Websecurity - Веб безпека

Тема безпеки Invision Power Board та уразливостей в ньому важлива для мене. Тому що в мене форум на цьому движку.

І тому я прискіпливо слідкую за інформацією про уразливості та експлоіти до IPB.

Остання версія IPB - це Invision Power Board 2.1.7. І раніше я вже писав про уразливість в даній версії IPB.

З того часу з’явилась інформація про нові уразливості в цьому движку. Причому в 2.1.7 та попередніх його версіях. Ось три останніх експлоїта для IPB:

• Exploits Invision Power Board SQL injection (деталі)
• SQL Injection in IPB <=2.1.3 (деталі)
• Invision Power Board Multiple Vulnerabilities (деталі)

Виявлена ін’єкція HTTP заголовка в плагіні Macromedia Flash.

Уразливі версії: Flash Player plugin 9.0.

• HTTP Header Injection Vulnerabilities in the Flash Player Plugin (деталі)

В даній добірці уразливості в веб додатках:

• phpBB XS <= 0.58 (phpbb_root_path) Remote File Include Vulnerability(2) (деталі)
• Yblog => Cross Site Scripting (деталі)
• OlateDownload 3.4.0 Multiple Vulnerabilities (деталі)
• digishop v 4.0.0 Xss Vuln. (деталі)
• Dayfox Blog v2.0 Remote file include (деталі)
• Pebble 2.0.0 RC[1,2] XSS vulnerability (деталі)
• Kerio Multiple insufficient argument validation of hooked SSDT function Vulnerability (деталі)
• Yener Haber Script v2.0 SQL injection (деталі)
• Multiple PHP remote file inclusion vulnerabilities in UHP (User Home Pages) 0.5 (деталі)
• SQL injection vulnerability in XMB (aka extreme message board) 1.9.6 (деталі)

18.10.2006

В минулому місяці, 03.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://bbn.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

10.11.2006

XSS:

• alert(document.cookie)

Уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• phpSecurePages <= 0.28b (secure.php) Remote File Include Vulnerability (деталі)
• phpMyWebmin <= 1.0 (target) Remote File Include Vulnerabilities (деталі)
• VAMP Webmail <= 2.0beta1 (yesno.phtml) Remote Include Vulnerability (деталі)
• Forum82 <= 2.5.2b (repertorylevel) Multiple File Include Vulnerabilities (деталі)
• JAF CMS <= 4.0 RC1 Remote File Include Exploit (деталі)

Нещадавно я згадував у записі Використання CSS для розкриття інформації про те, що можна визначити адреси сайтів, які відвідував користувач. І в тому числі локальні адреси - адреси сайтів в локальний мережі (в тому числі localhost). І дана інформація може бути використана для більш глибоких атак.

Також інформацію про локальні сайти можна дізнатися й іншим чином (через соціальну інженерію, віруси чи трояни, або вгадуванням чи простим перебором). І локальні сайти в свою чергу можуть бути більш вразливими і менш захищеними, бо менше перевірялися на предмет уразливостей (бо в адмінів може з’явитися помилкове уявлення, мовляв сайт локальний, за брендмауером, ніхто до нього не добереться - цю думку я й намагаюся змінити).

Зокрема процес отримання інформації про локальний сайт (для подальшої атаки) може бути спрощений за рахунок того, якщо на локалі стоїть той же сайт що і в інтернеті: тобто в мережі є сайт http://site.com, і його точна (або майже точна) копія є на http://localhost. І якщо сайт в інтернеті є уразливим (до XSS, SQL Injection тощо), то його локальна копія напевно теж - що дозволить зробити напад на локальний ПК користувача. Причому, окрім інформації з самого сайта, на локалхості можуть бути інші сайти (з іншою важливою інформацією), а також вразливими є інші дані на ПК користувача (які можуть бути викрадені, в залежносмті від прав користувача, з якими запущений браузер або від прав веб сервера).

До локальних даних можна дістатися як з уразливих скриптів конкретного сайту, так і з інших додаткових скриптів, які можуть бути на локалхості, і яких немає на сайті в інтернет (про це повинен знати атакуючий). І це цілком можливо, так як на локалхості можуть бути додаткові скрипти, встановленні для власних потреб користувача. При наявності контроля за браузером користувача, або через трояни чи руткіти, або через веб (про що я розповідав в XSS для віддаленого контролю), це може призвести до серйозних наслідків.

Зокрема в свої практиці я звертав увагу на подібні речі. І деякий час тому провів цікавий експеремент. На одному з моїх сайтів в інтеренет, котрий є на http://localhost (треба лише знати шляхи), наявна XSS уразливість (яку я планую виправити найближчим часом, не переживайте). Вона є в скрипті, який знаходиться як в інтернеті, так і локально - тому можна зробити атаку на локалхост. Цю атаку можна прости як з якогось сайту (на який можна заманити), тим же iframe, або навіть з мого власного сайту, використавши наявну XSS.

Я провів хитру атаку з виконання XSS на локальному веб сервері через сайт в інтернеті - використавши одну і ту саму уразливість на двох сайтах: у вебі і на локалхості (для цього можна використати або прихований iframe, або заманити прямо на лінку). Тобто поле для атаки тут широке. І в результаті я отримав свій локальний кукіс (можливі й інші напрямки атаки). А на локалі в мене багато різних веб додатків, тому й багато різної інформації (в тому числі паролів). А враховуючи, що пароль на локалі і в вебі може використовуватися однаковий, це може призвести до ураження, як локального сайту, так і сайту в інтернеті. Подібний витік інформації може привести до важких наслідків. Про згадану уразливість і наведену атаку ви не переживайте - у вас немає ніяких шансів (всерівно я її пофіксю). Сприймайте це лише як приклад.

Подібні речі є реальністю в наш час. І якщо раніше про подібні атаки тема не піднімалася, це ще не значить, що хакери не використовують подібні методи атаки (в тому числі при комплексних атаках). І наслідки можуть бути доволі серйозні - втрата конфіденційної інформації та інша заподіяна шкода. Тому варто звертати увагу на даний напрямок атаки.

В даній добірці уразливості в веб додатках:

• com_ugbannerspos Remote File Include Vulnerabilities (деталі)
• Forum82 <= v2.5.2b (repertorylevel) Multiple R.F.I. Vulnerabilities (деталі)
• Mercury SiteScope 8.2 (8.1.2.0) Cross Site Scripting (XSS) Vulnerability (деталі)
• EasyBannerFree (functions.php) Remote File Include Exploit (деталі)
• WWWthreads “Cat” Cross-Site Scripting Vulnerabilities (деталі)
• DeluxeBB “templatefolder” File Inclusion Vulnerability (деталі)
• Google Mini Search Appliance Path Disclosure Weakness (деталі)
• phpMyAdmin Multiple CSRF Vulnerabilities (деталі)
• PHP remote file inclusion vulnerability in PHP Layers Menu 2.3.5 (деталі)
• NX5Linkx Multiple Vulnerabilities (деталі)

В серпні, 08.08.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://begun.ru. Про що вже попередньо сповістив адміністрацію проекту (ще в серпні).

XSS:

• alert(document.cookie)

І вже адміни Бєгуна виправили дану уразливість.

Я вже писав про попередню уразливість на begun.ru. З приводу Бєгуна, я лише хотів зауважити (ще з серпня), про некоректну поведінку Бєгуна і його адмінів.

Крім того, що вони не відповіли на мої листи - це поширене явище, і таких випадків в моїй практиці багато. Не це головне. Головне що вони прореагували і виправили уразливості, і головне як це вони зробили.

Бєгун в наглую, мало того що він допускає уразливості на своєму сайту і не слідкує за його безпекою (не проводить аудит), так ще й виправляє уразливості не дочекавшись моїх попереджень (і не відповідаючи на них). Адміні явно аналізують логи (або сервера, або ті, що веде система сайта). Причому роблять це тривалий проміжок часу, тобто вони реагують з великим запіздненням, і зловмисник може провести свої атаки.

І базуючись на цьому, вони знаходять в логах мої запити до системи з метою її аудиту (чим їм самим було лінь займатися), вони через деякий час, поки я відклав, щоб написити їм повідомлення, виправляють уразливість - мовляв це ми самі знайши, і ми тут самі розумні. Навіть не подякувавши, неначебто ніхто і не шукав на їх сайті уразливості (і не писав їм повідомлення).

Поведінка цієї компанії не викликає позитивних емоцій (звісно наступні уразливості нехай самі шукають - немає чого задарма експлуатувати інших). Якщо з відвідувачами своїх сайтів (і секюріті консультантами) вони так нахабно чинять, то ще невідомо як вони поводяться зі своїми клієнтами. Всім клієнтами Бєгуна варто бути обачними.

Деякий час тому вийшли оновлення для Mozilla Firefox (до 1.5.0.7), Mozilla Thunderbird (до 1.5.0.7) та Mozilla Seamonkey (до 1.0.5).

В даних оновленнях виправлені наступні уразливості в программах Mozilla:

• Crashes with evidence of memory corruption
• Executing JavaScript within E-Mail using XBL
• Pop up-blocker cross-site scripting (XSS)
• Frame spoofing using document.open()
• RSA Signature Forgery
• Concurrency-related vulnerability
• Auto-Update compromise through DNS and SSL spoofing
• JavaScript Regular Expression Heap Corruption

Рекомендується оновити ваші Firefox, Thunderbird та Seamonkey.

• SUSE Security Announcement: Mozilla Firefox, Thunderbird, Seamonkey (деталі)

13.10.2006

В минулому місяці, 02.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.mignews.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

08.11.2006

XSS:

• alert(document.cookie)

Уразливість вже виправлена. Адмінам www.mignews.com варто лише було мені повідомити про це.

Поки адміни виправили одну уразливість, на них чекає ще одна (яку я знайшов щойно).