Websecurity - Веб безпека

Раніше я вже писав про інтерв’ю з фішером (яке в 2007 році RSnake взяв у фішера). Цього разу розповім вам про інтерв’ю з DDoSером.

В статті Эксклюзивно для «DomainTimes»: Интервью с практикующим doss-ером наводиться інтерв’ю з практикуючим DDoSером iNFECTED. Що було взяте в квітні 2008 року.

iNFECTED займається DDoS-атаками вже більше трьох років (на той час) і очолює цілу мережу, що складається з посередників і реселерів. В інтерв’ю він відповів на численні запитання DomainTimes і пролив світло на дану діяльність. Що буде цікаво для всіх бажаючим дізнатися більше про тему DDoS-атак.

Зазначу, що вже давно (як опублікував на початку 2008 вищезгадану інформацію про інтерв’ю з фішером) я сам запланував зробити декілька інтерв’ю з різними представниками кіберзлочинності, в тому числі й з DDoSером. Поки ще до цього не дійшов, але з часом цим займуся.

В продовження моєї статті про URL Spoofing атаки в браузерах та пошукових системах, я розповім вам про нову цікаву атаку на пошукові системи.

Як я розповідав в своїх попередніх трьох дослідженнях, пошуковці можуть бути використані для URL Spoofing атак, а також ця атака може бути використанна для цілей SEO. І зараз я розповім про нову атаку на пошуковці, яку я назвав Засмічення пошукових систем (Search engine obstruction).

Дана Search engine obstruction атака - скорочено SEO атака - може бути проведена проти будь-якої пошукової системи, чиї павуки підтримують %20 чи інші url-encoded символи, про що я писав у перших двох своїх дослідженнях про URL Spoofing уразливості.

Ідея атаки наступна.

Потрібно надати деяку кількість URL павуку пошукої системи, які не будуть працювати в браузерах, але будуть проіндексовані пошуковцем. Дані URL повинні містити %20 чи інші url-encoded символи. Після цього користувач зайде на даний пошуковець (що був SEO атакований) та введе деякий запит, в серпі користувач натисне на деяку лінку (що буде містити, наприклад, %20) і вона не спрацює - не відкриється у браузері. Користувач натисне на деякі інші лінки (чи однієї некоректної лінки буде достатньо для нього - це залежить від людини), і якщо він побачить те саме (лінки не спрацюють), тоді він піде до іншої пошукової системи.

Я виявив дану атаку коли 29.04.2009 досліджував URL Spoofing уразливість в Yahoo (раніше я вже наводив приклад сайта вразливого до URL Spoofing, що був проіндексований Yahoo).

Ось приклад дорка, який демонструє чимало подібних сайтів в Yahoo:

http://search.yahoo.com/search?p=inurl%3A%2520www

7 з 10 сайтів на першій сторінці серпа (проіндексованих Yahoo! Slurp) не відкриються в жодному браузері - ні в нових браузерах, що не підримують %20, ні в старих браузерах Mozilla та IE6 (і нових IE7 та IE8), що підтримують %20.

Search engine obstruction атака може використовуватися для засмічення індексів пошукових систем та для впливу на їх репутації. Зокрема дані атаки можуть проводитися конкурентами. Тільки представте: лінки в серпі не працюють в Yahoo, тоді користувачі підуть до Google, і навпаки, а якщо лінки не працюють в обох Yahoo і Google, тоді користувачі підуть до Microsoft Live Search . Кожен розробник пошукової системи може використати дану атаку для своєї вигоди. Тому дана атака може бути небезпечною для кожного пошуковця.

This is English version of my URL Spoofing attacks in browsers and search engines article.

I continue the topic, which I begun in previous two advisories about URL Spoofing vulnerability in GoogleBot, Yahoo! Slurp, Mozilla and Internet Explorer, which also can exists in bots of other search engines. And I tell you about the attack which can work in all browsers and all search engines (bots of all search engines can be vulnerable).

At 29.04.2009 I found during researches, that not only url-encoded chars can be used for attack, but standard ASCII chars (from among visible chars). There are possible requests with chars AZaz09, at that AZ automatically converted to az in Mozilla (but not in IE6). And with some special chars in Mozilla (!%^&()`~-_+=) and in IE6 (!^&()`~-_+=, at that ^ and ` IE converts in url-encoded) and corresponding special chars in other browsers (- and _ are supported by all browsers).

URL Spoofing:

http://site.com.aaaaaaaaaawww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

There must be not more than 63 chars in total between dots (it’s limit on name of subdomain). So between “http://site.com.” and “.tab.net.ua” there can be up to 63 (including) chars. At that there can be arbitrary amount of such subdomains. Among different chars most suitable for attack are chars “-” and especially “_”.

http://site.com.---------------------------------------------------------------.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
http://site.com._______________________________________________________________.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

These attacks work in all browsers and obviously will work in all search engines. As opposed to attacks with using of url-encoded chars, which work among browsers only in Mozilla, IE6, IE7 and Safari 3.2.2 (and potentially in IE8).

Mentioned examples of attacks work in the next browsers: Mozilla 1.7.x, Internet Explorer 6 (6.0.2900.2180), Firefox 3.0.9, Opera 9.52 and Google Chrome 1.0.154.48. And must work in Internet Explorer 7, Safari 3.2.2 and potentially in IE8 and other browsers.

Conducting of attack.

As I wrote earlier, possibility of this attack depends on settings of web server, which must support any domains. So this attack can be conducted not at any web site, but only at appropriately configured ones. Particularly I found next sites, which are vulnerable to this attack: www.tab.net.ua, www.engadget.com and www.poweroptimizer.com.

I pick out two algorithms of conducting of this attack.

1. Using of the site, which has appropriate configuration of web server, which is vulnerable to this attack. Via registration at this site, or via vulnerabilities at it. Let’s look on example of www.tab.net.ua (social network).

• Register an account at www.tab.net.ua.
• Place at your site at this service the malicious code (for conducting of fishing attack, or for spreading of malware).
• Create special URL: http://bank.com._(x63).tab.net.ua/sites/blog/site_name.bad/id.1/.
• Attract victim at this URL.
• Including it’s possible to give this URL to search engines for indexation, so victims will fall into a trap through search engines.

2. Using of own site, which has appropriately configured web server.

• Place at your site the malicious code (for conducting of fishing attack, or for spreading of malware).
• Create special URL: http://bank.com._(x63).badsite.com.
• Attract victim at this URL.
• Including it’s possible to give this URL to search engines for indexation, so victims will fall into a trap through search engines.

In second case, if special antifishing services will put domain of this site (badsite.com) into their lists, than owners of the browsers with antifishing systems will be protected. But only in case, if such systems work on domain (badsite.com), not on domain with subdomains (bank.com._(x63).badsite.com). Otherwise, or filter will not work (depending on what was put into it), or bad guys will can easily bypass it by changing an URL for attack (bank.com._._(x63).badsite.com).

In first case it’ll be hard for antifishing systems to ban the site, because attacking sites will be hosted on legal and popular services.

In conclusion I said, that Internet users must be careful and attend to their security, to not become victim of URL Spoofing attack. As web sites owners must attend to security of their sites.

P.S.

Domain gluing can be used not only for URL Spoofing attack, but also for XSS attack (in some browsers), as I showed on example of www.engadget.com.

Продовжу тему, яку я підняв в попередніх двух записах про URL Spoofing уразливість в GoogleBot, Yahoo! Slurp, Mozilla та Internet Explorer (яка також може бути в ботах інших пошуковців). І розповім вам про атаку, яка може працювати в усіх браузерах та в усіх пошукових системах (боти всіх пошуковців можуть бути вразливими).

Учора, 29.04.2009, під час досліджень я виявив, що не тільки url-encoded символи можна використовувати для атаки, а й стандартні ASCII символи (з числа видимих символів). Можливі запити з символами AZaz09, при цьому AZ автоматично конвертуються в az в Mozilla (але не в IE6). Та деякими спецсимволами в Mozilla (!%^&()`~-_+=) та в IE6 (!^&()`~-_+=, причому ^ і ` IE конвертує в url-encoded) та відповідними спецсимволами в інших браузерах (- і _ підтримують усі браузери).

URL Spoofing:

http://site.com.aaaaaaaaaawww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

Всього символів між крапками поминно бути не більше 63 (це обмеження на назву піддомена). Тобто між “http://site.com.” і “.tab.net.ua” може бути до 63 (включно) символів. Причому таких піддоменів може бути довільна кількість. Серед різних символів найбільш зручними для атаки є символи “-” та особливо “_”.

http://site.com.---------------------------------------------------------------.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
http://site.com._______________________________________________________________.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

Дані атаки працюють в усіх браузерах та явно будуть працювати в усіх пошукових системах. На відміну від атак з використанням url-encoded символів, які працюють серед браузерів лише в Mozilla, IE6, IE7 та Safari 3.2.2 (і потенційно в IE8).

Наведені приклади атак працюють в наступних браузерах: Mozilla 1.7.x, Internet Explorer 6 (6.0.2900.2180), Firefox 3.0.9, Opera 9.52 та Google Chrome 1.0.154.48. І повинні працювати в Internet Explorer 7, Safari 3.2.2 і потенційно в IE8 та інших браузерах.

Проведення атаки.

Як я вже писав раніше, можливість даної атаки залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих. Зокрема я виявив наступні сайти, що вразливі до даної атаки: www.tab.net.ua, www.engadget.com і www.poweroptimizer.com.

Виділю два алгоритма проведення даної атаки.

1. Використання сайта, що має відповідну конфігурацію веб сервера, який вразлий до даної атаки. Через реєстрацію на даному сайті, або через уразливості на ньому. Розглянемо на прикладі www.tab.net.ua (соціальна мережа).

• Зареєструвати собі акаунт на www.tab.net.ua.
• Розмістити на своєму сайті в рамках даного сервісу шкідливий код (для проведення фішинг атаки, чи для поширення шкідливого коду).
• Створити собі спеціальний URL: http://bank.com._(x63).tab.net.ua/sites/blog/site_name.bad/id.1/.
• Заманити жертву на даний URL.
• В тому числі можна надати даний URL пошуковцям для індексації, щоб жертви самі потрапили в пастку через пошукові системи.

2. Використання власного сайта, що має відповідним чином сконфігурований веб сервер.

• Розмістити на своєму сайті шкідливий код (для проведення фішинг атаки, чи для поширення шкідливого коду).
• Створити собі спеціальний URL: http://bank.com._(x63).badsite.com.
• Заманити жертву на даний URL.
• В тому числі можна надати даний URL пошуковцям для індексації, щоб жертви самі потрапили в пастку через пошукові системи.

У другому випадку, якщо спеціальні антифішинг сервіси занесуть домен даного сайту (badsite.com) в свої списки, то власники браузерів з антифішинг системами будуть захищені. І то лише, якщо подібні системи працюють по домену (badsite.com), а не по домену з піддоменами (bank.com._(x63).badsite.com). Бо інакше, або фільтр не спрацює (в залежності що саме занесено до нього), або зловисники зможуть його легко обійти змінивши URL для атаки (bank.com._._(x63).badsite.com).

А в першому випадку взагалі антифішинг системам буде не просто забанити сайт, бо атакуючі сайти будуть хоститися на легальних і популярних сервісах.

Підсумовуючи скажу, що користувачам Інтернету потрібно бути обережними і слідкувати за власною безпекою, щоб не стати жертвою URL Spoofing атаки. Як і власникам веб сайтів потрібно слідкувати за безпекою власних сайтів.

P.S.

Склейка доменів (domain gluing) може використовуватися не тільки для URL Spoofing атаки, але й для XSS атаки (в деяких браузерах), як я показав на прикладі www.engadget.com.

Продовжуючи розпочату традицію, після попереднього відео про MSF-eXploit Builder в дії, пропоную новий відео секюріті мануал. Цього разу відео про QuickTime Media експлоіт. Рекомендую подивитися всім хто цікавиться цією темою.

Quicktime Media 0day Exploit Video

В даному відео ролику демонструється створення QuickTime Media експлоіта для проведення XSS атаки. Яка демонструється на прикладі persistent XSS уразливості на MySpace через включення QuickTime файлу. Рекомендую подивитися дане відео для розуміння векторів XSS атак, зокрема через QuickTime.

В своїй презентації New Defenses for .NET Web Apps: IHttpModule in Practice, Shreeraj Shah розповідає про безпеку веб додатків на платформі .NET. Про нові засоби захисту .NET веб додатків.

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information disclosure уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: unable to open stream

Warning: chdir

Warning: checkdate

Warning: checkdnsrr

Warning: chgrp

Warning: chmod

Warning: chown

Warning: chunk_split

Warning: clearstatcache

Warning: closedir

Продовжуючи розпочату традицію, після попереднього відео про атаку на Windows через ActiveX уразливість, пропоную новий відео секюріті мануал. Цього разу відео про MSF-eXploit Builder в дії. Рекомендую подивитися всім хто цікавиться цією темою.

MSF-eXploit Builder in Action

В даному відео ролику демонструється робота MSF-eXploit Builder, що є складовою Metasploit Framework. Даний додаток призначений для створення експлоітів в середовищі Metasploit Framework. Рекомендую подивитися дане відео для розуміння інструментарія середовища MSF.

Про UXSS уразливості я вам вже розповідав на початку 2007 року. Розповім вам про пошук універсальних XSS в PDF (за допомогою методики Google Hacking), про що я планував розповісти ще в січні 2007, але знайшов час для цього тільки зараз.

І хоча Adobe виправила цю уразливість ще на початку 2007 року, все ще є люди, які користуються старими і вразливими версіями плагіна Adobe Reader, тому слід знати про ці уразливості. А так як дуже мало сайтів в Інтернеті захистилося від цієї атаки на сервері, то цей вид універсальних XSS атак все ще актуальний. До того ж, за останні два роки було знайдено чимало інших уразливостей в форматі PDF, тому всім слід бути обережними з викачанням pdf-файлів.

Для пошуку pdf-файлів (для UXSS атаки) слід використати дорк inurl:pdf. Зазначу, що не тільки в файлах з розширенням pdf можуть бути пдфки, як я це продемонстрував на прикладі сайта www.sbu.gov.ua. Скрипт на сайті може видавати pdf дані по запиту.

Всього pdf-файлів в Інтернеті:

inurl:pdf - до 346000000 результатів.

Тобто зараз в мережі до 346 мільйонів pdf-файлів. Зазначу, що в січні 2007 було до 317000000 пдфок, а зараз вже до 346000000. За цей час кількість pdf-файлів зросла на 29000000 (і відповідно зросла кількість UXSS уразливостей).

Всього pdf-файлів в Уанеті:

inurl:pdf (по Україні) - до 459000 результатів.

site:ua+inurl:pdf - до 1610000 результатів.

site:gov.ua+inurl:pdf - до 32900 результатів.

Враховучи, що Гугл видає кількість pdf-файлів на веб сайтах і на одному сайті може бути декілька пдфок, то кількість вразливих сайтів менша ніж зазначені цифри. Але все ж таки їх кількість доволі значна. Зокрема, окрім сайта СБУ, я також згадував про UXSS уразливості на imu.org.ua.

В своїй презентації Web Services Security Chess, Shreeraj Shah розповідає про безпеку веб сервісів. Про проблеми безпеки веб сервісів та про засоби їх захисту.