Websecurity - Веб безпека

Нещодавно, 30.01.2009, досліджуючи Charset Inheritance в різних браузерах, коли я виявив Charset Inheritance уразливість в Internet Explorer 6 та Google Chrome, я знайшов Charset Remembering уразливість в Mozilla Firefox.

Дана уразливість призводить до можливості проведення XSS атак з UTF-7. Вона відрізняється від Charset Inheritance в тому, що кодова сторінка не наслідується, а вона повинна бути встановлена для сторінки вручну, в цьому вона схожа на XSS уразливість в Mozilla та Firefox, що я виявив в 2007 році (до речі, їх можна поєднати при атаках на gopher ресурси). Після чого стають можливими XSS атаки на дану сторінку.

При вказані користувачем для сторінки на сайті кодування (зокрема, UTF-7), браузер запам’ятовує дане кодування і використовує його в подальшому при всіх запитах до даної сторінки, якщо в ній не вказано кодування. Навіть після перезапуску браузеру - вказане кодування запам’ятовується доти, доки воно не буде змінено на інше. Що дозволить при вказанні кодування UTF-7 проводити XSS атаки (при відвіданні сторінок з XSS кодом або приховані атаки через frame/iframe).

Алгоритм атаки:

1. Заманити користувача на сторінку http://site/page.html (де не вказане кодування) і змусити його встановити UTF-7 кодування для даної сторінки.

2. Розмістити UTF-7 XSS код на http://site/page.html (як reflected або persistent) і атакувати користувача на даній сторінці.

3. Доки кодування UTF-7 для даної сторінки буде встановлене в браузері, можна буде повторно атакувати користувача.

Уразливі Mozilla Firefox 3.0.1 та всі попередні версії (та потенційно наступні версії).

В даній добірці уразливості в веб додатках:

• SQL Injection Flaw in Oracle Workspace Manager (деталі)
• Oracle audit issue with XMLDB ftp service (деталі)
• Oracle RDBMS TNS Data packet DoS (деталі)
• ITech Classifieds Multiple Remote Vulnerabilities (деталі)
• Domain Trader v2.0 Xss Vulnerable (деталі)
• The Everything Development System - SQL Injection (деталі)
• Youtube Clone Xross Site Scripting (load_message.php) (деталі)
• Textpattern 4.0.5 Multiple Security Vulnerabilities (деталі)
• Astrosoft HelpDesk Multiple XSS (деталі)
• Openads 2.4.2 vulnerability fixed (деталі)

Раніше я писав про Cross Domain Charset Inheritance уразливість, що була виявлена Stefan Esser, яка призводила до Cross-Site Scripting з використанням успадкованої кодової сторінки в багатьох браузерах.

Як я вчора, 30.01.2009, перевірив, дана уразливість в браузерах, що дозволяє проводити XSS атаки (зокрема, з використанням UTF-7 кодування), також наявна в інших браузерах, окрім згаданих Стефаном. Як він повідомив у 2007 році, вразливими були браузери Mozilla Firefox 1.5, Firefox 2.0 (Firefox <= 2.0.0.1), Microsoft Internet Explorer 7 і Opera 9. Зазначу, що Стефан згадував і про автодетект в IE6, але наголосив лише, що вразливий IE7.

Вразливі також браузери:

• Internet Explorer 6 (6.0.2900.2180) та попередні версії, з включеним автодетектом кодової сторінки (використання автодетекту є дуже поширеним).
• Google Chrome 1.0.154.43 та попередні версії.

Зазначу, що уразливість працює в Chrome лише з одного домена - Same Domain Charset Inheritance уразливість. Тому для атаки потрібно мати можливість розмістити html-код з фреймом/іфреймом на тому самому домені (наприклад, через аплоадер).

До речі, Opera 9 була вразлива (в 2007 році). Але в нових версіях Опери, починаючи з Opera 9.20, дана уразливість вже виправлена.

29.07.2008

У листопаді, 16.11.2007, я знайшов Cross-Site Scripting (причому persistent) уразливість на проекті http://www.a-counter.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.a-counter.com.

Детальна інформація про уразливість з’явиться пізніше.

31.01.2009

XSS:

В рейтингу в розділі “Новости” публікуються новини користувачів, де має місце persistent XSS уразливість.

POST запит на сторінці http://www.a-counter.com/cgi-bin/addnews
<script>alert(document.cookie)</script>В полі Текст новости.

Дана уразливість вже виправлена (шляхом відключення даного функціоналу сайта).

Ще 06.11.2007 я виявив Insufficient Anti-automation уразливість в системі E107. Коли виявив уразливості на www.nist.org. Також раніше на цьому ж сайті я виявив Cross-Site Scripting уразливості в E107. Про що найближчим часом повідомлю розробникам системи.

Insufficient Anti-automation:

Уразливість в капчі на сторінці відправки лінки на новину. Яка вразлива до напівавтоматичного методу обходу, що я описав в проекті Місяць багів в Капчах. Ця ж капча використовується і на сторінці реєстрації та на сторінці нагадування паролю.

E107 CAPTCHA bypass.html

Для атаки потрібно посилати заздалегіть приготовлені значення параметрів code_verify і rand_num. Кожен код капчі працює лише один раз.

XSS:

Уразливості в search.php в параметрах in, ex, ep і be.

http://site/search.php?in=%27%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search.php?ex=%27%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search.php?ep=%27%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search.php?be=%27%3Cscript%3Ealert(document.cookie)%3C/script%3E

До XSS вразливі старі версії E107, а до Insufficient Anti-automation вразливі всі версії E107.

В даній добірці уразливості в веб додатках:

• Oracle E-Business Suite SQL Injection Vulnerability (деталі)
• Oracle Database Buffer overflow vulnerability in procedure DBMS_AQADM_SYS.DBLINK_INFO (деталі)
• Oracle Database Buffer overflow vulnerability in function MDSYS.SDO_CS.TRANSFORM (деталі)
• contactforms “cforms-css.php” Remote File Inclusion (деталі)
• Multiple Vulnerabilities in Coppermine 1.4.14 (деталі)
• SQL in Archimede Net 2000 “E-Guest_show.php” (деталі)
• Multiple SQL Injection bugs in TCS website (деталі)
• ViewCVS 0.9.4 issues (деталі)
• MTCMS multiple upload vulnerabilities (деталі)
• XSS in script Phorum (деталі)

У березні, 18.03.2008, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://www.youtube.com компанії Google.

Abuse of Functionality:

На сторінці реєстрації http://www.youtube.com/signup функція Check Availability, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

За допомогою Brute force login identifier я легко виявив наступні логіни в системі:

0
00
000
0000
00000
000000
0000000
00000000
000000000
0000000000
a
aa
aaa
aaaa
aaaaa
aaaaaa
aaaaaaa
aaaaaaaa
aaaaaaaaa
aaaaaaaaaa

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.

22.07.2008

У листопаді, 13.11.2007, я знайшов Insufficient Anti-automation уразливість на проекті http://www.codinghorror.com. Про що найближчим часом сповіщу адміністрацію проекту.

Уразлива капча сайта, що я виявив під час проведення MoBiC.

Детальна інформація про уразливість з’явиться пізніше.

29.01.2009

Insufficient Anti-automation:

Уразливість в капчі на сторiнках записів. Дана капча вразлива до методу обходу Constant values bypass method.

Для обходу капчі потрібно весь час посилати для параметра captcha значення orange.

Дана уразливість досі не виправлена.

У березні, 15.03.2008, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://hulu.com.

Abuse of Functionality:

На сторінці реєстрації https://secure.hulu.com/signup функція check, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі.

Insufficient Anti-automation:

Враховучи, що дана функція не має захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier (що я розробив в березні 2008 року).

За допомогою Brute force login identifier я легко виявив наступні логіни в системі:

00
000
0000
00000
000000
0000000
00000000
000000000
0000000000
00000000000

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.

В даній добірці уразливості в веб додатках:

• Mambo 4.6.3 Path Disclosure, XSS, XSRF, DOS (деталі)
• phpIP 4.3.2 - Numerous SQL Injection Vulnerablities (деталі)
• Linksys WRT54 GL - Session riding (CSRF) (деталі)
• Sun J2RE DoS issue (деталі)
• Yes,il Koridor Ziyareti Defteri (index.php) SqL. inj (деталі)
• Remote Shell Command Execution in Coppermine 1.4.14 (деталі)
• Webspell 4.01.02 2 Vulnerabilites (деталі)
• tinyBB v0.2 Message Board Remote File Inc (деталі)
• AmpJuke-0.7.0 (index.php) Xss VuLn (деталі)
• PHPKIT 1.6.4 PL1 2 XSRF Vulnerabilities (деталі)