Websecurity - Веб безпека

Я вже згадував раніше про сайт ha.ckers.org - безпека веб додатків. Автор сайту, RSnake, в своїй статті Why XSS is Here to Stay описує основні причини, чому Cross-Site Scripting уразливості мають і будуть мати місце. І в цьому питанні я з ним погоджуюсь.

Основні причини поширення XSS:

• Аналітичні сервіси - щоб вирішити кардинально проблему XSS, потрібно відмивитися від включення віддалених скриптів (на JavaScript), але на це не підуть компанії, які надають, наприклад, аналітичні сервісі - ті ж рахівники різного гатунку (а з минулого року цим почала займатися Google). Я вже не кажу про повну відмову від JavaScript - ніхто на це не піде (хоча це вирішить багато проблем з безпекою), бо всі до нього звикли і дуже багато сервісів на ньому базується.
• Контекстна та банерна реклама - системи контекстної та здебільшого й банерної реклами базуються саме на JavaScript коді, розміщеному на сторінках веб сайтів (прочитайте мою замітку Хакінг сайту через уразливості в коді зовнішніх систем). Дуже багато людей зайняті в цій сфері, як самих компаній, так і власників сайтів - тому ніхто від цього не захоче відмовитися. Зокрема тому, що в цій сфері обертаються гроші (які заробляють як власники рекламних систем, так і власники сайтів).
• AJAX - він базується на віддалених запитах JavaScript, тому нічого вдіяти тут не вийде, якщо ми хочемо AJAX, який є основою Web 2.0, ми повині миритися з його недоліками (і в тому числі з можливістю XSS). Інакше, ми залишимося веб самого AJAX-а, і повернемося до Веб 1.0 (та й багато компаній задіяні зараз в ajax напрямку, які не захочуть від своїх планів відмовитися).
• Akamai - це система кешування відвідуємих веб сайтів, яка вимагає наявність JavaScript в браузері користувача (з відповідними наслідками).
• Завантаження сторінок і SEO - з точки зору швидкості завантаження сторінок, яка зменшується від наявності JS-коду на сторінках сайтів, а також з точки зору релевантності сторінки для пошукових систем (SEO), та й з точки зору трафіка, то з цих причин власники сайтів намагаються розміщати віддалени скрипти (різноманітних систем), і тому даний функціонал вкрай потрібен для власників сайтів.

З наведених причин (лише деяких з усіх можливих) ви можете побачити, що кардинально змінити ситуацію (в браузерах), як мінімум заборонити віддалені запити в JavaScript, не має можливості - тому що велика кількість різноманітних компаній (як великих, так і малих) та й самих інтернет користувачів, аж ніяк не забажає відмовитися від даного функціоналу, який дарує як зручності, так і наражає на небезпеку.

Тому єдиним засобом на сьогодні для боротьби з XSS є пошук і виправлення уразливостей З приводу пошуку уразливостей (і рекомендацій щодо їх виправлення) можна звертатися до мене.

В минулому місяці, 25.08.2006, я знайшов Cross-Site Scripting уразливість на популярному порталі http://www.youtube.com (відомий сервіс розміщення відео роликів). Про що вже повідомив адміністрацію проекту.

XSS:

• alert(document.cookie)
• цікавий

В даній добірці експлоіти в веб додатках:

• phpFullAnnu <= 5.1 (repmod) Remote File Include Vulnerability (деталі)
• BinGo News <= 3.01 (bnrep) Remote File Include Vulnerability (деталі)
• phpBB Shadow Premod <= 2.7.1 Remote File Include Vulnerability (деталі)
• PhpCommander <= 3.0 Remote Code Execution Exploit (mq=off) (деталі)
• Exploits Tr Forum V2.0 Admin MD5 Passwd Hash Disclosure (деталі)

В MySQL виявлена уразливість до DoS атак. Уразливі версії: MySQL 4.1.

Складний запит c підзапитами і відновленням декількох таблиць може привести до відмови сервера.

• Updated MySQL packages fix DoS vuln, initscript bug (деталі)

В даній добірці уразливості в веб додатках:

• multiple PHP application poison NULL byte vulnerability (деталі)
• vCAP calendar server Multiple vulnerabilities (деталі)
• p4CMS <= v1.05 (abs_pfad) Remote File Inclusion Exploit (деталі)
• Popper <= v1.41 (form) Remote File Inclusion Exploit (деталі)
• Stefan E. Newsscript Multiple Vulnerabilities (деталі)
• OPENi-CMS 1.0.1(config) Remote File Inclusion Vulnerability (деталі)
• phpWordPress (Vivvo Article Manager) (деталі)
• phpWordPress (Vivvo Article Manager) (деталі)
• Завантаження довільних файлів в Etomite (деталі)
• AZNEWS SQL Injection Vulnerability (деталі)

Нещодавно була знайдена чергова уразливість в MS Internet Explorer - переповнення буфера в IE (Internet Explorer COM Object Heap Overflow).

Як повідомляє дослідник цієї уразливості, вона спрацьовує на Windows 2000 Server SP4 з Internet Explorer 6.0 SP1 та Windows XP SP2 з Internet Explorer 6.0 SP1.

Як я протестував на своїй Windows XP Pro SP2 + Internet Explorer 6.0 SP1 - уразливість працює. Причому помилка в IE серйозна, окрім DoS також можливе виконання довільного коду і навіть більше, можливе завантаження з віддаленого хоста та запуск довільної програми.

На основі інформації про дану уразливість, я розробив свій невеличкий, але досить цікавий експлоіт .

Test Internet Explorer (тестувати потрібно лише в IE).

У експлоїта є деякі нюанси, що він може не кожного разу спрацювати - це особливість роботи прикладу коду наведеного автором, що експлоіт може заглючити і не спрацювати (на Windows XP SP2 з IE 6.0 SP1). Тому потрібно спробувати декілька разів, якщо у вас з першого разу не вийшло. Коли мій експлоіт вас похакає, ви про це дізнаєтесь

Можете ознайомитися з прикладом використання уразливості від автора:

• Internet Explorer COM Object Heap Overflow Download Exec Exploit (деталі)

19.08.2006

На початку місяця, 03.08.2006, знайшов Cross-Site Scripting уразливість на проекті http://mainlink.ru (веб брокер). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

20.09.2006

XSS:

• alert(document.cookie)

Як мені повідомила адміністрація брокера, уразливість нещодавно була виправлена.

В даній добірці експлоіти в веб додатках:

• GrapAgenda 0.1 (page) Remote File Include Vulnerability (деталі)
• MySpeach <= 3.0.2 (my_ms[root]) Remote File Include Vulnerability (деталі)
• Akarru <= 0.4.3.34 (bm_content) Remote File Include Vulnerability (деталі)
• Beautifier 0.1 (Core.php) Remote File Include Vulnerability (деталі)
• PHP Proxima <= v.6 Remote Code Execution Exploit (деталі)

В даній добірці експлоіти в веб додатках:

• Tr Forum 2.0 SQL Injection / Bypass Security Restriction Exploit (деталі)
• SimpleBlog <= 2.3 (id) Remote SQL Injection Vulnerability (деталі)
• Zix Forum <= 1.12 (RepId) Remote SQL Injection Vulnerability (деталі)
• AnnonceV News Script <= 1.1 (page) Remote File Include Vulnerability (деталі)
• SoftBB 0.1 Remote PHP Code Execution Exploit (деталі)

11.09.2006

В минулому місяці, 16.08.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.ixbt.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

19.09.2006

XSS:

• alert(document.cookie)

Уразливість вже виправлена.