Websecurity - Веб безпека

Нещодавно, 04.02.2009, я виявив Same Site Scripting уразливості на серверах fbi.gov, citibank.com, cisco.com, ukr.net та yandex.ru.

Сайти вразливі до Same Site Scripting:

http://localhost.fbi.gov

http://localhost.citibank.com

http://localhost.cisco.com

http://localhost.ukr.net

http://localhost.yandex.ru

Для перевірки вразливості даних сайтів, ви повинні мати локальний веб сервер (на http://localhost).

XSS:

При наявності на вашому комп’ютері CUPS (Unix, Linux, Mac OS), ви можете перевірити наступну XSS атаку.

http://localhost.fbi.gov:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)
http://localhost.citibank.com:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)
http://localhost.cisco.com:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)
http://localhost.ukr.net:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)
http://localhost.yandex.ru:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)

В даній добірці уразливості в веб додатках:

• onelook onebyone CMS - Session fixation Issue (деталі)
• phpContact Multiple Remote File Inclusion Vulnerabilities (деталі)
• Cross-site scripting (XSS) vulnerability in CmailServer WebMail (деталі)
• Cross-site scripting (XSS) vulnerability in CmailServer WebMail (деталі)
• Cross-site scripting (XSS) vulnerability in Arizona Dream Livre d’or (livor) 2.5 (деталі)
• Updated heimdal packages fix potential vulnerability (деталі)
• Novell Groupwise client remote stack overflow silently patched (деталі)
• The Everything Development System - SQL Injection (деталі)
• Cross-Site Scripting vulnerability in Webmin 1.390 (деталі)
• Arbitrary file overwrite in Documentum Administrator / Documentum Webtop (деталі)

28.07.2008

У листопаді, 16.11.2007, я знайшов SQL Injection та Cross-Site Scripting уразливості на проекті http://mp3prikol.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.02.2009

SQL Injection:

http://mp3prikol.ru/?action=view_track&track_id=-1%20union%20select%201,1,version(),1,1,1,1

XSS (через SQL Injection):

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

У березні, 20.03.2008, я знайшов Cross-Site Scripting уразливість на Народі Яндекса, зокрема на сайті http://gazeta.narod.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на gazeta.narod.ru.

XSS:

• alert(document.cookie)
• цікавий
• html включення

В даній добірці уразливості в веб додатках:

• Multiple SQL Injection Flaws in Oracle CTX_DOC package (деталі)
• Oracle TNS Listener DoS and/or remote memory inspection (деталі)
• Oracle Updates for Multiple Vulnerabilities (деталі)
• VHD Web Pack 2.0 Local File Include (деталі)
• xoops 2.0.18 Local File Include (деталі)
• witshare 0.9 Remote File Include Vulnerabilitiy (деталі)
• webblizzard CMS - Cross Site Scripting and Session fixation Issues (деталі)
• livor 2.5 Cross-Site Scripting Vulnerability (деталі)
• onelook courts online - Session fixation Issue (деталі)
• onelook oboShop - Session fixation Issue (деталі)

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Новий на Yandex.ru:

http://mail.yandex.ru/r?url=http://websecurity.com.ua

Mail.ru:

http://rb.mail.ru/clbkjb/websecurity.com.ua

Meta.ua (до раніше згаданих редиректорів на Меті):

http://img.meta.ua/mclick.asp?go=http://websecurity.com.ua

31.07.2008

У листопаді, 20.11.2007, я знайшов Cross-Site Scripting (в тому числі persistent) уразливості на проекті http://freelancer.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.02.2009

XSS:

http://search.freelancer.com.ua

• alert(document.cookie)
• цікавий

XSS (persistent):

• цікавий

Код розміщується на сторінках сайта search.freelancer.com.ua в лівій колонці.

XSS:

http://freelancer.com.ua

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Нещодавно, 30.01.2009, досліджуючи Charset Inheritance в різних браузерах, коли я виявив Charset Inheritance уразливість в Internet Explorer 6 та Google Chrome, я знайшов Charset Remembering уразливість в Mozilla Firefox.

Дана уразливість призводить до можливості проведення XSS атак з UTF-7. Вона відрізняється від Charset Inheritance в тому, що кодова сторінка не наслідується, а вона повинна бути встановлена для сторінки вручну, в цьому вона схожа на XSS уразливість в Mozilla та Firefox, що я виявив в 2007 році (до речі, їх можна поєднати при атаках на gopher ресурси). Після чого стають можливими XSS атаки на дану сторінку.

При вказані користувачем для сторінки на сайті кодування (зокрема, UTF-7), браузер запам’ятовує дане кодування і використовує його в подальшому при всіх запитах до даної сторінки, якщо в ній не вказано кодування. Навіть після перезапуску браузеру - вказане кодування запам’ятовується доти, доки воно не буде змінено на інше. Що дозволить при вказанні кодування UTF-7 проводити XSS атаки (при відвіданні сторінок з XSS кодом або приховані атаки через frame/iframe).

Алгоритм атаки:

1. Заманити користувача на сторінку http://site/page.html (де не вказане кодування) і змусити його встановити UTF-7 кодування для даної сторінки.

2. Розмістити UTF-7 XSS код на http://site/page.html (як reflected або persistent) і атакувати користувача на даній сторінці.

3. Доки кодування UTF-7 для даної сторінки буде встановлене в браузері, можна буде повторно атакувати користувача.

Уразливі Mozilla Firefox 3.0.1 та всі попередні версії (та потенційно наступні версії).

В даній добірці уразливості в веб додатках:

• SQL Injection Flaw in Oracle Workspace Manager (деталі)
• Oracle audit issue with XMLDB ftp service (деталі)
• Oracle RDBMS TNS Data packet DoS (деталі)
• ITech Classifieds Multiple Remote Vulnerabilities (деталі)
• Domain Trader v2.0 Xss Vulnerable (деталі)
• The Everything Development System - SQL Injection (деталі)
• Youtube Clone Xross Site Scripting (load_message.php) (деталі)
• Textpattern 4.0.5 Multiple Security Vulnerabilities (деталі)
• Astrosoft HelpDesk Multiple XSS (деталі)
• Openads 2.4.2 vulnerability fixed (деталі)

Раніше я писав про Cross Domain Charset Inheritance уразливість, що була виявлена Stefan Esser, яка призводила до Cross-Site Scripting з використанням успадкованої кодової сторінки в багатьох браузерах.

Як я вчора, 30.01.2009, перевірив, дана уразливість в браузерах, що дозволяє проводити XSS атаки (зокрема, з використанням UTF-7 кодування), також наявна в інших браузерах, окрім згаданих Стефаном. Як він повідомив у 2007 році, вразливими були браузери Mozilla Firefox 1.5, Firefox 2.0 (Firefox <= 2.0.0.1), Microsoft Internet Explorer 7 і Opera 9. Зазначу, що Стефан згадував і про автодетект в IE6, але наголосив лише, що вразливий IE7.

Вразливі також браузери:

• Internet Explorer 6 (6.0.2900.2180) та попередні версії, з включеним автодетектом кодової сторінки (використання автодетекту є дуже поширеним).
• Google Chrome 1.0.154.43 та попередні версії.

Зазначу, що уразливість працює в Chrome лише з одного домена - Same Domain Charset Inheritance уразливість. Тому для атаки потрібно мати можливість розмістити html-код з фреймом/іфреймом на тому самому домені (наприклад, через аплоадер).

До речі, Opera 9 була вразлива (в 2007 році). Але в нових версіях Опери, починаючи з Opera 9.20, дана уразливість вже виправлена.