Websecurity - Веб безпека

Існує такий термін - сплог (splog), що означає спам блог, тобто блог спамера. Наповнення змісту такого блогу відбувається шляхом копіювання інформації з інших сайтів (блогів) - джерел оригінальної інформації (здебільшого без посилань на першоджерело). При цьому дана інформація видається за свою.

Подібне явище набирає все більшого поширення останнім часом. Серед загальної кількості блогів (котрих у Вебі дуже багато) чималий відсоток займають сплоги. Ви могли зустрічати подібні блоги (я нерідко з ними стикаюся).

В своєму записі Anti-Splog Evasion, RSnake нагадав про дану проблему і запропонував методику боротьби зі сплогами. Йому не байдужа дана проблема, тому що спамери тирять інформацію з його сайта для своїх сплогів (я також часто стикаюся з подібною проблемою). До того ж сплоги засмічують блогосферу та Інтернет в цілому. Тому з цією проблемою потрібно боротися.

Позавчора, 18.09.2007, я знайшов Cross-Site Scripting уразливості в пошуковому движку Google Search Appliance. Як раз коли виявив уразливості на www.mi5.gov.uk. Про що найближчим часом сповіщу компанію Google.

XSS:

Уразливості в скрипті search в параметрах ie, site, client та oe:

http://site/search?ie=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&site=x&output=xml_no_dtd'&client=x&proxystylesheet=x'

Гуглу потрібно більше слідкувати за безпекою своїх пошукових движків (про що я вже писав в MOSEB).

Раніше я вже писав про листопадове опитування Web Application Security Professionals Survey, яке провів Джеремія Гроссман. А зараз розповім вам про результати грудневого Web Application Security Professionals Survey (в якому я участі не приймав).

Цього разу в опитуванні прийняли участь 63 респонденти, професіонали в галузі веб вебзпеки. Більшість спеціалістів радять проводити перевірки безпеки після кожної (значної) зміни коду на сайті чи у веб додатку. Комерційні сканери безпеки використовує невелика частина опитаних, що узгоджується з результатами попередніх опитувань.

Стосовно оприлюднення знайдених уразливостей то значна частина голосів опитаних розділилася між відповідальним оприлюдненням (що я практикую), та не оприлюдненням. Детальна інформація про дане опитування на сайті Джеремії.

Найближчим часом підготую інформацію про січневе опитування.

В WordPress виявлений міжсайтовий скриптінг і SQL-ін’єкція.

Уразливі версії: WordPress версії до 2.2.3, WordPress MU версії до 1.2.5a.

Виявлені уразливості дозволяють віддаленому користувачу зробити XSS напад і виконати довільні SQL команди в базі даних додатку.

1. Уразливість існує через недостатню обробку вхідних даних деяких параметрів (наприклад, у параметрі “post_type” при обробці URL, що передається функції “pingback.extensions.getPingbacks()” методу XMLRPC). Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільні SQL команди в базі даних додатку.

2. Віддалений користувач може одержати привілею “unfiltered_html” шляхом додавання поля “no_filter”. Віддалений користувач може за допомогою спеціально сформованого запиту опублікувати довільний HTML код у блозі.

Дані уразливості вже виправлені в WordPress 2.2.3.

• Межсайтовый скриптинг и SQL-инъекция в WordPress (деталі)

В травні цього року, ще до BlackHat, пройшла конференція BlueHat. Котру відвідав RSnake, про що він розповів в себе на сайті. Дана конференція на тему інформаційної безпеки була організована компанією Microsoft.

На конференції він зробив доповідь та зустрівся з експертами в галузі безпеки та представниками секюріті команди Microsoft, а також з командою IE. З командою розробників Internet Explorer він обговорив питання безпеки даного браузера.

З цього приводу в записі BlueHat Errata, він зазначає, що існують деякі неточності з приводу IE, які поширені в Мережі, і котрі треба спростувати. По-перше, в IE 7 так і не був виправлений баг (як дехто вважав), що дозволяв на сторінках де не встановлене кодування (charset), перевизначати його через фрейм. Цей баг може використовуватися для подальших атак. По-друге HTTPOnly кукіси не можуть бути прочитаними через XMLHTTPRequest в IE 7 (як дехто вважав). Але з іншої сторони, в Firefox кукіси можуть бути прочитаними через XMLHTTPRequest, і враховуючи, що в ньому зараз вводиться підтримка HTTPOnly кукісів, то це є проблемою.

Також він виклав фотки з конференції з додатковими коментарями.

Для того щоб перевірити, чи не був ваш емайл акаунт (в даному випадку вебмайл) похаканий, можна скористатися одним цікавим методом. В своєму записі How to check if your WebMail account has been hacked Джеремія розповів про один метод перевірки емайл акаунта на предмет прихованої активності.

Для перевірки використовується приховане зображення. Котре буде працювати як прихований сигнал, що спрацює у випадку, коли зловмисник зайде у ваш почтовий акаунт. Алгоритм цієї системи оповіщення наступний.

1. Завантажити зображення (це може бути і скрипт) на сервер. Адресу зображення ніхто не повинен знати, ця адреса буде використовуватися лише для даної задачі. Щоб не було зайвих записів в логах, тільки активність в емайл ящику.

2. Відіслати собі на цей емайл ящик листа з прихованим зображенням. Причому тему листа потрібно зробити дуже інтригуючою (наприклад “Your new online Bank password” ). Даного листа потрібно залиши в ящику непрочитаним.

3. Чекати доки не настане той час, коли спрацює сигнал тривоги - приховане зображення (сподіваючись, що цього ніколи не станеться). Коли зловмисник отримає доступ до вашого акаунту, і зайде в нього почитати пошту і не втримається і відкриє листа з інтригуючою темою. При цьому спрацює зображення, і в логах запишеться IP зловмисника, а також дата і час взлому (а якщо використовувати скрипт, то можна надіслати собі на інший емайл або sms на мобільний телефон з інформацією про нападника).

Сьогодні на milw0rm.com був опублікований набір для взлому сайтів на WordPress движку - Wordpress Multiple Versions Pwnpress Exploitation Tookit. Даний скрипт являє собою набір експлоітів для різних версій Вордпреса. І призначений для зручної атаки на різноманітні сайти на різних версіях WP, надаючи інтерфейс для роботи з великою кількістю експлоітів для даної платформи.

• Wordpress Multiple Versions Pwnpress Exploitation Tookit (деталі)

Даний набір був перевірений розробниками на WordPress 2.2, 2.2.2, 2.0.5, 2.0.6, 2.1 та інших версіях, на PHP 5.2.4 для Apache 2.0.58 на Gentoo GNU/Linux. З magic_quotes on та off для різних експлоітів. Скрипт написаний на Ruby. Власникам сайтів на WP варто оновити свої движки до останньої версії.

Продовжуючи тему експлоітів для PHP, пропоную вам наступну добірку.

Цього разу есплоіти в функції msql_connect, в функції snmpget для PHP версії до 5.2.4 та в розширенні php_win32sti для PHP версії до 5.2.0 включно.

• PHP mSQL (msql_connect) Local Buffer Overflow Exploit (деталі)
• PHP <= 5.2.3 snmpget() object id Local Buffer Overflow Exploit (EDI) (деталі)
• PHP <= 5.2.0 (php_win32sti) Local Buffer Overflow PoC (win32) (деталі)

Для деяких задач вам може знадобитися локальна IP адреса користувача (котрий нерідко знаходиться за NAT). Зокрема для сканування локальної мережі та інших атак на інтранет ресурси.

Існують методи визначення локальної IP адреси користувача з браузера. Як через Java, так і інші методи, зокрема через JavaScript. Для цього використовуються спеціальні JS скрипти для відповідного браузера (для Mozilla і Firefox, та для Internet Explorer).

Цікавий PoC код для визначення локального IP в Firefox привів Джеремія в своєму записі Goodbye Applet, Hello NAT’ed IP Address. А на одному сайті розміщений скрипт, призначений для визначення локального IP в Internet Explorer.

На основі даних робіт, я разробив скрипти для визначення локального IP в браузерах. Дані скрипти призначені для Mozilla, Firefox та інших браузерів на движку Мозіли (також він працює в Opera 9.x), та для IE.

Визначити свій локальний IP в браузері можна за допомогою інструментів в розділі Визначення IP.

Вчора, 08.09.2007, вийшла нова версія WordPress 2.2.3 - оновлення для гілки WP 2.2.x.

WordPress 2.2.3 це секюріті та багфікс випуск для 2.2 серії. В даній версії було виправлено декілька багів та уразливостей. Зокрема була виправлена XSS уразливість (Users without unfiltered_html capability can post arbitrary html).

Усім користувачам Вордпреса (передусім гілки 2.2.x) рекомендується оновити движок до останньої версії.