Websecurity - Веб безпека

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Bigmir.net:

http://dnevnik.bigmir.net/go/?url=http://websecurity.com.ua

http://top.bigmir.net/goto.php?url=http://websecurity.com.ua

I.ua:

http://g.i.ua/?_url=http://websecurity.com.ua

Meta.ua:

http://meta.ua/go.asp?http://websecurity.com.ua

http://meta.ua/jmp.asp?http://websecurity.com.ua

http://meta.ua/nav.asp?http://websecurity.com.ua

http://meta.ua/adclick.asp?href=http://websecurity.com.ua

http://meta.ua/c.asp?href=http://websecurity.com.ua

http://zakon.meta.ua/law.asp?url=http://websecurity.com.ua

23.10.2008

Нещодавно, 06.10.2008, я знайшов Cross-Site Scripting уразливість в Opera. Як раз коли знайшов таку саму дірку в Google Chrome. Дірку виявив в останній на той час версії браузера 9.52 (нова версія 9.60 також може бути вразлива).

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам браузера.

29.10.2008

При збереженні сторінки зі “спеціальним” URL, в коді сторінки зберігається XSS код. І відбувається виконнання XSS коду при відкритті даної сторінки (причому її відкритті в будь-якому браузері, не тільки в Opera).

XSS:

http://site/?--><script>alert("XSS")</script>

Для атаки необхідно зберегти сторінку як mhtml файл (Web archive). Причому, якщо зберегти даний файл з розширенням mhtml, то при відкритті сторінки код не спрацює. Для того, щоб це обійти і запустити код потрібно зберегти mhtml файл з розширенням htm або html. Тоді код виконається при відкритті сторінки.

Дану уразливість я назвав Post Persistent XSS (Saved XSS), котра є підкласом Persistent XSS. Подібні уразливості можуть використовуватися для доступу до локальної файлової системи.

Для прихованої атаки можна використати iframe в коді сторінки:

<iframe src='http://site/?--><script>alert("XSS")</script>' height='0' width='0'></iframe>

Дірка аналогічна Cross-Site Scripting в Internet Explorer, про яку я писав в серпні 2007 року, та Cross-Site Scripting в Google Chrome.

Уразлива версія Opera 9.52 та попередні версії (наступні версії також можуть бути вразливими).

Нещодавно, 11.10.2008, досліджуючи DoS уразливість в браузері Nokia Mini Map Browser (виявлену Luca Carettoni), я знайшов Denial of Service уразливості в Mozilla, Opera та Google Chrome. І розробив універсальний експлоіт для різних браузерів. DoS атака відбувається при сортуванні масиву.

DoS:

Mozilla, Opera & Chrome DoS Exploit.html

При запуску експлоіта Mozilla і старі версії Firefox вилітають, Opera і Chrome забирають 100% CPU. А IE6 та IE7 виводять веселе повідомлення про Stack overflow (але не вилітають).

Уразлива версія Mozilla 1.7.x та старі версії Mozilla і Firefox. Браузер Firefox 3 не вразливий.

Уразлива версія Google Chrome 0.2.149.30 та попередні версії.

Уразлива версія Opera 9.52 та попередні (і потенційно наступні) версії.

Як написав в минулому році RSnake в своєму записі IE6.0 Protocol Guessing, в Internet Explorer 6 існує можливість вгадування протоколу. Що дозволяє виконати код (через javascript та vbscript протоколи), при цьому використовуючи інші, більш приховані, протоколи (щоб замаскувати атаку). Дірку знайшов і повідомив про неї SirDarckCat.

Ось декілька прикладів, які ви можете ввести в адресний рядок в себе в IE для тестування.

xssscript:alert("XSS")
somescript:alert("XSS")
httpscript:alert('XSS')
httpscript:%61%6C%65%72%74%28%27%58%53%53%27%29
httpscript:/*microsoft.com%2A%2F%61%6C%65%72%74%28%27%58%53%53%27%29

Враховуючи, що для атаки потрібно ввести адресу вручну в адресний рядок, то дана атака вимагає використання соціальної інженерії, щоб змусити жертву ввести необхідний URL. Подібні атаки можуть проводитися через емайли, або через пости на сайтах. Дану уразливість в IE6 я відношу до Strictly social XSS.

В даній добірці уразливості в веб додатках:

• RSA EnVision Reflected XSS Hole (деталі)
• Cross site scripting in chcounter 3.1.3 (деталі)
• E107 - (v0.7.8) Access Escalation Vulnerbility - PoC (деталі)
• Critical phpwiki c99shell exploit (деталі)
• Cross site scripting in toendaCMS 1.5.3 (деталі)
• WebSPELL <= 4.01.02 (picture.php) Remote File Disclosure Vulnerability (деталі)
• cattaDoc 2.21(download2.php fn1)Remote File Disclosure Vulnerability (деталі)
• Beryo 2.0(downloadpic.php chemin)Remote File Disclosure Vulnerability (деталі)
• MyBlog: PHP and MySQL Blog/CMS software Remote File Include Vulnerabilitiy (деталі)
• Opera Software Opera Web Browser URL Parsing Heap Overflow Vulnerability (деталі)

07.10.2008

Учора, 06.10.2008, я знайшов Cross-Site Scripting уразливість в Google Chrome. Дірку виявив в останній версії браузера.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам браузера.

27.10.2008

При збереженні сторінки зі “спеціальним” URL, в коді сторінки зберігається XSS код. І відбувається виконнання XSS коду при відкритті даної сторінки (причому її відкритті в будь-якому браузері, не тільки в Chrome).

XSS:

http://site/?--><script>alert("XSS")</script>

Дану уразливість я назвав Post Persistent XSS (Saved XSS), котра є підкласом Persistent XSS. Подібні уразливості можуть використовуватися для доступу до локальної файлової системи.

Для прихованої атаки можна використати iframe в коді сторінки:

<iframe src='http://site/?--><script>alert("XSS")</script>' height='0' width='0'></iframe>

Дірка аналогічна Cross-Site Scripting в Internet Explorer, про яку я писав в серпні 2007 року.

Уразлива версія Google Chrome 0.2.149.30 та попередні версії. Google заявив, що вони з часом виправлять дану уразливість.

В даній добірці уразливості в веб додатках:

• F5 BIG-IP Web Management Console XSS (деталі)
• F5 BIG-IP Web Management Console CSRF (with example) (деталі)
• TikiWiki <= 1.9.8.1 Cross Site Scripting / Local File Inclusion (деталі)
• usd250 helpdesk XSS vulnerabily. (деталі)
• i-Gallery 3.4 bug crack password! (деталі)
• Flatnuke3 Remote Cookie Manipoulation / Privilege Escalation (деталі)
• Micro Login System v1.0 (userpwd.txt) Password Disclosure Vulnerability (деталі)
• Scribe <= 2.0 Remote PHP Code Execution (деталі)
• Synergiser <= 1.2 RC1 Local File Inclusion & Full path disclosure (деталі)
• sBlog 0.7.3 Beta Cross Site Request Forgery (деталі)

Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти

Про редиректори я неодноразово розповідав. Зокрема я розповідав про редиректори в пошукових системах, редиректори на секюріті сайтах, редиректори в CMS та редиректори Гугла. Для даної атаки також можна використовувати і Flash.

Приведу вам приклади редиректорів на популярних веб сайтах. Які я знайшов ще в листопаді 2006 року.

Редиректори на популярних сайтах:

Spylog.com:

http://diradvert.spylog.com/scripts/click.phtml?url=websecurity.com.ua

Liveinternet.ru:

http://www.liveinternet.ru/go?http://websecurity.com.ua

http://li.ru/go?http://websecurity.com.ua

Uaportal.com:

http://www.uaportal.com/cgi_bin/…?url=http://websecurity.com.ua

28.04.2008

У жовтні, 06.10.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://www.linksmile.com (веб брокер). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.10.2008

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Insufficient Anti-automation:

Вразлива капча на сторінці контактів (http://www.linksmile.com/ index.php?view=contact). Дана капча використовує одноразові зображення, тому для її взлому потрібно використати напівавтоматизований метод (half-automated method).

В капчі піддаються маніпуляції параметри characters, width і height. Вони можуть бути задані таким чином, що дозволять легший обхід капчі через напівавтоматизований або автоматизований (з використанням OCR) методи:

http://www.linksmile.com/CaptchaSecurityImages.php?width=120&height=40&characters=6
http://www.linksmile.com/CaptchaSecurityImages.php?width=120&height=40&characters=2 (задається два символи для капчі)
http://www.linksmile.com/CaptchaSecurityImages.php?width=150&height=100&characters=2 (задається два символи та збільшується розмір)

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Openads 2.0.11 vulnerability fixed (деталі)
• Max Media Manager v0.1.29-rc and v0.3.31-alpha-pr2 vulnerability fixed (деталі)
• FAC GuestBook v2.0 remote database disclosure vulnerability (деталі)
• phpwebnews v.1 Multiple Cross Site Scripting Vulnerabilites (деталі)
• TuMusika Evolution 1.6 Cross Site Scripting Vulnerabilitiy (деталі)
• Cross site scripting in mephisto 0.7.3 (деталі)
• Cross-site Scripting (XSS) / HTML injection on F5 FirePass 4100 SSL VPN ‘my.logon.php3′ server-side script (деталі)
• F5 BIG-IP Web Management Audit Log XSS (деталі)
• VigileCMS All Versions DataMining Remote Hash Disclosure (деталі)
• Multi Host Forum Pro phpbb & ipb Multiple Sql Injection (деталі)