Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про PHP Remote File Inclusion, пропоную новий відео секюріті мануал. Цього разу відео про Cross-Site Scripting через зображення. Рекомендую подивитися всім хто цікавиться цією темою.

WBB Portal Cross-Site Scripting Using Unsanitized jpg File

В даному відео ролику розповідається про використання зображення (jpg файла) для проведення XSS атаки на адміна веб сайта (на прикладі WBB Portal). Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою Cross-Site Scripting та небезпеки подібних уразливостей.

Виявлені численні уразливості в PCRE, що дозволяють віддаленому користувачу одержати доступ до важливих даних, викликати відмову в обслуговуванні та скомпрометувати цільову систему.

Уразливі версії: PCRE версії до 7.3.

1. Уразливість існує через помилку при обробці “\Q\E” послідовностей з відділеними (orphan) “\E” кодами. Зловмисник може розсинхронизувати скомпільоване регулярне вираження і виконати ушкоджені байт-коди.

2. Уразливість існує через помилку при обробці різних класів символів. Зловмисник може змусити додаток звернутися до неіснуючої ячейки пам’яті і викликати відмову в обслуговуванні.

3. Уразливість існує через помилку при обробці різних “\X?\d” і “\P{L}?\d” шаблонів у відмінному від UTF-8 режимі. Зловмисник може викликати відмову в обслуговуванні процесу чи одержати доступ до деяких даних.

4. Уразливість існує через помилку при пошуку лапок чи круглих дужок. Зловмисник може за допомогою спеціально сформованого рядка аварійно завершити роботу додатка.

5. Цілочислені переповнення буфера виявлені при обробці escape-символів. Віддалений користувач може викликати ушкодження динамічної пам’яті й аварійно завершити роботу додатка чи виконати довільний код на цільовій системі.

6. Уразливість існує через помилку при обробці “\P” і “\P{x}” послідовностей. Зловмисник може викликати зациклення додатка чи переповнення динамічної пам’яті і скомпрометувати цільову систему.

7. Уразливість існує через помилку в оптимізації класу символів, що містить одиночну Unicode послідовність. Зловмисник може викликати переповнення динамічної пам’яті і виконати довільний код на цільовій системі.

• Множественные уязвимости в PCRE (деталі)

В даній добірці уразливості в веб додатках:

• Freeside XSS vuln. (деталі)
• Konqueror: URL address bar spoofing vulnerabilities (деталі)
• OdysseySuite Internet Banking vuln. (деталі)
• feedreader3 has XSS vulnerability (деталі)
• Public Media Manager <= 1.3 Remote File Inclusion Vulnerability (деталі)
• PHP-Ring Webring System 0.9 Remote SQL Injection Vulnerability (деталі)
• Maran PHP Forum (forum_write.php) Remote Code Execution Vulnerability (деталі)
• Multiple PHP file inclusion vulnerabilities in Pagetool 1.07 (деталі)
• Численні уразливості в P-News (деталі)
• Декілька уразливостей в Seditio (деталі)
• SQL injection vulnerability in Cacti (деталі)
• New elog packages fix arbitrary code execution (деталі)
• PHP remote file inclusion in the event module 1.0 for Limbo CMS (деталі)
• Міжсайтовий скриптінг в @lex Guestbook (деталі)
• Обхід аутентифікації в TWiki (деталі)

В минулому році компанія Cenzic представила десятку основних уразливостей веб-додатків в I кварталі в “Доповіді про тенденції безпеки додатків”. Документ визначає 1561 уразливість у відомих комерційних і відкритих додатках. Ситуація ж з доморощеними розробками обстоїть набагато гірше, оскільки в них уразливостей більше, ніж у масових продуктах.

Найбільш розповсюдженими уразливостями виявилися вкладення файлів, SQL-ін’єкції, міжсайтові сценарії (XSS) і обхід директорій - 63%. Більшість уразливостей знайдено у веб-серверах, веб-додатках і веб-браузерах.

На першому місці десятки уразливостей стоїть Adobe Acrobat Reader - у ньому можливі атаки міжсайтових сценаріїв і віддалене виконання довільного коду.

Друге місце займає Google Desktop: ряд уразливостей дозволяє здійснити XSS і одержати доступ до даних на комп’ютері користувача.

IBM Websphere, на третім місці, уразливий до атак “розбивки HTTP відповідей”, що приводять до впровадження стороннього коду в кеші, підстановці контента чи XSS.

Lotus Domino Web Access стоїть на четвертому місці: функція Active Content Filter не справляється з відфільтровуванням коду сценаріїв, переданих користувачем усередині електронного листа. Ці сценарії виконуються в поштовому клієнті одержувача.

П’яте місце - за PHP: відмова в обслуговуванні вкладених масивів. Помилка при рекурсивному обході масивів дозволяє здійснити DoS-атаку на пакет PHP, що приводить до аварії на сервері.

Шосте також дісталося PHP: ряд уразливостей типу переповнення буфера, що дозволяють виконати віддалено код і приводять до DoS-атак.

Наступним, сьомим у списку, йде IBM Rational ClearQuest Web 7.0.0.0: XSS-уразливість у продукті дозволяє вбудувати довільний сценарій через вкладення з метою внесення дефектів у записі журналу подій.

На восьмому місці розташувався Sun Java Access Manager: ряд уразливостей XSS, можливість підвищення привілеїв за рахунок викрадення cookies з даними про сесії і різні способи підстановки чужорідного веб-контента.

Apache Tomcat зайняв дев’яте місце: переповнення буфера в Apache Tomcat JK Web Server Connector дозволяє виконати довільний код на сервері.

Замикає десятку BEA WebLogic: переповнення буфера, віддалене виконання коду, відмова в обслуговуванні (DoS) і доступ до закритої інформації.

Фахівці Cenzic, використовуючи дані софтверного сервісу перевірки уразливостей Cenzic ClickToSecure і досліджень, проведених у власній лабораторії, з’ясували, що більш 70% проаналізованих веб-додатків потенційно уразливі до крадіжки інформації.

Помилки в архітектурі, при написанні коду і ненадійні настроювання як і раніше є основними причинами атак. XSS - найпоширеніший вид атаки: він можливий у 70% додатків. Майже 20% додатків допускають SQL-ін’єкції. Майже половина не вміє обробляти комплексні виняткові ситуації.

По матеріалам http://www.secblog.info.

02.08.2007

У лютому, 11.02.2007, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.ukrindustrial.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

08.01.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• Joomla Component joomlaradio v5 Remote File Inclusion Vulnerability (деталі)
• JetCast Server 2.0.0.4308 Remote Denial of Service Exploit (деталі)
• JBlog 1.0 (index.php id) Remote SQL Injection Exploit (деталі)
• PHP Webquest <= 2.5 (id_actividad) Remote SQL Injection Exploit (деталі)
• phpFFL 1.24 PHPFFL_FILE_ROOT Remote File Inclusion Vulnerabilities (деталі)
• Ajax File Browser 3b (settings.inc.php approot) RFI Vulnerability (деталі)
• GForge < 4.6b2 (skill_delete) Remote SQL Injection Vulnerability (деталі)
• Gelato (index.php post) Remote SQL Injection Exploit (деталі)
• KwsPHP 1.0 stats Module Remote SQL Injection Exploit (деталі)
• News-Letterman 1.1 (eintrag.php) Remote File Include Exploit (деталі)

Продовжуючи тему експлоітів для PHP, пропоную вам наступну добірку.

Цього разу есплоіти та уразливості в COM функціях в PHP 5.x, в функції zend_hash_init та функції libxmlrpc в PHP < 4.4.7 і 5.x < 5.2.2.

• PHP 5.x COM functions safe_mode and disable_function bypass (деталі)
• DoS in zend_hash_init function in PHP (деталі)
• PHP libxmlrpc buffer overflow (деталі)

Корпорація Mіcrosoft повідомила про те, що перша бета-версія Internet Explorer 8 буде випущена в I половині 2008 р. За словами розробників, нова версія популярного веб-браузера буде успішно проходити Acid2 Browser Test, розроблений Web Standards Project. Цей тест дозволяє довідатися, чи правильно програма обробляє останні специфікації HTML і CSS і чи здатна коректно відображати веб-сторінки.

В даний час Acid2 Browser Test проходять лише OmniWeb і Safari (обоє на Mac OS X), а також крос-платформний браузер Opera і бета-версії Firefox 3.0. Internet Explorer дебютував ще до появи таких стандартів, як CSS (Cascading Style Sheets) і RSS (Really Simple Syndication). В зв’язку з тим, що протягом багатьох років IE був навряд чи не єдиним браузером, саме він задавав стандарти серфінгу, що змушувало розробників сайтів оптимізувати сторінки саме під нього, а не під нові технології. Протягом усього часу IE не був здатний успішно проходити Acid2 Browser Test, що породжувало багато критики на його адресу.

“Відповідно до наших цілей, IE 8 зобов’язаний підтримувати необхідний набір стандартів і не повинний руйнувати веб”, - ділиться у своєму блозі головний менеджер продукту Дін Хакамович.

По матеріалам http://www.cnews.ru.

P.S.

Internet Explorer 8 повинний не тільки не руйнувати веб, він також повинен бути більш безпечними ніж попередні версії IE .

В даній добірці уразливості в веб додатках:

• rPSA-2007-0183-1 lighttpd (деталі)
• Fizzle Firefox Extension Vulnerability (деталі)
• xcms all version arbitrary code execution (деталі)
• Neuron News 1.0 Local file inclusion (index.php) (деталі)
• JSPWiki Multiple Vulnerabilities (деталі)
• FlatNuke Arbitrary Command Inclusion (деталі)
• Nuke Mobile Entartainment Local File Inclusion (деталі)
• Multiple PHP remote file inclusion vulnerabilities in Jinzora Media Jukebox (деталі)
• Переповнення буфера в 3CTftpSvc TFTP Server (деталі)
• Multiple PHP remote file inclusion vulnerabilities in Irokez CMS (деталі)
• Vulnerability in Fishyshoop 0.930 (деталі)
• SQL-ін’єкція в PHP-Nuke (деталі)
• Міжсайтовий скриптінг в b2evolution (деталі)
• PHP remote file inclusion vulnerability in Ciberia Content Federator 1.0 (деталі)
• Vulnerability in acFTP 1.5 (деталі)

Ще у лютому, 09.02.2007, я знайшов Cross-Site Scripting уразливості в движку Geeklog. Про що найближчим часом сповіщу розробникам.

Дані уразливості я виявив на ftpsearch.com.ua, який використовує цей движок. Хоча я і звернув увагу, що на сайті використовується Geeklog, але тоді не записав це собі. І от лише сьогодні, коли я оприлюднив деталі уразливостей на ftpsearch.com.ua, я знову звернув увагу, що на сайті використовується цей движок. Про уразливості в якому я і вирішив повідомити.

XSS:

POST запит на http://site/profiles.php?sid=1&what=emailstory:

"><script>alert(document.cookie)</script>В полях: Отправитель, Адрес отправителя, Получатель, Адрес получателя.

</textarea><script>alert(document.cookie)</script>В полі: Короткое сообщение.