Websecurity - Веб безпека

Продовжу тему, яку я підняв в попередніх двух записах про URL Spoofing уразливість в GoogleBot, Yahoo! Slurp, Mozilla та Internet Explorer (яка також може бути в ботах інших пошуковців). І розповім вам про атаку, яка може працювати в усіх браузерах та в усіх пошукових системах (боти всіх пошуковців можуть бути вразливими).

Учора, 29.04.2009, під час досліджень я виявив, що не тільки url-encoded символи можна використовувати для атаки, а й стандартні ASCII символи (з числа видимих символів). Можливі запити з символами AZaz09, при цьому AZ автоматично конвертуються в az в Mozilla (але не в IE6). Та деякими спецсимволами в Mozilla (!%^&()`~-_+=) та в IE6 (!^&()`~-_+=, причому ^ і ` IE конвертує в url-encoded) та відповідними спецсимволами в інших браузерах (- і _ підтримують усі браузери).

URL Spoofing:

http://site.com.aaaaaaaaaawww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

Всього символів між крапками поминно бути не більше 63 (це обмеження на назву піддомена). Тобто між “http://site.com.” і “.tab.net.ua” може бути до 63 (включно) символів. Причому таких піддоменів може бути довільна кількість. Серед різних символів найбільш зручними для атаки є символи “-” та особливо “_”.

http://site.com.---------------------------------------------------------------.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
http://site.com._______________________________________________________________.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

Дані атаки працюють в усіх браузерах та явно будуть працювати в усіх пошукових системах. На відміну від атак з використанням url-encoded символів, які працюють серед браузерів лише в Mozilla, IE6, IE7 та Safari 3.2.2 (і потенційно в IE8).

Наведені приклади атак працюють в наступних браузерах: Mozilla 1.7.x, Internet Explorer 6 (6.0.2900.2180), Firefox 3.0.9, Opera 9.52 та Google Chrome 1.0.154.48. І повинні працювати в Internet Explorer 7, Safari 3.2.2 і потенційно в IE8 та інших браузерах.

Проведення атаки.

Як я вже писав раніше, можливість даної атаки залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих. Зокрема я виявив наступні сайти, що вразливі до даної атаки: www.tab.net.ua, www.engadget.com і www.poweroptimizer.com.

Виділю два алгоритма проведення даної атаки.

1. Використання сайта, що має відповідну конфігурацію веб сервера, який вразлий до даної атаки. Через реєстрацію на даному сайті, або через уразливості на ньому. Розглянемо на прикладі www.tab.net.ua (соціальна мережа).

• Зареєструвати собі акаунт на www.tab.net.ua.
• Розмістити на своєму сайті в рамках даного сервісу шкідливий код (для проведення фішинг атаки, чи для поширення шкідливого коду).
• Створити собі спеціальний URL: http://bank.com._(x63).tab.net.ua/sites/blog/site_name.bad/id.1/.
• Заманити жертву на даний URL.
• В тому числі можна надати даний URL пошуковцям для індексації, щоб жертви самі потрапили в пастку через пошукові системи.

2. Використання власного сайта, що має відповідним чином сконфігурований веб сервер.

• Розмістити на своєму сайті шкідливий код (для проведення фішинг атаки, чи для поширення шкідливого коду).
• Створити собі спеціальний URL: http://bank.com._(x63).badsite.com.
• Заманити жертву на даний URL.
• В тому числі можна надати даний URL пошуковцям для індексації, щоб жертви самі потрапили в пастку через пошукові системи.

У другому випадку, якщо спеціальні антифішинг сервіси занесуть домен даного сайту (badsite.com) в свої списки, то власники браузерів з антифішинг системами будуть захищені. І то лише, якщо подібні системи працюють по домену (badsite.com), а не по домену з піддоменами (bank.com._(x63).badsite.com). Бо інакше, або фільтр не спрацює (в залежності що саме занесено до нього), або зловисники зможуть його легко обійти змінивши URL для атаки (bank.com._._(x63).badsite.com).

А в першому випадку взагалі антифішинг системам буде не просто забанити сайт, бо атакуючі сайти будуть хоститися на легальних і популярних сервісах.

Підсумовуючи скажу, що користувачам Інтернету потрібно бути обережними і слідкувати за власною безпекою, щоб не стати жертвою URL Spoofing атаки. Як і власникам веб сайтів потрібно слідкувати за безпекою власних сайтів.

P.S.

Склейка доменів (domain gluing) може використовуватися не тільки для URL Spoofing атаки, але й для XSS атаки (в деяких браузерах), як я показав на прикладі www.engadget.com.

На минулому тижні я писав про URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer (та в Yahoo! Slurp), яка також може бути в ботах інших пошуковців. Сьогодні я провів додаткові дослідження даної уразливості й виявив нові можливості для атаки з її використанням.

Як я вже зазначав, за допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду. А також даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Після того як Володимир Дубровін aka 3APA3A звернув мою увагу на можливість використання й інших символів для даної атаки, я вирішив детально перевірити це питання. В попередньому записі я писав про використання пробілу для URL Spoofing атаки, яку я також назвав склейка доменів (domain gluing).

І як я перевірив, окрім пробілу (%20) для даної атаки також можуть бути використані інші символи.

Mozilla підтримує: %00..%ff.

http://site.com%00www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

IE6 та IE7 підтримують: %20..%2d та %30..%ff.

http://site.com%20www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

При цьому IE при запиті до сайту або одразу заміняє url-encoded символи на їх звичайні еквіваленти, або взагалі прибирає їх (якщо ці символи не відображуються).

Зазначу, що якщо символи пробілу (%20) в адресах сайтів для проведення даної атаки я знаходив в пошуковцях (Гуглі та Яху), то використання інших символів я не зустрічав, тому невідомо чи підтримують індексацію подібних символів в назві доменів пошукові системи. Але потенційно їх можуть підтримувати і боти пошуковців (GoogleBot, Yahoo! Slurp та інші).

Також я вияснив, що можливість даної атаки також залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих.

Зокрема окрім www.tab.net.ua, також дана атака можлива на www.engadget.com і www.poweroptimizer.com.

URL Spoofing:

Заіндексовано Google:

http://www.kp.ruget.com.20www.engadget.com
Схема: http://www.site.com%20www.engadget.com

Заіндексовано Yahoo:

http://www.energyopt.com.%20www.poweroptimizer.com
Схема: http://www.site.com%20www.poweroptimizer.com

Уразливий GoogleBot.

Уразливий Yahoo! Slurp.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі версії Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.0.6001.18000) та попередні версії. І потенційно IE8.

В минулому році я виявив URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer. Якщо про уразливості в браузерах я пишу часто і сам знаходжу їх регулярно, як DoS уразливості в Firefox та Opera та Нова DoS уразливість в Internet Explorer, то уразливість в боті пошукової системи, в даному випадку GoogleBot, я знайшов уперше. Боти інших пошукових систем також можуть бути вразливі.

Звичайно боти (павуки) Google та інших пошуковців можуть заіндексувати важливу інформацію, яка потім буде знайдена через Гугл Хакінг. Але це природня особливість ботів пошуковців, а в даному випадку має місце URL Spoofing уразливість.

Дану уразливість я виявив ще в листопаді 2008 року (як почав користуватися сайтом tab.net.ua). За допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду.

URL Spoofing:

http://www.site.com%20www.site2.com

При використанні символу пробіл, можна підробити адресу сайта в адресному рядку. Треба спочатку задати підробну адресу http://www.site.com, потім поставити %20 (один або більше), а потім www.site2.com. В результаті браузер покаже в адресному рядку сконструйовану адресу, але при цьому перейде на сайт http://www.site2.com.

http://www.siiiiiiiiiiiiiiiiiiiite.com%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20www.site2.com

Символів пробіл (в url-encoded формі - %20) повинно бути не більше 19, бо інакше Mozilla видасть повідомлення про помилку. При цьому в IE з даним символом немає жодних проблем і можна використовувати більшу кількість пробілів. В Мозілі ж для приховання справжньої адреси (щоб вона в адресний рядок не помістилася) можна використати додаткові символи в адресі першого сайта, що також можна зробити і в IE.

Уразливість GoogleBot полягає в тому, що він підтримує та індексує подібні адреси, а уразливість Mozilla та IE, що вони дозволяють зайти на подібні адреси. До даної атаки вразливі GoogleBot, Mozilla 1.7.x та IE6. Нові браузери, такі як Firefox 3, Opera 9 та Chrome невразливі.

Реальний приклад даної атаки (проіндексований Гуглом).

URL Spoofing:

http://www.infostore.org%20www.tab.net.ua/sites/files/site_name.FILMI_V_DVDRip/id.67045/

До речі, даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Уразливий GoogleBot.

Уразливі Mozilla 1.7.x та попередні версії.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8.

P.S.

Як я перевірив Yahoo! Slurp (бот Yahoo) також уразливий.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://panbud.com.ua (хакером hr0m)
• http://www.e-pokupka.kiev.ua (хакером BozKuRT) - даний сайт вже був похаканий 26.12.2008. А нещодавно, 16.04.2009, він був поканий BozKuRT, а зараз сайт вже похаканий IK4Z*. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://wifi-hunter.org.ua (хакером ANDERSON) - був похаканий 20.03.2009, а щойно і я покахав цей сайт
• http://www.intercharm.kiev.ua (хакером Cyb3rking) - 07.04.2009, зараз сайт вже виправлений адмінами
• http://lavinadigital.com (хакером GuardіaN) - 14.04.2009, зараз сайт не працює

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.streetpride.kiev.ua (хакерами з SaldiriTeam) - 15.04.2009, зараз сайт вже виправлений адмінами
• http://www.3s.com.ua (хакером Gxb3rx) - 11.04.2009, зараз сайт вже виправлений адмінами
• http://www.dacia.ua (хакерами Cyb3rking і Fantastik) - 06.04.2009, зараз сайт вже виправлений адмінами
• http://chipnews.com.ua (хакером Cyber_945) - 11.04.2009, зараз сайт вже виправлений адмінами
• http://www.resdom.org (хакером THE.BILEN VEZIR.04) - причому спочатку сайт 20.02.2009 був похаканий THE.BILEN VEZIR.04, а нещодавно похаканий ALEX OWNERS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://bo.net.ua (українським хакером Arizon) - 01.04.2009 - похаканий форум сайта, який вже виправлений адмінами
• http://e-market.biz.ua (хакером Fantastik) - 06.04.2009, зараз сайт вже виправлений адмінами
• http://ms.if.ua (хакером Dietime)
• http://www.sources.org.ua (хакером Mr.MLL)
• http://www.kupr.org.ua (хакером St. !)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.ecoleague.net (хакером Zonic!) - 01.04.2009, зараз сайт вже виправлений адмінами
• http://www.compsi.net (хакерами Fantastik і SpyCrew team) - 30.03.2009, зараз сайт вже виправлений адмінами
• http://www.vl-sta.gov.ua (хакером darkdewil з 1923turk) - 25.03.2009, зараз сайт вже виправлений адмінами. Це перший похаканий державний сайт в цьому році
• http://laguna.net.ua (хакером NaSaH)
• http://www.master-sv.kh.ua (хакерами з Iran Black Hats Team)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://metalltorg.biz (хакером wlhaan) - 18.03.2009 - зараз сайт не працює
• http://www.jam.com.ua (хакером ARezZ0)
• http://profy.nplu.org (хакером Meshif)
• http://black.net.ua (хакером 3RqU)
• http://balaklava-vip.com (хакерами з dns team) - похакана директорія сайта

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.snz.com.ua (хакерами M.W.N.N., DImionX і Bboy)
• http://info.kp.km.ua (хакерами GOYHACKERS і DANGER14) - 08.03.2009, зараз сайт вже виправлений адмінами
• http://wi-net.com.ua (хакерами з CYBERDOS TEAM) - 12.03.2009, зараз сайт закритий адмінами
• http://www.ayur-veda.com.ua (хакером Y.D.I.) - 03.2009 - похаканий форум сайта і зараз форум не працює
• http://rynok.com.ua (хакером XUGURX)

Як я писав в підсумках хакерської активності в Уанеті в 2008 - в минулому році активність хакерів зросла на 788% порівняно з 2007 роком. Наведу порівняльну статистику хакерської активності в Уанеті за останні роки.

Свої дослідження хакерської активності я проводив в 2006, 2007 і 2008 роках (і продовжую в цьому році). Тому статистика буде за 2006 - 2008 роки. Зазначу, що в 2006 році я досліджував лише останні 7 місяців.

За весь 2006 рік в Уанеті було проведено 5 атак на веб сайти.

За весь 2007 рік в Уанеті було проведено 17 атак на веб сайти.

За весь 2008 рік в Уанеті була проведена 151 атака на веб сайти.

Динаміка хакерської активності.

В 2007 році активність зросла на 240% порівняно з 2006 роком (зростання в 3,4 рази).

В 2008 році активність зросла на 788% порівняно з 2007 роком (зростання в 8,88 рази). В порівнянні з 2006 роком активність зросла на 2920% (в 30,2 рази).