spoofing методів).

Як мені спочатку здалося, при використанні підкреслення (як у випадку http://_-lilit-_.photosight.ru), Гугл взгалі не виводить адресу в серпі. Але цього ефекту немає у випадку http://ane4ka-_.shalala.ru. Потенційно це проявляється лише у випадку, якщо першим символом домена є підкреслення.

Я провів численні дослідження шукаючи сайти з підкресленнями, які б не мали URL в серпі, але більше не знайшов таких сайтів (зате знайшов один цікавий баг в Гуглі). Тому метод атаки на Гугл для приховання адреси сайта в серпі може використовувати даний (з підкресленням на початку домена), або інший підхід. Але в будь-якому випадку URL Hiding атака є небезпечною, тому що дозволяє використовувати пошуковці (зокрема Гугл) для проведення фішинг та інших атак.

Продовжуючи розпочату традицію, після попереднього відео про QuickTime Media експлоіт, пропоную новий відео секюріті мануал. Цього разу відео про роботу з Metasploit 3. Рекомендую подивитися всім хто цікавиться цією темою.

Metasploit 3 Video (msfconsole with db_autopwn)

В даному відео ролику демонструється робота з Metasploit Framework. Наводиться приклад атаки на уразливу систему з використанням таких інструментів Metasploit 3, як msfconsole та db_autopwn. Рекомендую подивитися дане відео для розуміння середовища MSF.

Продовжу тему Google hacking - методу використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах. Про Гугл хакінг я вже чимало розповідав, зокрема в серії статей про “Warning” Google хакінг.

Розповім вам про просунутий Гугл хакінг (advanced Google hacking). Який передбачає використання умовних операторів Гугла. Дана методика може бути застосована для пошуку різних витоків інформації, зокрема інформації про версії веб систем, що використовуються на сайтах (для пошуку уразливих версій).

В Гуглі існують наступні умовні оператори:

AND - пробіл або +
OR - |
NOT - мінус (-)

Також можна групувати в дужки.

Наприклад:

“Powered by vBulletin” (”3.6″ | “3.7″ | “3.8″)

“Powered by Invision Power Board” (”1.3″ | “v2″) -”1.3.1″

“Powered by Coppermine Photo Gallery” (”v1.0″ | “v1.1″ | “v1.2″ | “v1.2.1″ | “v1.2.2″)

В своїй презентації Hacking Ajax & Web Services - Next Generation Web Attacks on the Rise, Shreeraj Shah розповідає про атаки на веб додатки, що використовують AJAX та веб сервіси. Про появу нових видів веб атак, характерних для Web 2.0.