Websecurity - Веб безпека

У жовтні, 21.10.2007, я знайшов Cross-Site Scripting уразливість на http://uaweb.in.ua - сайті конференції UA WEB 2008. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я згадував про дану конференцію, коли писав чи є безпечним Уанет. І тоді я згадував про уразливість на сайті конференції, про яку я повідомив організаторам (але жоден з них, а я відправив повідомлення на 4 емайли, його не “захотів” отримувати), і яку вони не виправили. Після попередньої дірки я знайшов нову, яку вам представляю.

XSS:

• alert(document.cookie)
• цікавий
• html включення

В цьому місяці я писав в новинах, що МВС вилучило сервери Infostore (причому зробила це не найкращим чином) та СБУ закрила сайт Daily-UA. В першому випадку причиною закриття сайта стала порнографія на сайті, як заявило МВС, а в другому випадку - секретні матеріали, що були розміщені на сайті, як заявило СБУ.

Тому власники українських сайтів повинні пам’ятати про ці випадки і розуміти, що у випадку якщо на їх сайтах будуть розміщені порнографічні матеріали або секретні матеріали, то сервери з їхніми сайтами будуть вилучені (МВС та СБУ відповідно), а сайти будуть закриті, бо перестануть працювати. До того ж проти власників таких сайтів можуть бути порушені кримінальні справи.

У випадках з Infostore і Daily-UA мало місце навмисне (як заявляють правоохоронці) розміщення відповідних метеріалів на сайтах. А я хочу привернути вашу увагу до можливості навмисного використання (зловмисниками) даного державного механізму для закриття сайтів (кібер-рейдерство).

Це може бути зроблено як для політичної боротьби між партіями та закриття неугодних владі сайтів, так і для боротьби з конкурентами. Це новий варіант DDoS атаки, призначений для виведення сайту (причому переважно довоготривалого), в якому в якості інструмента використовуються не зомбі-машини, а правоохоронні органи.

Атака буде відбуватися наступним чином. На сайті знаходиться уразливість, що дозволяє на сайті розміщувати інформацію. Це може бути як повне, так і часткове захоплення сайту - доступу до адмінського акаунту чи акаунту користувача з необхідними правами, або інші уразливості, зокрема persistent XSS. В результаті використання уразливості на сайті буде розміщений необхідний “заборонений” контент: порнографія чи секретні матеріали. Порнографію легко знайти в Мережі, секретні документи дещо важче - тому атака з використанням порно більш імовірна.

Далі нападники тихенько повідомляють нашим правоохоронним органам, що на такому-то сайті є відповідний “заборонений” контент. Бо не варто очікувати, що наші правоохоронці самі його знайдуть. І після попереднього аналізу змісту сайта, правоохоронці підтвердять, що на зазначеному сайті наявний “заборонений” контент. Після чого сервери вилучаються і сайт припиняє свою роботу. Ось так, просто і ефективно, до того ж набагато дешевше ніж при довготривалій DDoS атаці, можна вивести сайт з Інтернету. І для цього лише потрібна маленька дірочка на сайті.

Враховуючи, що більшість веб сайтів в Уанеті та в цілому в Інтернеті мають уразливості (про що я неодноразово наголошував), то власникам сайтів варто приділяти увагу їхній безпеці та проводити аудит безпеки своїх сайтів. Щоб унеможливити подібні атаки конкурентів і не мати таких проблем з сайтами.

13.06.2008

У жовтні, 27.10.2007, я знайшов Cross-Site Scripting уразливість на відомому проекті http://www.icq.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

25.12.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR5)

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• MojoJobs (mojoJobs.cgi mojo) Blind SQL Injection Exploit (деталі)
• MojoPersonals (mojoClassified.cgi mojo) Blind SQL Injection Exploit (деталі)
• MojoClassifieds 2.0 Remote Blind SQL Injection Exploit (деталі)
• Interact E-Learning System 2.4.1 (help.php) LFI Vulnerabilities (деталі)
• EZWebAlbum Insecure Cookie Handling Vulnerability (деталі)
• ShopCartDx 4.30 (pid) Remote SQL Injection Vulnerability (деталі)
• YouTube Blog 0.1 (RFI/SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• IntelliTamper 2.0.7 (html parser) Remote Buffer Overflow Exploit (деталі)
• Pre Survey Poll (default.asp catid) SQL Injection Vulnerability (деталі)
• Mybb Hot Editor Plugin Local File Inclusion (деталі)

В вересні, 18.09.2008, я виявив нові Denial of Service уразливості в Mozilla Firefox, Internet Explorer, Opera та Google Chrome.

Дану атаку я назвав DoS через іфрейми (DoS via iframes attack). Атака відбувається через створення нескінченної кількості іфреймів. І вона відноситься до типу DoS через споживання ресурсів, а також зависання (в деяких браузерах).

DoS:

Firefox, IE, Opera & Chrome DoS Exploit.html

Firefox і IE споживають ресурси CPU і RAM й підвисають. Opera тільки забирає ресурси CPU і RAM, але якщо швидко не закрити таб, то через деякий час при його закритті Опера підвисає. Chrome тільки забирає ресурси CPU і RAM.

Уразлива версія Firefox 3.0.1 та попередні версії (і потенційно наступні версії).

Уразлива версія Internet Explorer 6 (6.0.2900.2180) і попередні версії. Та Internet Explorer 7 (7.0.6000.16711) і попередні версії.

Уразлива версія Opera 9.52 та попередні версії (і потенційно наступні версії).

Уразлива версія Google Chrome 1.0.154.36 та попередні версії.

Пропоную вашій увазі відео ролик про похакані сайти. В даному відео продемонстровані 100 сайтів взломаних хакером за 1,3 дня. Лінку на відео мені прислав QeeQ, який і провів ці показові взломи сайтів. Про діяльність цього хакера я вже писав раніше.

HACKING

Серед взломаних сайтів були також і українські ресурси: http://souspilnist.org, http://mountrest.org.ua і http://s-pchelove.com (про який я вже писав).

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 2.0, Thunderbird 2.0, Seamonkey 1.1, Firefox 3.0.

Міжсайтовий скриптінг, обхід фільтрації, пошкодження пам’яті, міжсайтовий доступ до даних, відстеження сеансів користувача, виконання коду.

• Firefox cross-domain text theft (CESA-2008-011) (деталі)
• Mozilla Foundation Security Advisory 2008-60 (деталі)
• Mozilla Foundation Security Advisory 2008-61 (деталі)
• Mozilla Foundation Security Advisory 2008-62 (деталі)
• Mozilla Foundation Security Advisory 2008-63 (деталі)
• Mozilla Foundation Security Advisory 2008-64 (деталі)
• Mozilla Foundation Security Advisory 2008-65 (деталі)
• Mozilla Foundation Security Advisory 2008-66 (деталі)
• Mozilla Foundation Security Advisory 2008-67 (деталі)
• Mozilla Foundation Security Advisory 2008-68 (деталі)
• Mozilla Foundation Security Advisory 2008-69 (деталі)

В даній добірці уразливості в веб додатках:

• Cisco Security Advisory: Application Inspection Vulnerability in Cisco Firewall Services Module (деталі)
• Woltlab Burning Board 1.0.2 SQL-Injection Vulnerability (деталі)
• PHP iCalendar <= 2.24 - Cross-Site Scripting Vulnerability (деталі)
• SiteScape Forum TCL injection (деталі)
• ABI Version 3.7.9.17 Remote SQL Injection (деталі)
• iSupport v1.8 Local file include vulnerability (деталі)
• CA BrightStor Hierarchical Storage Manager SQL Injection Vulnerabilities (деталі)
• CA BrightStor Hierarchical Storage Manager Buffer Overflow Vulnerabilities (деталі)
• SimpleForum <= 4.6.2 - Cross-Site Scripting Vulnerability (деталі)
• Multiple vulnerabilities in RUNCMS 1.6 by DSecRG (деталі)

У жовтні, 31.10.2007, я знайшов Cross-Site Scripting уразливості на секюріті проекті http://opennet.ru. Як раз коли розробив експлоіт для Insufficient Anti-automation уразливості на даному сайті. Про що найближчим часом сповіщу адміністрацію проекту.

В минулому році я згадув про уразливість в капчі на проекті opennet.ru (який зокрема публікує новини на тему безпеки) - MoBiC-09: opennet.ru CAPTCHA bypass. Наведений експлоіт може бути використаний для перевірки даних XSS дірок.

XSS:

POST запит на сторінці http://www.opennet.ru/guestbook.shtml
<script>alert(document.cookie)</script>В полях: username, email та message. Також атака може бути проведена через значення User Agent.

Обов’язково потрібно задавати реферер, тому що скрипт перевіряє реферер. Це може бути зроблено через Flash, зокрема через ті версії флеша, що дозволяють підробку реферера.

Виявлена можливість пошкодження пам’яті в Opera. Що може бути використана для виконання довільного коду.

Уразливі версії: Opera 9.62.

Пошкодження динамічної пам’яті при розборі HTML.

• Opera HTML parsing Code Execution (деталі)