Websecurity - Веб безпека

Про UXSS уразливості я вам вже розповідав на початку 2007 року. Розповім вам про пошук універсальних XSS в PDF (за допомогою методики Google Hacking), про що я планував розповісти ще в січні 2007, але знайшов час для цього тільки зараз.

І хоча Adobe виправила цю уразливість ще на початку 2007 року, все ще є люди, які користуються старими і вразливими версіями плагіна Adobe Reader, тому слід знати про ці уразливості. А так як дуже мало сайтів в Інтернеті захистилося від цієї атаки на сервері, то цей вид універсальних XSS атак все ще актуальний. До того ж, за останні два роки було знайдено чимало інших уразливостей в форматі PDF, тому всім слід бути обережними з викачанням pdf-файлів.

Для пошуку pdf-файлів (для UXSS атаки) слід використати дорк inurl:pdf. Зазначу, що не тільки в файлах з розширенням pdf можуть бути пдфки, як я це продемонстрував на прикладі сайта www.sbu.gov.ua. Скрипт на сайті може видавати pdf дані по запиту.

Всього pdf-файлів в Інтернеті:

inurl:pdf - до 346000000 результатів.

Тобто зараз в мережі до 346 мільйонів pdf-файлів. Зазначу, що в січні 2007 було до 317000000 пдфок, а зараз вже до 346000000. За цей час кількість pdf-файлів зросла на 29000000 (і відповідно зросла кількість UXSS уразливостей).

Всього pdf-файлів в Уанеті:

inurl:pdf (по Україні) - до 459000 результатів.

site:ua+inurl:pdf - до 1610000 результатів.

site:gov.ua+inurl:pdf - до 32900 результатів.

Враховучи, що Гугл видає кількість pdf-файлів на веб сайтах і на одному сайті може бути декілька пдфок, то кількість вразливих сайтів менша ніж зазначені цифри. Але все ж таки їх кількість доволі значна. Зокрема, окрім сайта СБУ, я також згадував про UXSS уразливості на imu.org.ua.

В своїй презентації Web Services Security Chess, Shreeraj Shah розповідає про безпеку веб сервісів. Про проблеми безпеки веб сервісів та про засоби їх захисту.

Нерідко Abuse of Functionality уразливості можуть призводти до появи Denial of Service уразливостей на веб сайтах. Що дозволить проводити DoS атаки на дані сайти.

Одним з прикладів DoS через Abuse of Functionality є уразливість в Power Phlogger. Серед скриптів даного веб додатку, що з ним постачаються, є скрипт extchange.php. При прямому запиті до даного скрипта, він змінює розширення php файлів системи на php3. І враховуючи, що в лінках на скрипти використовується розширення php, система перестає нормально працювати, що призводить до DoS атаки.

Іншим цікавим прикладом DoS через Abuse of Functionality, є використання ресурсів одних сайтів для проведення DoS атак на інші сайти. Дану уразливість я виявив на regex.info та www.slideshare.net.

На даних сайтах є сервіси, які звертаються до інших сайтів для віддаленого викачення файлів. На regex.info це скрипт, що викачує файл для аналіза exif інформації, а на www.slideshare.net це аплоадер. Причому на обох сайтах дані сервіси також вразливі до Insufficient Anti-automation атак.

Проведення DoS атаки можливе у випадку, якщо вказати на великий файл (big_file) для скачування. При викачуванні великого файлу сервер перенавантажиться, особливо якщо запустити на викачку декілька великих файлів (через Insufficient Anti-automation уразливість). Що призведе до DoS атаки на такий сервіс.

DoS через Abuse of Functionality:

http://regex.info/exif.cgi?url=http://site/big_file

http://www.slideshare.net/main/bulkweb?fromsource=webupload&url=http://site/big_file&title=test&dwnld_chk=on

Також цікаве й те, що таким чином можна проводити двонаправлені DoS атаки (bidirectional DoS attacks). Якщо задати викачку таким сервісом декількох великих файлів з одного сайта (це може бути один і той же файл, запущений для паралельної викачки), то це перенавантажить обидва сервери.

В своїй презентації CSRF: The Biggest Little Vulnerability on the Web, Shreeraj Shah розповідає про Cross-Site Request Forgery. Про те, що CSRF уразливості дуже поширені в Інтернеті й є достатньо небезпечними.

Розповім вам про використання сервісів редирекції з перспектив безпеки, про що я планував розповісти ще з квітня 2007, коли вперше стикнувся з даним підходом. І з тих пір неодноразово його використовував.

Сервіси редирекції дозволяють створювати нові адреси (URL) для вже існуючих адрес. Що дозволяє використовувати їх для обходу фільтрів.

Сервіси редирекції (такі як TinyURL) можна використовувати для:

1. Розміщення лінки на сайті, де фільтрується потрібна вам адреса. У випадку якщо почнуть фільтрувати й адреси сервісу редирекції, то можна використати інший сервіс.

2. Обходу фільтрації на адресу сайта при проведенні XSS атак. Даний підхід я багато разів використовував, зокрема у випадку уразливості на cool.a.ua.

3. Обходу обмежень на довжину рядка при проведенні XSS атак. Даний підхід я неодноразово використовував, зокрема у випадку уразливості на realmusic.ru.

Розглянемо на прикладі сервіса http://tinyurl.com.

Адреса http://websecurity.com.ua/webtools/xss_r.js стає http://tinyurl.com/2snoo7. Що дозволяє використовувати даний редиректор при наявності фільтрів на сайті. У випадку, якщо на сайті є фільтрація на адреси з домену websecurity.com.ua, то використання адреси з домену tinyurl.com дозволить обійти фільтр. У випадку, якщо на сайті є обмеження на довжину рядка, то використання редиректору (що має 25 символів, тоді як оригінальна адреса 43 символи) дозволить його обійти.

Для подібних задач можна використовувати як tinyurl.com, так і elfurl.com, hugeurl.com, shurl.net та інші сервіси редирекції. Зазначу, що на відміну від інших сервісів, hugeurl.com створює не короткі, а довгі адреси (що тим не менш дозволяє використовувати його для задач 1 і 2).

Як ви можете побачити, сервіси редирекції не тільки зручні для звичайних користувачів, але й можуть використовуватися для секюріті задач.

Продовжуючи розпочату традицію, після попереднього відео про експлуатацію MS-SQL, пропоную новий відео секюріті мануал. Цього разу відео про атаку на Windows через ActiveX уразливість. Рекомендую подивитися всім хто цікавиться цією темою.

Attack on Windows Systems based on the ActiveX Vulnerability

В даному відео ролику демонструється проведення атаки на Windows через ActiveX уразливість (через Internet Explorer). В результаті відвідання в IE сайту з експлоітом, на комп’ютері (в корні диска C) з’являється новий файл, що може бути шкідливим додатком. Рекомендую подивитися дане відео для розуміння векторів атаки через ActiveX уразливості та небезпеки подібних уразливостей.

В своїй презентації Automated Web Foo or FUD, David Kierznowski розповідає про хакінг з використанням Firefox Technika penetration testing framework від GNUCITIZEN.

При проведенні Directory Traversal атак, використовуються слеші (slash). Це також відноситься до атак з використанням Local File Include і SSI Injection уразливостей.

http://site/script?file=../secret.data

Атаки з використанням слеша працюють на будь-яких операційних системах (Windows, Linux, Unix). Про Directory Traversal та інші уразливості, де використовуються сиволи обходу директорій, веб розробники переважно обізнані, тому й часто фільтрують дані символи в своїх додатках.

Але як я продемонстрував в 2007 році на прикладі Local file include та Directory traversal уразливостей в WordPress, існує можливість проведення даних атак навіть при наявності захисту від них. Для цього потрібно використати зворотній слеш (back slash).

При використанні зворотнього слеша атака може бути проведена лише на ОС Windows. І за допомогою зворотнього слеша можна проводити всі атаки, де використовуються символи обходу директорій - Directory Traversal, Local File Include і SSI Injection.

http://site/script?file=..\secret.data

Враховуючи, що веб розробники часто забувають про зворотній слеш, фільтруючи лише слеш, це дозволяє обходити захисні фільтри і проводити атаки на веб сайти. Тому всім розробникам варто пам’ятати про зворотні слеши і фільтрувати їх в своїх веб додатках.

Продовжуючи розпочату традицію, після попереднього відео про Blind SQL Injection в MySQL, пропоную новий відео секюріті мануал. Цього разу відео про експлуатацію MS-SQL. Рекомендую подивитися всім хто цікавиться цією темою.

MS-SQL Exploitation Video

В даному відео ролику демонструється експлутація Microsoft SQL Server. Спочатку за допомогою nmap знаходяться машини з MS-SQL серверами, потім визначається версія сервера і через уразливість в ньому отримуються права адміна. Після чого в ОС на даному комп’ютері створюється новий адмінський акаунт. Рекомендую подивитися дане відео для розуміння векторів атаки через уразливості в MS-SQL та небезпеки подібних уразливостей.

В січні 2008 року Tavis Ormandy в своєму повідомленні в Bugtraq розповів про новий вид атак. Що він відніс до нового типу XSS уразливостей - Same Site Scripting. Дана атака можлива через некоректну конфігурацію DNS. І подібна некоректна конфігурація має місце на багатьох серверах, що призводить до можливості Same Site Scripting атак.

common dns misconfiguration can lead to “same site” scripting

Автор наводить три варіанти використання даної уразливості:

1. Атака на інших користувачів в shared UNIX системах.

2. Атака на локальний веб сервер користувача (що розміщений на його комп’ютері, або на тому, через який він має доступ до Мережі). Зокрема, атака може проводитися через XSS та інші уразливості, наявні на даних веб серверах. Про подібні атаки я вже розповідав в своїй статті Використання уразливостей на локальних машинах.

3. Атака через CUPS, що встановлений на комп’ютері користувача (а CUPS встановлений на більшості Unix, Linux і Mac OS систем).

Дана уразливість має місце на багатьох серверах, зокрема на fbi.gov, citibank.com і cisco.com.