Websecurity - Веб безпека

Представляю вам інформацію про одну з сучасних проблем в веб безпеці - редиректори. Раніше я вже торкався цієї теми в новинах. Даною темою я почав цікавитися з початку вересня 2006 року (після ознайомлення зі статтями RSnake за кінець серпня початок вересня про redirection). І з того часу я провів чимало досліджень в цьому напрямку.

Редиректори - це скрипти на веб сайтах, що переадресовують на інші сайти (редиректять). А Redirector уразливості - це уразливості в веб додатках, що відносяться до класу Abuse of Functionality. За звичай дані скрипти використовують для ведення статистики, куди ж (і в якій кількості) переходять користувачі сайту. Тому в більшості випадків в якості параметра для редиректорів використувують адресу сайта, на який має перейти користувач.

Але в останній час даний функціонал став використовуватися зловмисниками (зокрема фішерами) для своїх недобрих справ. Зараз редиректори часто використовують зловмисники для переадресації на фішинг сайти. Тому редиректори - це реальна проблема (якщо вони не захищені від подібного використання), і вони можуть нанести шкоду. Ось чому даними уразливостями, котрими є редиректори (незахищені) потрібно займатися.

Наведу декілька прикладів редиректорів в популярних пошукових системах. Всі наведені лінки на редиректори ведуть на websecurity.com.ua.

Редиректори в пошукових системах:

• Редиректор Google (Гугл вже виправив цю уразливість, додавши захисний механізм, але він обходиться і про це я ще розповім)
• Редиректор Google Maps
• Редиректор Yahoo
• Редиректор Meta (на Меті є чимало інших редиректорів, про що я буду розповідати)
• Редиректор Rambler

Це перша стаття з серії статей про редиректори. З часом я продовжу розповідати вам про редиректори на популярних сайтах (пошукових системах, порталах та інших веб сайтах).

Наприкінці минулого місяця RSnake (XSS Book Preview), Джеремія Гроссман (XSS Attacks book) та Pdp (XSS Attacks Book Preview) повідомили про завершення роботи над книгою про Cross-Site Scripting (про котру я вже згадував). Вони з початку року працювали над цією книгою і тепер вона пішла до друку.

Також автори книги виклали в себе на сайтах архів зі змістом та однією главою книги. Котрі всі бажаючи можуть почитати.

До речі, як нещодавно повідомили RSnake та Джеремія, книга вже надрукована і наявна в онлайн магазинах (зокрема в Amazon).

Cross Site Scripting Attacks: Xss Exploits and Defense - це перша книга про XSS уразливості. Всі хто цікавиться даною темою можуть ознайомитися з цією книгою.

Розповім вам про блог Джеремії Гроссмана - відомого експерта з веб безпеки - http://jeremiahgrossman.blogspot.com.

Jeremiah Grossman працює в галузі веб безпеки вже багато років, тому він є досвідченою людиною в цій справі та є визнаним еспертом. Він також є одним із засновників Web Application Security Consortium (WASC). І в своєму блозі Джеремія ділиться власним досвідом та розповідає про останні події в галузі.

Рекомендую почитати даний блог всім, кто цікавиться темою web app security.

Зокрема зверну вашу увагу на опитування спеціалістів з веб безпеки, котрі він регулярно проводить (і в яких я також беру участь). Останній раз я писав про Опитування спеціалістів з Web Application Security (листопад), про інші опитування я ще розповім. До речі, в цьому місяці він проводить новий survey.

Останні п’ять цікавих тем:

• (INSECURE) Magazine Issue 11 (деталі)
• How to check if your WebMail account has been hacked (деталі)
• Rain Forest Puppy breaks his silence (деталі)
• XST sorta Lives! (Bypassing httpOnly) (деталі)
• Top 10 Most Famous Hackers of All Time (деталі)

Продовжуючи розпочату традицію, після попереднього відео про XSS та Session Hijacking, пропоную новий відео секюріті мануал. Цього разу відео про CRLF Injection атаку (від milw0rm.com). Рекомендую подивитися всім хто цікавиться цією темою.

CRLF (Carriage Return and Line Feed) Injection Demonstration

В даному відео ролику розповідається про CRLF ін’єкції (Carriage Return і Line Feed) та використання даних уразливостей на веб сайтах (зокрема для відправки спама). Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою CRLF ін’єкцій та негативних наслідків подібних уразливостей.

Продовжуючи розпочату традицію, після попереднього відео мануала про XSS, пропоную новий відео секюріті мануал. Цього разу відео про Cross Site Scripting атаку з використанням Session Hijacking (від milw0rm.com). Рекомендую подивитися всім хто цікавиться цією темою.

vBulletin XSS Demonstration with Session Hijacking

В даному відео ролику розповідається про Cross Site Scripting уразливості на сайті vBulletin. Та проводиться XSS атака з використанням Session Hijacking (що є поширеною практикою). Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою XSS і Session Hijacking та небезпеки подібних уразливостей.

На сайті flexwiki.novemberain.com опублікований переклад на російську мову статті Flash Player Security з документації до Flex 2.

Рекомендую ознайомитися всім хто займається flash/flex розробкою та цікавиться темою безпеки, і зокрема темою безпеки в Adobe Flash Player (про що я періодично згадую в новинах).

• Безопасность во Flash Player (деталі)

Для тих хто цікавиться темою безпеки в веб додатках і для покращення власних знань з приводу Cross Site Scripting, пропоную новий відео мануал. Перед цим я писав стосовно відео про WMF + SWF експлоіт, а на цей раз відео про XSS, з котрим пропоную ознайомитися.

XSS Injection tutorial by Crimethink

В цьому відео ролику розповідається про Cross Site Scripting уразливості на прикладі активної XSS дірки в одному сайті. Демонструються методи та напрямки XSS атак, зокрема, у випадку активних (постійних) XSS уразливостей на веб сайтах. Саме відео зроблено не дуже якісно, але що вже є, користь від нього буде. Варто подивитися дане відео для розуміння векторів атаки за допомогою XSS та небезпеки подібних уразливостей.

На початку місяця вийшов новий (лютневий) номер журнала Хакер Спец. До цього номера журналу я написав власну статтю (про небезпеку XSS), тому всім раджу ознайомитися з даним номером, щоб дізнатися чимало нового і цікавого.

Робоча назва статті “Подводные камни в интернет рекламе или чем опасен XSS”. В фінальному номері вона зветься як “Шаманские дела / Реклама с подвохом” (як і хотіли її назвати редактори журналу). В статті розповідається про уразливості (зокрема Cross-Site Scripting) в різних веб брокерах та рекламних системах Рунета та Уанета. Дана інформація буде корисна для кожного інтернетчика. Так що приємного читання.

До речі, раніше я писав про уразливості на www.gameland.ru - на сайті видавництва журнала Хакер.

P.S.

Виклав власну версію статті в себе на сайті: Подводные камни в интернет рекламе или чем опасен XSS.

В п’ятнадцатому номері своєї розсилки Macromedia Flash: всё что вы хотите о нём знать, що вийшов наприкінці минулого року, я опублікував свою статтю “Захист flash-роликів”. Яку пропоную зараз вашій увазі, думаю дана тема вас зацікавить.

Прочитати статтю Защита flash-роликов на російській мові ви можете в архіві розсилки, зараз же презентую україномовну версію статті.

Якщо ви займаєтеся флеш розробкою, то ви могли задумуватися над тим, як поставити захист на свій флеш-ролик, щоб його не змогли переглянути локально чи на іншому сайті, щоб він працював виключно на вашому сайті.

Дана тема дуже цікава. І існують методики захисту флешек, одну з яких я розгляну в даній статті. Але потрібно розуміти, що будь-які хитрощі в спробі обмежити відвідувача сайта в збереженні та перегляді флешек локально обходяться. Усе можна взломати - це лише питання знань і часу. Так що перед використанням захисту потрібно визначиться з цілями - від кого ви хочете захистити вашу флешку, і використовувати адекватний захист.

Захист від імпорту, що з’явився в ранніх версіях флеша, до захисту як такого віднести не можна. Він ламається дуже просто (шляхом заміни потрібних байт у флеш файлі), та й існують відповідні програми, що легко цей захист знімають. Більш складні методики, про одну з який я розповім, пропонують більш серйозні рівні захисту. І в цьому випадку процес ламання складніше банального “забрати захист від імпорту”, але при наявності знань і гідного інструментарію в руках професіонала ніякі захисні механізми не врятують. Тому потрібно використовувати дуже хитрі (й морочні) методики, щоб захистити свої флешки. Як я вже сказав, потрібно визначитися з цілями захисту.

Одним з методів захисту є перевірка URL сайта. Для заборони запуску флешки локально чи на іншому сайті.

Для цих цілей використовується наступний код. Це приклад алгоритму захисту при перевірці на адресу сайта.

У першому кадрі флешки можна вставити мувікліп з перевіркою, з наступним кодом:

onClipEvent (load) {
 if (_url != "http://mlfun.org.ua/flash.swf") { // if path is incorrect
  stop();
  // повідомлення в текстовому полі message (в тому ж першому кадрі)
  _root.message = "Ви запускаєте флешку не з http://mlfun.org.ua";
 }
 else { // path is OK
  GotoAndPlay(2);
 }
}

Чи можна у випадку некоректного шляху перейти на кадр 2, де знаходиться напис “Хакерам вхід заборонений” і “stop();”. А у випадку коректного - перейти наприклад на кадр 3.

Щодо захисту коду самої флешки, щоб його неможливо було підглянути (і скопіювати).

Як я вже сказав, усе ламається. Мені практично не потраплялися флешки які не можна було б витягти із сайта і запустити в себе локально (як би не намагалися їхні автори), тому що всі захисти можна обійти. Самим реальним методом захисту є прив’язка до скрипта на сайті. І вже на perl, php чи ін. розробляються захисні механізми. Що вже виходить за рамки однієї лише флеш технології.

Код перевірки на урл ламається без особливих проблем - при наявності відповідних знань. На флеші можна ще зробити перевірку на кількість байт ролика (з врахуванням усіх перевірочних кодів), і якщо хакер видалить частину коду (де була перевірка на урл), то нічого не заробить (подібна методика останнім часом одержала поширення). Але і це ламається. У мене все ламається .

Тому крім варіанта із серверним скриптом, а також варіанта з флешкою, котра усі свої частини “хитро” довантажує з сервера (тобто “розподілена флешка”), ніщо не дасть достатніх гарантій проти взлому.

Але приведений мною вище код цілком підійде проти ламерів.

Продовжуючи розпочату традицію, після попереднього відео про File Disclosure, пропоную новий відео секюріті мануал. На цей раз відео про уразливості в WMF та SWF та створення експлоіта для їх використання (від milw0rm.com). Рекомендую подивитися всім хто цікавиться цією темою.

WMF + SWF Exploit

В цьому відео ролику розповідається про уразливості в WMF та SWF, де автор створює експлоіти для використання цих уразливостей (експлоіти працють в парі) з метою атаки на користувачів MySpace. Рекомендую подивитися дане відео для розуміння уразливостей в форматах WMF та SWF і методах іх використання (та створення експлоітів).