Websecurity - Веб безпека

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На сьомий день Місяця багів в Пошукових Системах я опублікував 3 Cross-Site Scripting уразливості. Цього разу інформація про дірки в пошуковій системі Яндекс та її локальному пошуковці.

• MOSEB-07: Vulnerability at blogs.yandex.ru (деталі)
• MOSEB-07 Bonus: Vulnerabilities in Yandex.Server (деталі)

Одна XSS уразливість в пошуку по блогам Яндекса та дві XSS уразливості в локальному пошуковці Яndex.Server.

Очікуємо на наступний день Month of Search Engines Bugs.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На шостий день Місяця багів в Пошукових Системах я опублікував Cross-Site Scripting та Full path disclosure уразливості. Цього разу інформація про дірки в пошуковій системі Clusty.

• MOSEB-06: Vulnerabilities at clusty.com (деталі)

Дві уразливості (XSS та Full path disclosure) в повідомленні про помилку на сайті пошуковця.

Очікуємо на наступний день Month of Search Engines Bugs.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На п’ятий день Місяця багів в Пошукових Системах я опублікував три цікаві Cross-Site Scripting уразливості. Цього разу інформація про дірки в MSN (у двох їх проектах).

• MOSEB-05: Vulnerability at shopping.msn.com (деталі)
• MOSEB-05 Bonus: Vulnerabilities at autos.msn.com (деталі)

Ці XSS уразливості в пошукових функціях двох проектів MSN доволі цікаві. Дані XSS базуються на розширеній версії моєї техніки Expressive comments filters bypass - моїй техніці Експресивних коментарів зі спейс-хакінгом для обходу фільтрів (Expressive comments space-hack filters bypass).

Очікуємо на наступний день Month of Search Engines Bugs.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нову уразливість.

На четвертий день Місяця багів в Пошукових Системах я опублікував одну Cross-Site Scripting уразливість. Цього разу інформація про дірку в пошуковій системі Gigablast.

• MOSEB-04: Vulnerability at www.gigablast.com (деталі)

XSS уразливість в скрипті додання URL до бази пошуковця.

Очікуємо на наступний день Month of Search Engines Bugs.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На третій день Місяця багів в Пошукових Системах я опублікував три уразливості: одну Cross-Site Scripting та дві постійні XSS. Цього разу інформація про дірки в пошуковій системі HotBot.

• MOSEB-03: Vulnerability at www.hotbot.com (деталі)
• MOSEB-03 Bonus: Persistent XSS at hotbot.com (деталі)

Перша уразливість в пошуковці - це звичайна XSS. А от дві наступні більш цікаві - це постійні XSS (використовується CSRF + XSS атака).

Очікуємо на наступний день Month of Search Engines Bugs.

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нову уразливість.

На другий день Місяця багів в Пошукових Системах я опублікував одну Cross-Site Scripting уразливість. Цього разу інформація про дірку в пошуковій системі Yahoo - одному з самих популярних пошуковців світу.

• MOSEB-02: Vulnerability at search.yahoo.com (деталі)

Уразливість в пошуці по зображенням Yahoo! Search.

Очікуємо на наступний день Month of Search Engines Bugs.

Сьогодні розпочався Місяць багів в Пошукових Системах - мій новий проект, котрий буде тривати на протязі червня.

В перший день Місяця багів в Пошукових Системах я опублікував дві Cross-Site Scripting уразливості. В цей день я публікував інформацію про дірки в пошуковій системі Мета.

• MOSEB-01: Vulnerability at meta.ua (деталі)
• MOSEB-01 Bonus: XSS at meta.ua (деталі)

Червень розпочався і він буде спекотним місяцем .

Ці слова із Біблії дуже актуальні в наш час. Зокрема в контексті безпеки пошукових систем. Громадськість не знає про реальні загрози, що несуть їй пошукові системи. Та й розробники пошуковців полюбляють запевнювати, що вони слідкують за безпекою (що насправді далеко не так). Тому настав час подивитися правді у вічі, котру я буду намагатися донести до вас.

Головна мета проекту: демонстрація реального стану справ з безпекою в пошукових системах. В пошуковцях є уразливості (що говорить про те, що їх розробники недостатньо приділяють увагу безпеці) і громадськість повинна знати про це. Знаючи правду, кожен користувач Інтернету зможе зробити усвідомлений вибір щодо пошукових систем.

Учасники проекту: найбільш популярні пошукові системи світу, в тому числі Google, Yahoo, MSN. Як глобальні пошукові системи, так і локальні пошуковці, котрі розробники популярних пошуковців пропонують власникам сайтів для встановлення на їх ресурсах.

В світі існують сотні (і тисячі) різноманітних пошукових систем, великих і маленьких. Вибрати з них самих популярних було не просто. На цей вибір я потратив чимало часу. Зазначу, що на даний момент немає інформації про популярність пошуковців в світовому масштабі. Є інформація по популярності пошуковців в деяких країнах (причому ці дані мені переважно відомі), але інформації по світу в цілому немає. Тому й вибірка учасників відносно суб’єктивна. Але кожен з них в своїй категорії займає лідируючі позиції.

Якщо хтось не знайде протягом місяця свого улюбленого пошуковця, то ви не переживайте - і в цьому пошуковці є дірки . Уразливості є в усіх пошуковцях. В своїй практиці соціального секюріті аудита я знаходив чимало дірок в пошукових системах, про що писав в себе на сайті, і про деякі з них я напишу під час Місяця багів. Ще чимало пошуковців, баги в яких я знайшов, не потрапили в фінальних список учасників. В світі багато пошуковців, за місяць про всіх не розповісиш. Мені не важко зробити додатково ще один місяць багів в пошукових системах, та хоч цілий рік багів. Але одного місяця вистачить, щоб звернути увагу інтернет спільноти на цю проблему. А про всі пошуковці, що не ввійшли в список учасників, я буду писати пізніше, в рамках своєї щоденної роботи.

Правила проекту: участь пошукових систем в проекті добровільна. Тобто я добровільно вибрав учасників для проекту . Щодня будуть публікуватися дірки по окремому пошуковцю. Це може бути як одна, так і більше уразливостей. Так буде на протязі 29 днів, а на 30 день я запланував сюрприз (це буде комплексний день багів). А першого липня я підведу підсумки проекту.

Інформування розробників пошукових систем буде специфічне. Воно буде відмінне від моєї загальної практики, коли я знаходжу дірку, роблю анонс (без деталей), потім повідомляю власника сайту, і лише через деякий час (зараз це 3 місяці) я пишу деталі. Це дуже затяжний процес, тому для даного проекту я вибрав іншу форму інформування. Всі деталі будуть публікуватися на сайт без попереднього повідомлення власникам пошуковців (тому їм треба слідкувати за новинами). Це буде наближанням до реального життя - де погані хлопці знаходять дірки і використовують їх, нікому про це не повідомляючи, тому власники пошуковців повинні бути на готові (а не бити байдики). Ласкаво просимо до реального світу. Власники пошуковців повинні зрозуміти, що ніхто не наймався їм повідомляти про щось, вони самі повинні слідкувати за безпекою. І у випадку, якщо хтось інший займається їх безпекою (та їм повідомляє), то треба буди вдячними (про що деякі власники пошуковців забувають). Раз я анонсував цей проект, значить вже власники пошуковців повинні були замислитися над безпекою своїх систем. І враховуючи, що основна моя мета - це безпека, то усім учасникам мого проекту я вишлю офіційне повідомлення (про участь в моєму проекті). І розробникам пошуковців залишиться лише слідкувати за новинами на сайті та виправляти уразливості.

Також у мене пропозиція: давайте виберемо найкращий баг Місяця багів. Пропоную дві номінації: Best bug of MOSEB MustLive Choice та Best bug of MOSEB Visitors Choice. В першій номінації я вже вибрав переможця, тепер треба щоб відвідувачі вибрали переможця у другій номінації. Під час проведення проекту, якщо якийсь баг вам дуже сподобається, то ви в коментарях напишіть відгук (”Cool”, “Nice”, тощо). А в кінці місяця я підрахую голоси. Результати будуть оголошені в підсумках проекту.

Результат проекту: покращення безпеки пошукових систем та Інтернету в цілому.

Під час дослідження уразливості в плагіни Akismet для WordPress 2.1.3 (про котру я писав), 16.05.2007, я виявив нову уразливість в движку WordPress. На додаток до вже згаданих уразливостей в движку Вордпрес, котрі я знайшов в минулому році.

Тоді я виявив Local file include та Directory traversal уразливість в WP. Дірку виявив в себе на локалхості (під Windows XP) в файлі plugins.php.

Local file include та Directory traversal:

http://site/wp-admin/plugins.php?page=\..\..\file.php
http://site/wp-admin/plugins.php?page=\..\..\.htaccess

Уразливість має місце в WordPress 2.0.3 (і потенційно в наступних версіях). Як я виявив пізніше, також вразливі WP 2.0.11 та попередні версії.

Скоріше за все уразливість працює лише на Windows системах (в котрих використовуються зворотні слеши). На Linux дана уразливість не спрацьовує. Виходить, що під Віндовс фільтри движка не спрацьовують.

12.05.2007

Про уразливості в плагінах Вордпреса я пишу регулярно. Зокрема про ті дірки, що знаходжу сам. Останнього разу я писав про Cross-Site Scripting в WP-PHPList, а зараз розповім про уразливості в плагіні WP-ContactForm.

В минулому та цьому році при проведенні соціального секюріті аудита, котрим займаюся щоденно, я неодноразово виявляв уразливості в контактних формах плагіна WP-ContactForm. В контактних формах я взагалі часто знаходжу дірки, але на деяких сайтах (на движку WP) уразливості були саме в цьому плагіні. Наприклад, на saitodel.com.

WP-ContactForm - це плагін для WordPress, який надає можливість створювати контакту форму для відправки повідомлень на емайл.

Деталі уразливостей з’являться пізніше, спочатку повідомлю розробникам плагіна.

25.05.2007

XSS:

POST запит на сторінці http://site/contact/:

"><script>alert(document.cookie)</script>В полях: Ваше имя, Ваш е-mail, Ваш тел., Ваш веб-сайт.

</textarea><script>alert(document.cookie)</script>В полі: Ваше сообщение.

Розробнику плагіна WP-ContactForm я вже давно повідомив про ці дірки. Можете або виправити уразливості власноруч, або очікуйте нової версії плагіна з виправленням даних уразливостей.