Websecurity - Веб безпека

Раніше я писав про Cross Domain Charset Inheritance уразливість, що була виявлена Stefan Esser, яка призводила до Cross-Site Scripting з використанням успадкованої кодової сторінки в багатьох браузерах.

Як я вчора, 30.01.2009, перевірив, дана уразливість в браузерах, що дозволяє проводити XSS атаки (зокрема, з використанням UTF-7 кодування), також наявна в інших браузерах, окрім згаданих Стефаном. Як він повідомив у 2007 році, вразливими були браузери Mozilla Firefox 1.5, Firefox 2.0 (Firefox <= 2.0.0.1), Microsoft Internet Explorer 7 і Opera 9. Зазначу, що Стефан згадував і про автодетект в IE6, але наголосив лише, що вразливий IE7.

Вразливі також браузери:

• Internet Explorer 6 (6.0.2900.2180) та попередні версії, з включеним автодетектом кодової сторінки (використання автодетекту є дуже поширеним).
• Google Chrome 1.0.154.43 та попередні версії.

Зазначу, що уразливість працює в Chrome лише з одного домена - Same Domain Charset Inheritance уразливість. Тому для атаки потрібно мати можливість розмістити html-код з фреймом/іфреймом на тому самому домені (наприклад, через аплоадер).

До речі, Opera 9 була вразлива (в 2007 році). Але в нових версіях Опери, починаючи з Opera 9.20, дана уразливість вже виправлена.

Міністерство внутрішніх справ України вважає за необхідне посилити відповідальність за порушення норм суспільної моралі, у тому числі в Інтернеті. Про це заявив заступник міністра внутрішніх справ Володимир Євдокимов.

За словами В. Євдокимова, міністерство розробило і передало у ВР через депутатів проект закону “Про внесення змін у Кримінальний кодекс України” і “Про внесення змін у деякі законодавчі акти України по запобіганню поширення інформації, рекламних послуг сексуального характеру”.

Він відзначив, що цими законопроектами передбачається встановлення відповідальності за порушення умов обігу продукції сексуального й еротичного характеру, зокрема, поширення її серед неповнолітніх чи без наявності відповідних дозвільних документів.

По матеріалам http://ain.com.ua.

P.S.

Дані кроки МВС роблять ще більш імовірним можливість санкцій для уразливих сайтів, про що я розповідав раніше.

29.07.2008

У листопаді, 16.11.2007, я знайшов Cross-Site Scripting (причому persistent) уразливість на проекті http://www.a-counter.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.a-counter.com.

Детальна інформація про уразливість з’явиться пізніше.

31.01.2009

XSS:

В рейтингу в розділі “Новости” публікуються новини користувачів, де має місце persistent XSS уразливість.

POST запит на сторінці http://www.a-counter.com/cgi-bin/addnews
<script>alert(document.cookie)</script>В полі Текст новости.

Дана уразливість вже виправлена (шляхом відключення даного функціоналу сайта).

В даній добірці експлоіти в веб додатках:

• Kolifa.net Download Script 1.2 (id) SQL Injection Vulnerability (деталі)
• z-breaknews 2.0 (single.php) Remote SQL Injection Vulnerability (деталі)
• MyBulletinBoard (MyBB) <= 1.2.11 private.php SQL Injection Exploit (2) (деталі)
• phpMyRealty <= 1.0.9 Multiple Remote SQL Injection Vulnerabilities (деталі)
• YourOwnBux 3.1, 3.2 Beta Remote SQL Injection Vulnerability (деталі)
• Brim 2.0.0 (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Words tag script 1.2 (word) Remote SQL Injection Vulnerability (деталі)
• Web Directory Script 1.5.3 (site) SQL Injection Vulnerability (деталі)
• WeBid 0.5.4 Multiple Remote Vulnerabilities (деталі)
• WeBid 0.5.4 (fckeditor) Remote Arbitrary File Upload Exploit (деталі)

Ще 06.11.2007 я виявив Insufficient Anti-automation уразливість в системі E107. Коли виявив уразливості на www.nist.org. Також раніше на цьому ж сайті я виявив Cross-Site Scripting уразливості в E107. Про що найближчим часом повідомлю розробникам системи.

Insufficient Anti-automation:

Уразливість в капчі на сторінці відправки лінки на новину. Яка вразлива до напівавтоматичного методу обходу, що я описав в проекті Місяць багів в Капчах. Ця ж капча використовується і на сторінці реєстрації та на сторінці нагадування паролю.

E107 CAPTCHA bypass.html

Для атаки потрібно посилати заздалегіть приготовлені значення параметрів code_verify і rand_num. Кожен код капчі працює лише один раз.

XSS:

Уразливості в search.php в параметрах in, ex, ep і be.

http://site/search.php?in=%27%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search.php?ex=%27%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search.php?ep=%27%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/search.php?be=%27%3Cscript%3Ealert(document.cookie)%3C/script%3E

До XSS вразливі старі версії E107, а до Insufficient Anti-automation вразливі всі версії E107.

За останні декілька років я багато разів зтикався з функцією деяких сайтів (передусім поштових сервісів і крупних проектів), яка дозволяє перевіряти чи вільний даний логін. Щоб користувач міг створити унікальний логін при реєестрації на сайті. І ось у березні 2008 року, як я розробив свою програму Brute force login identifier (для виявлення логінів, з чим мені доводиться зтикатися під час секюріті аудиту), я вирішив провести детальне дослідження функції перевірки логінів.

Дана функція дозволяє нападнику виявляти робочі логіни в системі (login enumeration). Тобто наявність даної функції на сайті призводить до появи Abuse of Functionality уразливості. Приклади подібних уразливостей я наводив зокрема на hulu.com та на www.youtube.com.

Розглянемо алгоритм виявлення логіна на YouTube.

Якщо ввести в формі реєстрації (http://www.youtube.com/signup) в полі Username перевіряємий логін і натиснути Check Availability, система зробить перевірку і надасть відповідь (ця функція реалізована на AJAX). Якщо відповідь “Username unavailable” - значит такий логін існує в системі, якщо відповідь “Username available!” - значить такого логіна немає в системі.

Тобто потрібно буде перевірити перелік логінів за допомогою функції Check Availability й відібрати ті з них, для яких відповідь буде “Username unavailable”. І створити список робочих логінів.

У випадку якщо дана функція немає захисту від автоматизованих атак (тобто має місце Insufficient Anti-automation уразливість), як це є у більшості випадків, це дозволяє проводити автоматизоване виявлення логінів в системі. Що може бути зроблено за допомогою брутфорсерів логінів, наприклад, моєї програми Brute force login identifier. В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.

Представники Mozilla Corp. оголосили про те, що пошуковий гігант Google відключив протокол SafeBrowsing v2.1, що пропонує список сайтів, викритих у фішингу. Саме з цим протоколом працює Firefox 2.0. “Якщо ви використовуєте другу версію Firefox, то навіть при включеній функції нові “чорні списки” приходити не будуть”, говорить директор Mozilla, Майк Белтзнер.

Минулого місяця представники Mozilla попереджали користувачів, що підтримка Firefox 2.0 незабаром буде припинена, а Google у свою чергу бажає позбутися від непотрібного протоколу SafeBrowsing v2.1 для застарілого браузера.

Google і Mozilla Corp. працювали разом над оновленням протоколу. Версія SafeBrowsing v2.1 вийшла наприкінці 2007, а в минулому році протокол оновився до версії 2.2. У Firefox 3.0, зрозуміло, підтримка SafeBrowsing v2.2 є, так що користувачам Firefox 2.0 у черговий раз варто задуматися про перехід на нову версію браузера.

По матеріалам http://www.3dnews.ru.

В даній добірці уразливості в веб додатках:

• Oracle E-Business Suite SQL Injection Vulnerability (деталі)
• Oracle Database Buffer overflow vulnerability in procedure DBMS_AQADM_SYS.DBLINK_INFO (деталі)
• Oracle Database Buffer overflow vulnerability in function MDSYS.SDO_CS.TRANSFORM (деталі)
• contactforms “cforms-css.php” Remote File Inclusion (деталі)
• Multiple Vulnerabilities in Coppermine 1.4.14 (деталі)
• SQL in Archimede Net 2000 “E-Guest_show.php” (деталі)
• Multiple SQL Injection bugs in TCS website (деталі)
• ViewCVS 0.9.4 issues (деталі)
• MTCMS multiple upload vulnerabilities (деталі)
• XSS in script Phorum (деталі)

У березні, 18.03.2008, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://www.youtube.com компанії Google.

Abuse of Functionality:

На сторінці реєстрації http://www.youtube.com/signup функція Check Availability, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

За допомогою Brute force login identifier я легко виявив наступні логіни в системі:

0
00
000
0000
00000
000000
0000000
00000000
000000000
0000000000
a
aa
aaa
aaaa
aaaaa
aaaaaa
aaaaaaa
aaaaaaaa
aaaaaaaaa
aaaaaaaaaa

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.

За минулий рік я провів багато секюріті досліджень і написав чимало статей на тему веб безпеки. Пропоную вам перелік найважливіших моїх секюріті розробок за 2008 рік.

• Recursive File Include - нове обличчя DoS атак
• Обхід багатопрохідних фільтрів
• Session Extending - продовження сесії
• Небезпеки DoS атак на браузери, де я, зокрема, розповів про Reverse DDoS атаку
• Кількість похаканих сайтів в Інтернеті
• Automatic File Download уразливості в браузерах
• Редиректори через Flash
• Нове використання аплоадера
• Класифікація DoS уразливостей в браузерах
• Міжпрограмні DoS (Cross-Application DoS)
• XSS уразливості в 215000 флеш файлах - дані уразливості є прикладом strictly social XSS
• Code Execution через XSS
• Міжбраузерний Code Execution через XSS
• Post Persistent XSS (Saved XSS) уразливості
• Пекло редиректорів (Redirectors’ hell)
• Класифікація DoS уразливостей у веб додатках
• Зациклений DoS (Looped DoS)
• Persistent SQL Injection
• Класифікація SQL Injection уразливостей

Дані дослідженя - це лише частина досліджень які я провів торік. І з часом я оприлюдню багато інших моїх досліджень (що я провів в 2006, 2007 і 2008 роках).

Також торік я зробив анонси (і найближчим часом напишу деталі):

• Information Leakage в Firefox, Opera, Internet Explorer та Google Chrome
• MouseOverJacking атаки