Архів для категорії 'Дослідження'

Похакані сайти №46

22:41 27.05.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://extreme.com.ua (хакером AsSerT) - 26.05.2009, зараз сайт вже виправлений адмінами
  • http://plural.org.ua (хакером AsSerT)
  • http://www.thegta4.com (хакером Al-Mafia) - 25.05.2009, зараз сайт вже виправлений адмінами
  • http://www.travel-extreme.com.ua (хакером AsSerT) - 22.05.2009 - похаканий форум сайта, який вже виправлений адмінами
  • http://www.board.sevcity.com (хакером fOx) - 22.04.2009, зараз сайт вже виправлений адмінами

Похакані сайти №45

22:42 20.05.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://finrada.com (хакером LANCE)
  • http://www.iia.com.ua (хакером ProwL) - похакана директорія сайта
  • http://www.mvmpu99.com.ua (хакером cHyK0)
  • http://www.ukrface.kiev.ua (хакерами AycanBey і M3G4-TURK)
  • http://inet-mag.com.ua (хакером CrAzY HaCkErZ) - 13.05.2009, зараз сайт вже виправлений адмінами

Похакані сайти №44

22:46 14.05.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://pfu-km.gov.ua (хакером DeRf) - 10.05.2009, зараз сайт вже виправлений адмінами. Це другий похаканий державний сайт в цьому році після www.vl-sta.gov.ua
  • http://avtomarket.rv.ua (хакером HALLELUJAH) - 06.05.2009, зараз сайт вже виправлений адмінами
  • http://www.samara-sv.info (хакерами з 1923Turk-Grup) - 06.05.2009, зараз сайт вже виправлений адмінами
  • http://magicnumbers.com.ua (хакером 3RqU)
  • http://www.pczone.com.ua (хакером SyMpHoNy_R) - 11.05.2009, зараз сайт закритий адміном

Похакані сайти №43

22:47 09.05.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.wyshywka.com.ua (хакерами з 1923TurK-Grup) - 19.04.2009, зараз сайт вже виправлений адмінами
  • http://www.inbest.com.ua (хакером ProwL)
  • http://www.websites-development.net (хакером RoLLBacK з 1923TurK-Grup)
  • http://marketing.ua (хакером Cyb3rking)
  • http://ksvolodar.com (хакерами з ParsiHacker Security Team)

Похакані сайти №42

23:49 02.05.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://wad.cs-mapping.com.ua (хакером moroccan-alien)
  • http://www.ogneupor.com (хакерами з AYYILDIZ TEAM)
  • http://www.rinok-ukraina.com.ua (хакером AsSerT) - 24.04.2009, зараз сайт вже виправлений адмінами
  • http://www.library.crimea.ua (хакером Brkod) - 25.04.2009, зараз сайт вже виправлений адмінами
  • http://ya-kianin.com.ua (хакером Cyb3rking) - 13.04.2009 - похаканий форум сайта, який вже виправлений адмінами

URL Spoofing attacks in browsers and search engines

22:42 01.05.2009

This is English version of my URL Spoofing attacks in browsers and search engines article.

I continue the topic, which I begun in previous two advisories about URL Spoofing vulnerability in GoogleBot, Yahoo! Slurp, Mozilla and Internet Explorer, which also can exists in bots of other search engines. And I tell you about the attack which can work in all browsers and all search engines (bots of all search engines can be vulnerable).

At 29.04.2009 I found during researches, that not only url-encoded chars can be used for attack, but standard ASCII chars (from among visible chars). There are possible requests with chars AZaz09, at that AZ automatically converted to az in Mozilla (but not in IE6). And with some special chars in Mozilla (!%^&()`~-_+=) and in IE6 (!^&()`~-_+=, at that ^ and ` IE converts in url-encoded) and corresponding special chars in other browsers (- and _ are supported by all browsers).

URL Spoofing:

http://site.com.aaaaaaaaaawww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

There must be not more than 63 chars in total between dots (it’s limit on name of subdomain). So between “http://site.com.” and “.tab.net.ua” there can be up to 63 (including) chars. At that there can be arbitrary amount of such subdomains. Among different chars most suitable for attack are chars “-” and especially “_”.

http://site.com.---------------------------------------------------------------.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
http://site.com._______________________________________________________________.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

These attacks work in all browsers and obviously will work in all search engines. As opposed to attacks with using of url-encoded chars, which work among browsers only in Mozilla, IE6, IE7 and Safari 3.2.2 (and potentially in IE8).

Mentioned examples of attacks work in the next browsers: Mozilla 1.7.x, Internet Explorer 6 (6.0.2900.2180), Firefox 3.0.9, Opera 9.52 and Google Chrome 1.0.154.48. And must work in Internet Explorer 7, Safari 3.2.2 and potentially in IE8 and other browsers.

Conducting of attack.

As I wrote earlier, possibility of this attack depends on settings of web server, which must support any domains. So this attack can be conducted not at any web site, but only at appropriately configured ones. Particularly I found next sites, which are vulnerable to this attack: www.tab.net.ua, www.engadget.com and www.poweroptimizer.com.

I pick out two algorithms of conducting of this attack.

1. Using of the site, which has appropriate configuration of web server, which is vulnerable to this attack. Via registration at this site, or via vulnerabilities at it. Let’s look on example of www.tab.net.ua (social network).

  • Register an account at www.tab.net.ua.
  • Place at your site at this service the malicious code (for conducting of fishing attack, or for spreading of malware).
  • Create special URL: http://bank.com._(x63).tab.net.ua/sites/blog/site_name.bad/id.1/.
  • Attract victim at this URL.
  • Including it’s possible to give this URL to search engines for indexation, so victims will fall into a trap through search engines.

2. Using of own site, which has appropriately configured web server.

  • Place at your site the malicious code (for conducting of fishing attack, or for spreading of malware).
  • Create special URL: http://bank.com._(x63).badsite.com.
  • Attract victim at this URL.
  • Including it’s possible to give this URL to search engines for indexation, so victims will fall into a trap through search engines.

In second case, if special antifishing services will put domain of this site (badsite.com) into their lists, than owners of the browsers with antifishing systems will be protected. But only in case, if such systems work on domain (badsite.com), not on domain with subdomains (bank.com._(x63).badsite.com). Otherwise, or filter will not work (depending on what was put into it), or bad guys will can easily bypass it by changing an URL for attack (bank.com._._(x63).badsite.com).

In first case it’ll be hard for antifishing systems to ban the site, because attacking sites will be hosted on legal and popular services.

In conclusion I said, that Internet users must be careful and attend to their security, to not become victim of URL Spoofing attack. As web sites owners must attend to security of their sites.

P.S.

Domain gluing can be used not only for URL Spoofing attack, but also for XSS attack (in some browsers), as I showed on example of www.engadget.com.

URL Spoofing атаки в браузерах та пошукових системах

22:44 30.04.2009

Продовжу тему, яку я підняв в попередніх двух записах про URL Spoofing уразливість в GoogleBot, Yahoo! Slurp, Mozilla та Internet Explorer (яка також може бути в ботах інших пошуковців). І розповім вам про атаку, яка може працювати в усіх браузерах та в усіх пошукових системах (боти всіх пошуковців можуть бути вразливими).

Учора, 29.04.2009, під час досліджень я виявив, що не тільки url-encoded символи можна використовувати для атаки, а й стандартні ASCII символи (з числа видимих символів). Можливі запити з символами AZaz09, при цьому AZ автоматично конвертуються в az в Mozilla (але не в IE6). Та деякими спецсимволами в Mozilla (!%^&()`~-_+=) та в IE6 (!^&()`~-_+=, причому ^ і ` IE конвертує в url-encoded) та відповідними спецсимволами в інших браузерах (- і _ підтримують усі браузери).

URL Spoofing:

http://site.com.aaaaaaaaaawww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

Всього символів між крапками поминно бути не більше 63 (це обмеження на назву піддомена). Тобто між “http://site.com.” і “.tab.net.ua” може бути до 63 (включно) символів. Причому таких піддоменів може бути довільна кількість. Серед різних символів найбільш зручними для атаки є символи “-” та особливо “_”.

http://site.com.---------------------------------------------------------------.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
http://site.com._______________________________________________________________.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

Дані атаки працюють в усіх браузерах та явно будуть працювати в усіх пошукових системах. На відміну від атак з використанням url-encoded символів, які працюють серед браузерів лише в Mozilla, IE6, IE7 та Safari 3.2.2 (і потенційно в IE8).

Наведені приклади атак працюють в наступних браузерах: Mozilla 1.7.x, Internet Explorer 6 (6.0.2900.2180), Firefox 3.0.9, Opera 9.52 та Google Chrome 1.0.154.48. І повинні працювати в Internet Explorer 7, Safari 3.2.2 і потенційно в IE8 та інших браузерах.

Проведення атаки.

Як я вже писав раніше, можливість даної атаки залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих. Зокрема я виявив наступні сайти, що вразливі до даної атаки: www.tab.net.ua, www.engadget.com і www.poweroptimizer.com.

Виділю два алгоритма проведення даної атаки.

1. Використання сайта, що має відповідну конфігурацію веб сервера, який вразлий до даної атаки. Через реєстрацію на даному сайті, або через уразливості на ньому. Розглянемо на прикладі www.tab.net.ua (соціальна мережа).

  • Зареєструвати собі акаунт на www.tab.net.ua.
  • Розмістити на своєму сайті в рамках даного сервісу шкідливий код (для проведення фішинг атаки, чи для поширення шкідливого коду).
  • Створити собі спеціальний URL: http://bank.com._(x63).tab.net.ua/sites/blog/site_name.bad/id.1/.
  • Заманити жертву на даний URL.
  • В тому числі можна надати даний URL пошуковцям для індексації, щоб жертви самі потрапили в пастку через пошукові системи.

2. Використання власного сайта, що має відповідним чином сконфігурований веб сервер.

  • Розмістити на своєму сайті шкідливий код (для проведення фішинг атаки, чи для поширення шкідливого коду).
  • Створити собі спеціальний URL: http://bank.com._(x63).badsite.com.
  • Заманити жертву на даний URL.
  • В тому числі можна надати даний URL пошуковцям для індексації, щоб жертви самі потрапили в пастку через пошукові системи.

У другому випадку, якщо спеціальні антифішинг сервіси занесуть домен даного сайту (badsite.com) в свої списки, то власники браузерів з антифішинг системами будуть захищені. І то лише, якщо подібні системи працюють по домену (badsite.com), а не по домену з піддоменами (bank.com._(x63).badsite.com). Бо інакше, або фільтр не спрацює (в залежності що саме занесено до нього), або зловисники зможуть його легко обійти змінивши URL для атаки (bank.com._._(x63).badsite.com).

А в першому випадку взагалі антифішинг системам буде не просто забанити сайт, бо атакуючі сайти будуть хоститися на легальних і популярних сервісах.

Підсумовуючи скажу, що користувачам Інтернету потрібно бути обережними і слідкувати за власною безпекою, щоб не стати жертвою URL Spoofing атаки. Як і власникам веб сайтів потрібно слідкувати за безпекою власних сайтів.

P.S.

Склейка доменів (domain gluing) може використовуватися не тільки для URL Spoofing атаки, але й для XSS атаки (в деяких браузерах), як я показав на прикладі www.engadget.com.

URL Spoofing в GoogleBot, Yahoo! Slurp, Mozilla та Internet Explorer

23:52 29.04.2009

На минулому тижні я писав про URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer (та в Yahoo! Slurp), яка також може бути в ботах інших пошуковців. Сьогодні я провів додаткові дослідження даної уразливості й виявив нові можливості для атаки з її використанням.

Як я вже зазначав, за допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду. А також даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Після того як Володимир Дубровін aka 3APA3A звернув мою увагу на можливість використання й інших символів для даної атаки, я вирішив детально перевірити це питання. В попередньому записі я писав про використання пробілу для URL Spoofing атаки, яку я також назвав склейка доменів (domain gluing).

І як я перевірив, окрім пробілу (%20) для даної атаки також можуть бути використані інші символи.

Mozilla підтримує: %00..%ff.

http://site.com%00www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

IE6 та IE7 підтримують: %20..%2d та %30..%ff.

http://site.com%20www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

При цьому IE при запиті до сайту або одразу заміняє url-encoded символи на їх звичайні еквіваленти, або взагалі прибирає їх (якщо ці символи не відображуються).

Зазначу, що якщо символи пробілу (%20) в адресах сайтів для проведення даної атаки я знаходив в пошуковцях (Гуглі та Яху), то використання інших символів я не зустрічав, тому невідомо чи підтримують індексацію подібних символів в назві доменів пошукові системи. Але потенційно їх можуть підтримувати і боти пошуковців (GoogleBot, Yahoo! Slurp та інші).

Також я вияснив, що можливість даної атаки також залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих.

Зокрема окрім www.tab.net.ua, також дана атака можлива на www.engadget.com і www.poweroptimizer.com.

URL Spoofing:

Заіндексовано Google:

http://www.kp.ruget.com.20www.engadget.com
Схема: http://www.site.com%20www.engadget.com

Заіндексовано Yahoo:

http://www.energyopt.com.%20www.poweroptimizer.com
Схема: http://www.site.com%20www.poweroptimizer.com

Уразливий GoogleBot.

Уразливий Yahoo! Slurp.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі версії Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.0.6001.18000) та попередні версії. І потенційно IE8.

URL Spoofing в GoogleBot, Mozilla та Internet Explorer

23:55 23.04.2009

В минулому році я виявив URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer. Якщо про уразливості в браузерах я пишу часто і сам знаходжу їх регулярно, як DoS уразливості в Firefox та Opera та Нова DoS уразливість в Internet Explorer, то уразливість в боті пошукової системи, в даному випадку GoogleBot, я знайшов уперше. Боти інших пошукових систем також можуть бути вразливі.

Звичайно боти (павуки) Google та інших пошуковців можуть заіндексувати важливу інформацію, яка потім буде знайдена через Гугл Хакінг. Але це природня особливість ботів пошуковців, а в даному випадку має місце URL Spoofing уразливість.

Дану уразливість я виявив ще в листопаді 2008 року (як почав користуватися сайтом tab.net.ua). За допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду.

URL Spoofing:

http://www.site.com%20www.site2.com

При використанні символу пробіл, можна підробити адресу сайта в адресному рядку. Треба спочатку задати підробну адресу http://www.site.com, потім поставити %20 (один або більше), а потім www.site2.com. В результаті браузер покаже в адресному рядку сконструйовану адресу, але при цьому перейде на сайт http://www.site2.com.

http://www.siiiiiiiiiiiiiiiiiiiite.com%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20www.site2.com

Символів пробіл (в url-encoded формі - %20) повинно бути не більше 19, бо інакше Mozilla видасть повідомлення про помилку. При цьому в IE з даним символом немає жодних проблем і можна використовувати більшу кількість пробілів. В Мозілі ж для приховання справжньої адреси (щоб вона в адресний рядок не помістилася) можна використати додаткові символи в адресі першого сайта, що також можна зробити і в IE.

Уразливість GoogleBot полягає в тому, що він підтримує та індексує подібні адреси, а уразливість Mozilla та IE, що вони дозволяють зайти на подібні адреси. До даної атаки вразливі GoogleBot, Mozilla 1.7.x та IE6. Нові браузери, такі як Firefox 3, Opera 9 та Chrome невразливі.

Реальний приклад даної атаки (проіндексований Гуглом).

URL Spoofing:

http://www.infostore.org%20www.tab.net.ua/sites/files/site_name.FILMI_V_DVDRip/id.67045/

До речі, даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Уразливий GoogleBot.

Уразливі Mozilla 1.7.x та попередні версії.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8.

P.S.

Як я перевірив Yahoo! Slurp (бот Yahoo) також уразливий.

Похакані сайти №41

22:43 23.04.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://panbud.com.ua (хакером hr0m)
  • http://www.e-pokupka.kiev.ua (хакером BozKuRT) - даний сайт вже був похаканий 26.12.2008. А нещодавно, 16.04.2009, він був поканий BozKuRT, а зараз сайт вже похаканий IK4Z*. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://wifi-hunter.org.ua (хакером ANDERSON) - був похаканий 20.03.2009, а щойно і я покахав цей сайт ;-)
  • http://www.intercharm.kiev.ua (хакером Cyb3rking) - 07.04.2009, зараз сайт вже виправлений адмінами
  • http://lavinadigital.com (хакером GuardіaN) - 14.04.2009, зараз сайт не працює