Архів за Листопад, 2008

Classification of DoS vulnerabilities in web applications

22:49 29.11.2008

This is English version of my Classification of DoS vulnerabilities in web applications article.

In my Security manual, I told about DoS vulnerabilities in detail, which often happen in modern web applications (and also in browsers). Using of Denial of Service vulnerabilities in web applications can lead to server overload, up to its complete denial of service.

There are next types of Denial of Service vulnerabilities:

1. Classic DoS.

  • Full denial.
  • Overload.

2. Recursive File Include.

3. Looped DoS.

Classic DoS.

These classic DoS vulnerabilities in web application divide on full denial DoS and overload DoS.

In case full denial DoS, vulnerability leads to freezing of web server, when its restart is needed. Or leads to crashing of process, web server (e.g. Apache) or database (e.g. MySQL), when server itself continue to work, but part of its functions become inaccessible (till restart of appropriate process). Also there are attacks on web applications which belong to this type of DoS, which lead to change of settings of web applications (i.e. via access to file system and changing of configuration files), which completely stop their work.

In case of overload DoS, vulnerability leads to heavy overload of web server. Such happens during execution of resource-capacious operations (e.g. request to DB and data output), when there is no restrictions on capacity of executable operations, or this restrictions are setting by user and they are not checking (i.e. they can be arbitrarily manipulated). Which leads to that user knowingly or unintentionally can send to execution heavy request, which overloads server.

Recursive File Include.

Vulnerabilities Recursive File Include, which I wrote about earlier - it’s one of new types of Denial of Service.

Recursive File Include - it’s Local file include vulnerability, which is using for making DoS attack. I.e. it is local inclusion of the files (scripts), which leads to DoS attack due to recursion, when files are infinitely including (which overloads server).

Looped DoS.

Looped DoS - it’s vulnerabilities in redirectors, which lead to looped redirect. It happens when redirector send client (user browser) to itself, which leads to infinite redirection.

In case if client, which has visited this redirector at site, has no restrictions on redirection, then it can goes to this web application for a long period of time (which will be sending it to itself all the time), which leads to server overload.

Класифікація DoS уразливостей у веб додатках

20:42 29.11.2008

В своєму Посібнику з безпеки, я детально розповів про DoS уразливості, що часто трапляються в сучасних веб додатках (а також браузерах). Використання Denial of Service уразливостей у веб додатках може призвести до перенавантаження сервера, аж до його повної відмови в обслуговуванні.

Denial of Service уразливості бувають наступних видів:

1. Класичні DoS.

  • Повної відмови.
  • Перенавантаження.

2. Recursive File Include.

3. Зациклений DoS (Looped DoS).

Класичні DoS.

Дані класичні DoS уразливості у веб додатках діляться на DoS повної відмови та DoS перенавантаження.

У випадку DoS повної відмови, уразливість призводить до підвисання веб сервера, коли потрібне його перезавантаження. Або вибивання процесу, веб сервера (наприклад, Apache) чи СУБД (наприклад, MySQL), коли сам сервер продовжує працювати, але частина його функцій стає недоступною (до перезапуску відповідного процесу). А також до даного типу DoS відносяться атаки на веб додатки, що призводять до зміни налаштувань веб додатів (наприклад, через доступ до файлової системи і зміни файлів конфігурації), які повністю зупиняють їх роботу.

У випадку DoS перенавантаження, уразливість призводить до сильного перенавантаження веб сервера. Подібне трапляється при виконанні ресурсоємних операцій (наприклад, запит до БД і виведення інформації), коли відсутні обмеження на об’єми виконуємих операцій, або дані обмеження задаються користувачем і вони не перевіряються (тобто ними можна буде довільно маніпулювати). Що призводить до того, що користувач навмисно чи ненавмисно може послати на виконання тяжкий запит, який перенавантажить сервер.

Recursive File Include.

Уразливості Recursive File Include, про які я писав раніше - це один з нових видів Denial of Service.

Recursive File Include - це Local file include уразливість, що використовується для проведення DoS атаки. Тобто це локальне включення файлів (скриптів), що призводить до DoS атаки за рахунок рекурсії, коли файли інклюдяться нескінченно (що перенавантажує сервер).

Зациклений DoS (Looped DoS).

Зациклений DoS (Looped DoS) - це уразливості в редиректорах, що призводять до зацикленої редирекції. Це відбувається коли редиректор перенаправляє клієнта (браузер користувача) на самого себе, що призводить до нескінченної редирекції.

У випадку якщо клієнт, який відвідав даний редиректор на сайті, не має обмежень на редирекцію, то він може тривалий час звертатися до даного веб додатку (який буде весь час перенаправляти його на себе), що призведе до перенавантаження серверу.

Добірка уразливостей

16:09 29.11.2008

В даній добірці уразливості в веб додатках:

  • Several persistent XSS and CSRF on Wireless-G ADSL Gateway with SpeedBooster (WAG54GS) (деталі)
  • Re: PHP-Nuke NSN Script Depository module <= 1.0.3 Remote Source / DB Credentials Disclosure (деталі)
  • PHP-Nuke NSN Script Depository module <= 1.0.3 Remote Source / DB Credentials Disclosure (деталі)
  • Tilde CMS <= v. 4.x "aarstal" parameter of "yeardetail" SQL Injection (деталі)
  • SimpleGallery v0.1.3 (index.php) Cross-Site Scripting Vulnerability (деталі)
  • FMDeluxe (index.php) Cross-Site Scripting Vulnerability (деталі)
  • Oracle 10g R2 PITRIG_DROPMETADATA Buffer Overflow Vulnerability (деталі)
  • Gekko <=0.8.2 (temp directory) Path Disclosure (деталі)
  • PHPSlideShow XSS Update (деталі)
  • Liferay Enterprise Portal multiple XSS (деталі)

Уразливість на www.itsec.ru

23:59 28.11.2008

У січні, 27.01.2008, я знайшов Cross-Site Scripting уразливість на cекюріті сайті http://www.itsec.ru. Про що найближчим часом сповіщу адміністрацію сайта.

XSS:

POST запит на сторінці http://www.itsec.ru/pr-send.php
</textarea><script>alert(document.cookie)</script>В полі: Текст пресс-релиза.

XSS через GET:

Cross-Domain Scripting в Internet Explorer

22:40 28.11.2008

Для однієї з виявлених уразливостей в Microsoft XML, які були виправлені компанією в цьому місяці, нещодавно був розроблений експлоіт. Що демонструє проведення Cross-Domain Scripting атаки.

Дана атака може бути проведена в Internet Explorer 6 та 7, що використовує бібліотеку Microsoft XML.

  • Microsoft XML Core Services DTD Cross-Domain Scripting PoC MS08-069 (деталі)

Уразливість на secnull.org

19:23 28.11.2008

22.05.2008

У жовтні, 22.10.2007, я знайшов Cross-Site Scripting уразливість на хакерському проекті http://secnull.org. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.11.2008

XSS:

Дана уразливість досі не виправлена.

Добірка експлоітів

16:32 28.11.2008

В даній добірці експлоіти в веб додатках:

  • CMS little (index.php template) Local File Inclusion Vulnerability (деталі)
  • XchangeBoard 1.70 (boardID) Remote SQL Injection Vulnerability (деталі)
  • Joomla Component mygallery (cid) Remote SQL Injection Vulnerability (деталі)
  • Joomla Component versioning 1.0.2 (id) SQL Injection Vulnerability (деталі)
  • plx Ad Trader 3.2 (adid) Remote SQL Injection Vulnerability (деталі)
  • Efestech Shop 2.0 (cat_id) Remote SQL Injection Vulnerability (деталі)
  • PHP-Nuke Platinium <= 7.6.b.5 Remote Code Execution Exploit (деталі)
  • phPortal 1.2 Multiple Remote File Inclusions Exploit (деталі)
  • CMS WebBlizzard (index.php page) Blind SQL Injection Exploit (деталі)
  • Exploits Sciurus Hosting Panel Code injection (деталі)

Уразливість на kiev.afisha.ua

23:57 27.11.2008

Про уразливості на afisha.yandex.ru я вже писав, а зараз розповім про дірку на іншій афіші - kiev.afisha.ua.

У січні, 23.01.2008, я знайшов Cross-Site Scripting уразливість на проекті http://kiev.afisha.ua. Як раз перед тим, як дати інтерв’ю для Афіши ;-) .

Враховуючи, що з другої половини 2007 року Бігмір використовує на своїх сайтах WAF (про що я згадував стосовно уразливості на dnevnik.bigmir.net та інших дір на їхніх сайтах), то я розробив XSS код, що обходить їхній WAF. Даний метод обходу фаєрволів я вже використовував, зокрема на korrespondent.net.

XSS:

Але як я виявив деякий час тому, дана уразливість вже не працює, бо WAF блокує дану атаку. Бо після повідомлення Бігміру про дірку на korrespondent.net, вони замість виправлення численних дір на своїх сайтах (які я регулярно знаходжу), вирішили зробити так само як і раніше - додали нове правило в WAF. Щоб одразу для всіх сайтів “вірішити” цю проблему.

Попереджав я їх (і багатьох інших любителів ВАФів), що обходяться WAF. Тому дірки треба виправляти, бо інакше вони будуть знову використані, після обходу ВАФу. І я розробив для сайта kiev.afisha.ua XSS код, що обходить WAF.

XSS (IE, Opera, Chrome):

Даний метод обходу фаєрвола працює в більшості браузерів, зокрема в Internet Explorer, Opera і Chrome.

Похакані сайти №22

22:41 27.11.2008

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://pokupka.dp.ua (хакером S4LIX3M) - причому спочатку сайт був похаканий 11.11.2008 хакером S4LIX3M, а 20.11.2008 похаканий redMin. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://black.net.ua (хакером 3RqU)
  • http://www.sadykov.mk.ua (хакером F34RL355) - 25.08.2008, зараз сайт не працює
  • http://www.tenderconsulting.com.ua (хакерами ThE.BiLeN та друзі)
  • http://elis.com.ua (хакером MecTruy) - 07.11.2008, зараз сайт вже виправлений адмінами

Вийшов WordPress 2.6.5

20:15 27.11.2008

Нещодавно, 25.11.2008, вийшла нова версія WordPress 2.6.5 - оновлення для гілки WP 2.6.x.

WordPress 2.6.5 це секюріті та багфікс випуск для 2.6 серії. В ній виправлена одна проблема безпеки та три баги. Була виправлена XSS уразливість в WordPress, про яку я писав учора.

Зауважу, що була пропущена версія 2.6.4 і після 2.6.3 одразу вийшла 2.6.5. Це пов’язано з підробленою версію 2.6.4, що з’явилася деякий час тому (щоб ніхто не сплутав з нею). Тому офіційно версія 2.6.4 ніколи не виходила.