Websecurity - Веб безпека

Як написав в минулому році RSnake в своєму записі IE6.0 Protocol Guessing, в Internet Explorer 6 існує можливість вгадування протоколу. Що дозволяє виконати код (через javascript та vbscript протоколи), при цьому використовуючи інші, більш приховані, протоколи (щоб замаскувати атаку). Дірку знайшов і повідомив про неї SirDarckCat.

Ось декілька прикладів, які ви можете ввести в адресний рядок в себе в IE для тестування.

xssscript:alert("XSS")
somescript:alert("XSS")
httpscript:alert('XSS')
httpscript:%61%6C%65%72%74%28%27%58%53%53%27%29
httpscript:/*microsoft.com%2A%2F%61%6C%65%72%74%28%27%58%53%53%27%29

Враховуючи, що для атаки потрібно ввести адресу вручну в адресний рядок, то дана атака вимагає використання соціальної інженерії, щоб змусити жертву ввести необхідний URL. Подібні атаки можуть проводитися через емайли, або через пости на сайтах. Дану уразливість в IE6 я відношу до Strictly social XSS.

Позавчора, 23.10.2008, я писав про Cross-Site Scripting уразливість в Opera. Яка дозволяла виконати JavaScript код в історії Опери (на сторінці History Search).

Для даної уразливості я створив власний експлоіт, що призводить до витоку шляху до профайлу користувача й відповідно до витоку логіну користувача в ОС.

Information Leakage:

Opera Exploit2.html

Атака проводиться віддалено (Remote Information Leakage).

Уразливі версії Opera 9.60 та попередні версії.

Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти

Про редиректори я неодноразово розповідав. Зокрема я розповідав про редиректори в пошукових системах, редиректори на секюріті сайтах, редиректори в CMS та редиректори Гугла. Для даної атаки також можна використовувати і Flash.

Приведу вам приклади редиректорів на популярних веб сайтах. Які я знайшов ще в листопаді 2006 року.

Редиректори на популярних сайтах:

Spylog.com:

http://diradvert.spylog.com/scripts/click.phtml?url=websecurity.com.ua

Liveinternet.ru:

http://www.liveinternet.ru/go?http://websecurity.com.ua

http://li.ru/go?http://websecurity.com.ua

Uaportal.com:

http://www.uaportal.com/cgi_bin/…?url=http://websecurity.com.ua

Учора, 23.10.2008, вийшла нова версія WordPress 2.6.3 - оновлення для гілки WP 2.6.x.

WordPress 2.6.3 це секюріті випуск для 2.6 серії. В ній виправлена уразливість в бібліотеці Snoopy, що була анонсована учора. WordPress використовує Snoopy для одержання RSS фідів, зокрема в адмінці на сторінці Dashboard.

І хоча розробники WP вважають, що це дірка з низьким ризиком для користувачів движка, вони все ж вирішили його оновити (і зробиили це дуже оперативно).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.forum.it-club.mk.ua (форум сайта it-club.mk.ua) (хакером HaCkSpY) - 09.09.2008, зараз форум вже виправлений адмінами
• http://wap.mydinamit.com (хакером KinG) - 27.09.2008, зараз сайт не працює (закритий адміністраторами)
• http://globus.in.ua (хакером ISHAK ALGERIa)
• http://you-buy-viagra.com (хакером GenthOnX)
• http://b-c1.com (хакером GHoST61)

Як повідомив RSnake, в своєму записі Internet Explorer 7.0 Address Bar Spoofing, одразу після виходу в жовтні 2006 року Internet Explorer 7, в ньому було виявлено декілька серйозних дірок, зокрема уразливість підробки адресного рядка. За два роки з часу виходу сьомого IE в ньому було виявлено чимало дірок, в тому числі й я виявив уразливості в IE7 , про які писав в Дні багів в браузерах.

Так що ситуація з безпекою в IE7 істотно не поліпшилася порівняно з IE6. В ньому було знайдено чимало уразливостей, зокрема про деякі з них я ще планую написати. В тому числі ряд уразливостей з IE6 так і не було виправлено в IE7 (тобто перейшли з попередніх версій браузера). Сподіваюся в Internet Explorer 8 вони все ж більше приділять уваги безпеці.

Також RSnake висловив слушну думку про те, що в браузерах взагалі не варто дозволяти прибирати адресний рядок в попапах. Це б зменшило ризики фішинг атак. Варто зробити щоб він завжди був ввімкненим, доки сам користувач, при потребі, через налаштування не вимкне його.

З 17 по 19 жовтня в Києві проходить конференція Blogcamp CEE 2008. Сьогодні як раз проходить другий день конференції. Торік я прийняв участь в Блогкемпі - виступив на BlogCamp 2007 з доповіддю Безпека Блогосфери (Security of Blogosphere).

Я вирішив перевірити, як тематика Інтернет безпеки представлавлена на Blogcamp CEE 2008. Бо на попередній конференції лише я виступив з доповіддю на цю тему.

На цьогорічному Блогкемпі серед заявлених доповідей є дві пов’язаних з безпекою:

• Киберпреступность в Web 2.0. Современные угрозы в Web и способы защиты.
• Новые методы анализа угроз безопасности

Перша доповідь більше схожа на презентацію продуктів Лабораторії Касперського, хоча й має цікаві тезіси. Друга доповідь виглядає більш цікавою. Я ж бажаю успіху обом доповідачам.

Це добре, що тематика веб безпеки хоч трохи, але знайшла своє відображення на даній конференції.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.iasa.org.ua/forum/ (форум сайта www.iasa.org.ua) (хакером BuGiS) - причому спочатку форум був похаканий 19.09.2008 BuGiS, а сьогодні я виявив, що він вже похаканий CNB. Схоже, що форум сайта постійно хакається, як і деякі інші сайти в Уанеті
• http://team911.kiev.ua (хакером DeLeTe)
• http://www.iio.npu.edu.ua (хакером c0derLine) - 04.09.2008, зараз сайт не працює (виключений адміністраторами)
• http://www.zigmund.kiev.ua (хакером ProwL) - 10.08.2008, зараз сайт не працює, лише одна сторінка дефейсу залишилася
• www.vistrya.if.ua (хакером DumansaL) - 25.08.2008, зараз сайт вже виправлений адмінами

Учора я писав про Information Leakage уразливість в Firefox 3. Яка призводила до витоку інформації в Firefox (з його кешу) про сайти, що відвідав користувач.

Для даної уразливості я створив власний експлоіт, що призводить до витоку шляху до кешу користувача й відповідно до витоку логіну користувача в ОС.

Information Leakage:

Firefox 3 Exploit.html

Експлоіт потрібно запускати з локального комп’ютера.

Уразливі версії Mozilla Firefox 3.0.х (до 3.0.3 включно).

На початку жовтня були оприлюднені Cross-Site Scripting уразливості в WordPress MU. Уразливі версії WordPress MU 2.6 та попередні.

Уразливості в скрипті http://site/wp-admin/wpmu-blogs.php в параметрах s та ip_address.

• Wordpress-MU Cross Site Scripting Vulnerability (деталі)