Websecurity - Веб безпека

Після попередньої уразливості в Internet Explorer, що я виявив у серпні, пропоную нову уразливість в Mozilla та Firefox.

В минулому місяці, 23.09.2007, я виявив цікаву Cross-Site Scripting уразливість в Mozilla та Firefox (це XSS та URI Exploitation уразливість). Дану XSS я відношу до типу Strictly social XSS.

Вона пов’язана з тим, що браузер недостатньо фільтрує символи при UTF-7 кодуванні в протоколі gopher. Дане кодування слід виставити вручну (що зменшує рівень небезпеки). Тому для атаки потрібно змусити жертву встановити UTF-7 кодування (використовуючи методи соціальної інженерії, як це показано в прикладі з додатковим текстом).

Тестування проводилося в наступних браузерах: Mozilla 1.7.7, Firefox 0.8 та Firefox 2.0.

XSS:

• alert(’XSS’)
• alert(’XSS’) (з додатковим текстом)

gopher:///1+ADw-SCRIPT+AD4-alert('XSS')+ADw-/SCRIPT+AD4-

В Firefox 2.0 фільтруються символи " та ‘, тому потрібно використати інші підходи (наприклад, замінити їх в alert на “/”).

XSS (Firefox 2.0):

• alert(/XSS/)
• alert(/XSS/) (з додатковим текстом)

gopher:///1+ADw-SCRIPT+AD4-alert(/XSS/)+ADw-/SCRIPT+AD4-

Уразливість може існувати в усіх браузерах, де підтримується gopher протокол: Mozilla, Mozilla Firefox, SeaMonkey (та в браузерах на движку Mozilla) різних версій. Браузери Internet Explorer 6 (версій після патча 2002 року, котрий прибрав підтримку gopher) та 7 не уразливі, тому що не підтримують gopher протокол.

Фахівці прийшли до висновку, що текстові cookie-файли, що раніше вважалися найменш небезпечними в порівнянні з іншими мережевими технологіями, вже не настільки безпечні.

Так, компанія Google взяла на озброєння тактику відстеження користувацької активності в Інтернеті за допомогою виданих серверами файлів-cookie. Така техніка суперечить концепції конфіденційності користувачів і їхніх даних. Для того, щоб використовувати цю технологію, компанії повинні явно одержати дозвіл конкретного користувача на моніторинг. Багато хто з найбільших і популярних інтернет-сайтів відслідковують користувачів за допомогою такої техніки.

Незважаючи на те, що спочатку cookie задумувалися як засіб для розширення функціональності та ефективності клієнт-серверної взаємодії, вони також допомагають відстежити які сайти користувач відвідував і що саме він там робив. У підсумку збір такої інформації веде до несанкціонованого одержання персональних даних для того, щоб надалі їх використовувати.

На сьогодні браузери не поділяють cookie на “небезпечні” і “безпечні”, а лише пропонують або відмовитися від них взагалі, або приймати їх. І те й інше в сучасних умовах в однаковій мірі неприйнятно.

По матеріалам http://www.secblog.info.

Існує такий різновид уразливостей як PHP Include. В даному разі мова йде про Remote PHP Include (Remote File Inclusion, RFI). І відповідно проводяться RFI атаки з використанням скриптів (коли до сайту підключається віддалений скрипт). Для більшої ефективності, а також для маскування, подібні скрипти (переважно шели) окрім того що мають різноманітні назви та розширення (зокрема відмінні від php), також використовується тактика “зовнішнього сервера”.

Тобто не атакувати сайт з включенням скрипта зі свого сервера (що для тестування підійде, але не для реальної атаки), а включати php скрипт з іншого сайта. Це можуть бути сайти на безкоштовних хостінгах, різноманітні файл сервери, сайти де можливий аплоадінг файлів та на похаканих сайтах - де розміщується атакуючий php скрипт. Причому виконання php на даних сайтах не обов’язкове, головне щоб файл був на них розміщений, а виконання вже буде відбуватися на сайтах вразливих до RFI.

В своєму записі PHP Include Robots, RSnake навів приклад великої кількості PHP Include роботів - скриптів для проведення даних атак. Наведені скрипти можуть використовуватися для більш прихованих атак (для проведення початкових перевірок сайтів на наявність RFI уразливостей). До речі в коментарях до посту був наведений ще чималий список таких скриптів.

Даний список скриптів він сформував з аналізу своїх логів - з аналізу атак, котрі пробують провести проти його сайта. З подібними атаками часто зустрічаюся і я (в своїх логах).

В даній добірці уразливості в веб додатках:

• phpechocms v.2 Cross-Site Scripting Vulnerability (деталі)
• K-CMS v1.0 Remote File Include Vulnerabilities (деталі)
• iXon_CMS 0.30 Remote File Include Vulnerabilities (деталі)
• Remot File Include In phpexplorator_2_0 (деталі)
• eXV2 CMS - Session fixation and Cross-Site-Scripting Issues (деталі)
• lite-cms-0.2.1 Remote File Include Vulnerabilities (деталі)
• Remote File Include In Script stat12 (деталі)
• PHP-інклюдинг в ArticleBeach Script (деталі)
• Обход ограничений безопасности в MiniHTTP Web Forum (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in A+ Store E-Commerce (деталі)
• New bugzilla packages fix several vulnerabilities (деталі)
• Multiple SQL injection vulnerabilities in Hpecs Shopping Cart (деталі)
• SQL-ін’єкція в Discuz! GBK (деталі)
• New trac packages fix cross-site request forgery (деталі)
• PHP-інклюдинг в Comdev Forum (деталі)

Соціальні мережі та інші Web 2.0 проекти залучають до себе усе більш пильну увагу хакерів. Уразливості онлайн-сервісів можуть надати зловмисникам доступ до приватної інформації, закритої для звичайних користувачів, а також нові способи проникнення в чужі комп’ютери.

Приклади таких “дір” були продемонстровані на двох щорічних конференціях для хакерів, що пройшли в Лас Вегасі: Defcon і Black Hat. Обидві конференції присвячені навчанню і демонстрації свіжих уразливостей. Цього року на конференції Defcon стався міні-скандал: журналістка телеканала NBC спробувала зняти дійство прихованою камерою, однак її піймали і випровадили з презентації.

Серед іншого, на конференціях були продемонстровані уразливості самої популярної соціальної мережі MySpace.com і поштового сервісу Gmail.com - Роберт Грем, керівник компанії Errata Security, захопив поштову скриньку одного з глядачів через бездротове з’єднання прямо під час семінару.

По матеріалам http://news.internetua.com.

26.05.2007

У січні, 02.01.2007, я знайшов декілька уразливостей на проекті http://chumaki.meta.ua (Full path disclosure, Information leak та потенційна SQL-Injection). Про що найближчим часом сповіщу адміністрацію проекту.

Останнього разу стосовно проектів компанії Мета я писав про уразливість на metamarket.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

02.10.2007

Full path disclosure та Information leak:

http://chumaki.meta.ua/titul.php?f=getnews&p1=a

SQL Injection:

http://chumaki.meta.ua/titul.php?f=getnews&p1=879%20or%201=1

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• Anthologia 0.5.2 (index.php ads_file) Remote File Inclusion Vulnerability (деталі)
• OllyDbg 1.10 Local Format String Exploit (деталі)
• ShoutPro <= 1.5.2 (shout.php) Remote Code Injection Exploit (деталі)
• Zomplog 3.8 (force_download.php file) Remote File Disclosure Vuln (деталі)
• Rezervi 0.9 (root) Remote File Inclusion Vulnerabilities (деталі)
• AimStats 3.2 (process.php update) Remote Code Execution Exploit (деталі)
• Mozzers SubSystem final (subs.php) Remote Code Execution Vulnerability (деталі)
• jGallery 1.3 (index.php) Remote File Inclusion Vulnerability (деталі)
• Joomla Template Be2004-2 (index.php) Remote File Include Exploit (деталі)
• Exploits XCMS Arbitrary Command Execution Vulnerability (деталі)

На минулому тижні була знайдена нова XSS уразливість на сайті Гугла. Як повідомив Beford в своєму записі Google Vulnerability, він виявив уразливість в Google Polls.

Він привів приклад (PoC) даної уразливості. А також привів два приклади її експлуатації: в першому прикладі демонструється контакти користувача (з його акаунта), а в другому Gmail акаунт користувача налаштовується таким чином, що пересилає всі нові отримані листи на інший емайл (тобто робить mail forwarding). Це серйозна уразливість в Гуглі та доволі цікаві приклади.

Дірку Google вже виправив, але цей випадок продемонстрував рівень безпеки сервісів Гугла (який їм потрібно покращувати).

Нова добірка експлоітів для останніх помилок (уразливостей) в Internet Explorer. В ній представлені експлоіти для IE6 та IE7.

• MS Internet Explorer <= 7 Remote Arbitrary File Rewrite PoC (MS07-027) (деталі)
• MS Internet Explorer 6 DirectX Media Remote Overflow DoS Exploit (деталі)
• Apple Quicktime /w IE .qtf Version XAS Remote Exploit PoC (деталі)

Попередня добірка eксплоітів для Internet Explorer.

Виявлений міжсайтовий скриптінг в Apache (Cross-Site Scripting).

Уразливі версії: Apache 2.2.

Можливий міжсайтовий скриптінг із використанням UTF-7 при генерації діагностичних повідомлень.

• Apache2 Undefined Charset UTF-7 XSS Vulnerability (деталі)