Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• ezOnlineGallery Multiple Security Issues (деталі)
• New thttpd packages fix insecure temporary file creation (деталі)
• P-Book <= 1.17 (pb_lang) Remote File Inclusion (деталі)
• HITWEB Remote File Include (деталі)
• Clanlite Remote File Include (деталі)
• jamroom Remote File Include (деталі)
• jamroom Remote File Include Vunerability (деталі)
• Міжсайтовий скриптінг в Simplog (деталі)
• SQL-ін’єкція в YenerTurk Haber Script (деталі)
• Міжсайтовий скриптінг в MyBB (деталі)

Хоча лише нещодавно вийшов WordPress 2.0.6, учора, 15.01.2007, вийшла нова версія WordPress 2.0.7 - всього лише через 10 днів після виходу попередньої версії.

WordPress 2.0.7 - це секюріті фікс, причому терміновий фікс. Причина випуску даного релізу в тому, що майже одразу після виходу версії 2.0.6, була знайдена серйозна уразливість та був випущений експлоіт для WP 2.0.6, який дозволяв захопити адмінський аккаунт (я вже давно планую розповісти про цей експлоіт, а також вже написав свою версію експлота і як доберусь, розповім про це детальніше).

Тому на даний час WP 2.0.7 - це останній стабільний реліз Вордпреса, вже доступний для скачування з сайта виробника. І який рекомендований всім користувачам цього движка.

Список змін в новий версії порівняно з 2.0.6:

• Секюріті фікс для wp_unregister_GLOBALS() для виправлення zend_hash_del_key_or_index бага в PHP 4 < 4.4.3 та PHP 5 < 5.1.4 з включеними register_globals.
• Фіди тепер нормально обробляють 304 Not Modified заголоки (виправлений так званий FeedBurner баг).
• Порт ще одного виправлення для 304 Not Modified з WordPress 2.1.
• Видалення сторінок в WordPress більше не виводить “Are You Sure?” діалог.
• Після видалення сторінок в WP, зараз коректно редиректить на екран редагування сторінок.
• Відправлення зображень в орігіальному розмірі в Internet Explorer більше не додає некоректний “height” атрибут.

10.11.2006

У вересні, 17.09.2006, я знайшов Cross-Site Scripting уразливість на https://card.cyberplat.ru - сайті відомої електронної платіжної системи. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Електронним платіжним системам варто слідкувати за безпекою своїх сайтів. Я вже згадув про уразливість на Paypal. І чим популярнішою є платіжна система, тим більше уваги слід приділяти власній безпеці.

16.01.2007

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• Light Blog Remote Multiple Vulnerabilities Exploit (деталі)
• MiniBill <= 20061010 (menu_builder.php) File Include Vulnerability (деталі)
• miniBB <= 2.0.2 (bb_func_txt.php) Remote File Include Exploit (деталі)
• ask_rave <= 0.9 PR (end.php footfile) Remote File Include Vulnerability (деталі)
• Exploits phpBBFM version 206-3-3 Remote File Include Vulnerability (деталі)

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента Росії, анонсую нового номінанта.

Декілька днів тому, 08.01.2007, я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на White House http://www.whitehouse.gov - сайті Президента США. Адмінам сайта www.whitehouse.gov я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Причому на сайті третього номінанта не одна подібна діра, а набагато більше. Всього на сайті Президента США до 8730 подібних UXSS уразливостей!

P.S.

Це третій приклад з серії уразливих президентських сайтів. Спочатку я планував в своїй серії уразливих сайтів обмежитися трьома номінантами, але на прохання постійних користувачів мого сайта я продовжу дану серію . Так що через деякий час очікуйте на нових номінантів в цій президентській фієсті.

Виявлені численні уразливості в додатках Mozilla Firefox, Thunderbird, Seamonkey. Частково я торкався даних уразливостей в записі Численні уразливості в Mozilla Firefox.

Міжсайтовий скріптінг через прототипи функцій. Витік інформації. Переповнення буфера динамічної пам’яті на довгих Content-Type повідомленнях. Ушкодження пам’яті через заголовок CVG. Міжсайтовий скріптінг через img.src. DoS. Підвищення привілеїв через watchpoint в JavaScript. Переповнення буфера через властивість image cursor у CSS. Численні ушкодження пам’яті.

Уразливі версії: Thunderbird 1.5, Firefox 1.5, Seamonkey 1.0, Firefox 2.0.

• Mozilla Foundation Security Advisory 2006-68 (деталі)
• Mozilla Foundation Security Advisory 2006-69 (деталі)
• Mozilla Foundation Security Advisory 2006-70 (деталі)
• Mozilla Foundation Security Advisory 2006-71 (деталі)
• Mozilla Foundation Security Advisory 2006-72 (деталі)
• Mozilla Firefox SVG Processing Remote Code Execution Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2006-73 (деталі)
• Mozilla Foundation Security Advisory 2006-74 (деталі)
• Mozilla Foundation Security Advisory 2006-75 (деталі)
• Mozilla Foundation Security Advisory 2006-76 (деталі)

Раніше я вже розповідав вам про Cross-Site Scripting (давав лінку на вікіпедію, з часом планую опублікувати мою власну статтю про XSS), а також розповідав про Самодостатній Cross-Site Scripting, один з різновидів XSS, і торкався теми XSS в DOM (про яку також підготую змістовну статтю). А зараз розповім вам про ще один різновид XSS атак - UXSS в PDF.

Універсальний Cross-Site Scripting в форматі PDF (Універсальна XSS в PDF, або скорочено UXSS в PDF) - це новий вид XSS атак, який з’явився (офіційно) на початку цього року, після того, як деякі західні сеюріті спеціалісти публікували інформацію в себе на сайті. Після чого розпочалося жваве обговорення цієї проблеми, і експерти та секюріті спільнота почали давати оцінки цій уразливості та можливим наслідками її поширення та використання уразливості для атак на різні сайти в Мережі. В цілому секюріті есперти оцінили урзливість як серйозну (тут потрібно враховувати ще конкретний сайт, де уразливість проявляється) й в цьому я з ними солідарен, і я теж важаю її небезпечною.

При цьому уразливість дуже поширена, тому від цього вона стає ще більш небезпечною. Уразливість UXSS в PDF базується на помилці в плагіни (для різних браузерів) Adobe Acrobat. І враховуючи, що це один з найпоширених плагінів (популярніше лише флеш плагін), то можна оцінити маштаби поширенності цієї уразливості та її ризик в маштабі всього Інтернета. Бо вразливими стають усі сайти, які мають розміщені в себе pdf файли. А сама уразливість названа “Універсальна XSS” тому, що немає потреби включати шкідливий код в саму pdf-ку, і не потрібно завантажувати файл на сайт, який атакується, лише потрібно використати будь-який готовий pdf файл (або якщо його немає на сайті, але існує можливість закачувати власні файли, то можна закачати будь-яку звичайну pdf-ку, без додаткових включень, тому ативіруси тут не допоможуть).

Використання уразливості

Безпосередньо сама атака з використанням UXSS в PDF проводиться дуже просто. Потрібно мати на сайті pdf-файл і потрібно лише підключити до нього шкідливий код.

http://site/file.pdf#whatever_name=javascript:your_code

Атакуючий код підключається до адреси pdf-файла, після символа # (який використовується для посилання на якорі), після якого йде ідентифікатор якоря (anchor identifier). В якості даного ідентифікатора можна використати будь-яке ім’я (в наступних прикладах використано “xss”), до якого після символу “=” додається шкідливий java-script код.

Код: alert(’XSS’)

http://site/file.pdf#xss=javascript:alert('XSS')

Код: alert(document.cookie)

http://site/file.pdf#xss=javascript:alert(document.cookie)

Як ви бачите нескладно сформувати зловминий код, який потім використати для атаки сайтів, на яких є pdf-файли. Причому враховуючи велику поширеність Акробат плагіна можете оцінити маштаби цієї уразливості - бо в даний час є до 317 000 000 сайтів в Мережі, які мають pdf файли (по інформації від Гугла). І майже всі вони вразливі до цієї атаки (тому всім адмінам цих сайтів прийдеться мати справу з Universal XSS в PDF).

Поширеність загрози

Уразливість дуже поширена, бо плагін існує під різні браузери. На даний час наявність цієї уразливості була підтверджена:

• IE6 + Acrobat Reader 4 + XP SP2
• IE6 + Acrobat Reader 6 + XP SP2
• IE6 + Acrobat Reader 7 + XP SP1
• Firefox 2.0.0.1
• Firefox 1.5.0.8
• Firefox 1.5.0.9
• Opera 8.5.4 build 770
• Opera 9.10.8679
• Mozilla 1.7.7

А також потенційно всі попередні версії Firefox, Mozilla (та браузерів на їх движках), а також IE5 та IE6 на попередніх Windows XP (таких як Gold and SP1). Та можливо IE5 та IE6 на Windows відмінних від XP. Головне щоб був Acrobat плагін (зафіксовані також випадки роботи цієї уразливості на Linux в браузері Firefox).

Ось вам два реальних приклади (один простий та один більш комплексний) UXSS в PDF атаки. В прикладі наводиться уразливість на сайті www.microsoft.com (раніше я вже приводив приклад подібної уразливості на сайті ЦРУ). Причому на сайті Microsoft подібних дір майже 827 штук!

http://www.microsoft.com/windows2000/docs/TCO.pdf#xss=javascript:alert(’XSS’)

http://www.microsoft.com/windows2000/docs/TCO.pdf#xss=javascript:function createXMLHttpRequest(){ try{ return new ActiveXObject(’Msxml2.XMLHTTP’); }catch(e){}   try{ return new ActiveXObject(’Microsoft.XMLHTTP’); }catch(e){}   try{ return new XMLHttpRequest(); }catch(e){} return null;}var xhr = createXMLHttpRequest();xhr.onreadystatechange = function(){ if (xhr.readyState == 4) alert(xhr.responseText);};xhr.open(’GET’, ‘http://www.microsoft.com’, true);xhr.send(null);

В першому прикладі визивається повідомлення (alert) з надписом ‘XSS’, а в другому завантажується головна сторінка сайта Майкрософт і виводиться в тексті повідомлення. Подібні речі можуть використовувати в своєму алгоритмі XSS-віруси, які будуть розповсюджуватися на сайті через UXSS діри.

Протидія уразливості

Для протідії UXSS в PDF атакам можна використовувати різні підходи:

1. Чекати поки користувачі встановлять оновлення для свого Акробат плагіна , або оновлять його до 8 версії (а також потрібно самому не забути це зробити, бо адміни сайтів також повинні бути захищеними). Що затягнеться на довго, тому це не ефективний підхід.

2. Виправити цю уразливість на сервері. Це більш реальний підхід. Можливі наступні варіанти:

• Взагалі прибрати pdf-ки.
• Винести їх на інший домен, тоді атаки на кукіси користувачів сайта стануть неможливі (але прямі атаки залишаться).
• Занести pdf-файли в архіви.
• Змінити заголовок сервера для даного типа файлів (додати “Content-disposition: attachement filename=file.pdf”, щоб файл не відкривався в плагіні, а щоб одразу відкривалося вікно для збереження файла).

Додаткова інформація:

• DANGER, DANGER, DANGER (деталі)
• Universal XSS in PDFs (деталі)
• Cross-site scripting vulnerability in versions 7.0.8 and earlier of Adobe Reader and Acrobat (деталі)

В даній добірці уразливості в веб додатках:

• Thepeak File Upload v1.3 : Read file vulneability (деталі)
• Hosting Controller 6.1 Hotfix <= 3.2 Vulnerability (деталі)
• phpAdsNew-2.0.8 <= (adlayer.php) Remote File Include (деталі)
• TextPattern <=1.19 Remote File Inclusion Vulnerability (деталі)
• UNISOR CMS sql injection (деталі)
• PHP-Nuke <= 7.9 Search module "author" SQL Injection vulnerability (деталі)
• MiniBILL v2006-10-10 (config[page_dir] Remote File Include Vulnerability (деталі)
• Переповнення буфера в SHTTPD (деталі)
• Cross-site scripting vulnerability in Novell GroupWise WebAccess 6.5 and 7 (деталі)
• PHP-інклюдинг в Php Giggle (деталі)

Продовжуючи тему уразливих президентських сайтів, після публікації новини про Уразливість на сайті Президента України, анонсую наступного номінанта.

Декілька днів тому, 08.01.2007, я знайшов Cross-Site Scripting уразливість (UXSS в PDF) на http://www.kremlin.ru - сайті Президента Росії. Адмінам сайта www.kremlin.ru я вже вислав інформацію про дану уразливість. Так що вони зможуть проаналізувати ситуацію і при бажанні виправити уразливість.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

P.S.

Це другий приклад з серії уразливих президентських сайтів. Вгадайте хто буде наступним , про сайт президента якої країни я напишу наступного разу.

В даній статті на секлабі розповідається про шахрайство в Інтернеті і в першу чергу про фішинг.

В наш час найбільш розвиненою формою шахрайства в Інтернет є фішинг. Типовими інструментами фішинга є електронна пошта (поштові повідомлення, що використовують методи соціальної інженерії) та спеціально розроблені веб сайти.

В статті розповідається про те, що таке фішинг, що таке вішинг (різновид фішинга) та фармінг. Та як захиститися від цього (для захисту насамперед треба використовувати здоровий глузд). Наводиться статистика про число фішинг розсилань та фішерских сайтів у світі з травня 2005 по травень 2006 року (ці показники постійно зростають).

Про фішинг та його прояви я вже писав раніше (Фішинг за допомогою Yahoo та Google) і планую додатково розповісти про фішинг атаки через пошукові системи та популярні сайти.

В статті наводиться приклад фішингового листа, сторінки фішингового сайта та приклад з підробленою mail-адресою відправника. Наводиться лист в якому є тільки одна фишерска лінка з багатьох правдивих. Наводиться зразок фішингового листа користувачам пошти Mail.ru. Згадуються генератор одноразових паролів, USB токени та JAVA токени для телефону.

• Мошенничество в Интернет (деталі)