Websecurity - Веб безпека

Як і 2007 року, я підведу власні підсумки розвитку веб безпеки в 2008 році.

Результати розвитку галузі веб безпеки в 2008 році.

1. Хоча в 2007 було й більше секюріті проектів, тим не менш в 2008 я провів декілька цікавих проектів: День багів в Google Chrome, День багів в браузерах, День багів в браузерах 2.
2. Розпочалася нова фаза браузерних війн, з виходом Google Chrome, який продемонстрував разом зі своїми нововведеннями, також і численні уразливості.
3. XSS уразливості поширилися ще більше і знову стали найпоширенішими уразливостями веб додатків.
4. Відбулося збільшення активності хакерів. Зокрема в Уанеті зростання хакерської активності на 200% в першому півріччі 2008 року поріняно з аналогічними періодом 2007 року (і як показують мої додаткові дані, що я незабаром оприлюдню, цей показник значно більший).
5. Фішинг став ще більш поширеним та з’явилася нова техніка фішерських атак з використанням Flash.
6. Поширилися атаки з використанням Insufficient Anti-automation уразливостей. Зокрема на captcha популярних поштових систем.
7. Відбулося збільшення атак на соціальні мережі.
8. З’явилися нові веб хробаки, зокрема Facebook Worm.
9. Відбулося зростання кількості заражених вірусами веб сторінок. В тому числі й в Уанеті, де я нерідко виявляв заражені веб сайти.

19.06.2008

У жовтні, 30.10.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на хакерському сайті http://www.astalavista.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

13.01.2009

XSS:

• alert(document.cookie) (IE)

Insufficient Anti-automation:

На сайті на сторінці реєстрації (http://www.astalavista.com/ index.php?section=community&cmd=register, що зараз розміщена на http://www.astalavista.com/index.php?section=access&cmd=signup) немає захисту від автоматизованих запитів (капчі).

XSS уразливість вже виправили, а ось Insufficient Anti-automation так досі не виправили.

В даній добірці експлоіти в веб додатках:

• PHPAuction GPL Enhanced 2.51 (profile.php) SQL Injection Vulnerability (деталі)
• phsBlog 0.1.1 Multiple Remote SQL Injection Vulnerabilities (деталі)
• K-Links Directory (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• syzygyCMS 0.3 (index.php page) Local File Inclusion Vulnerability (деталі)
• Joomla Component EZ Store Remote Blind SQL Injection Exploit (деталі)
• TGS CMS 0.3.2r2 Remote Code Execution Exploit (деталі)
• moziloCMS 1.10.1 (download.php) Arbitrary Download File Exploit (деталі)
• E-Store Kit <= 2 PayPal Edition (pid) SQL Injection Vulnerability (деталі)
• IGES CMS <= 2.0 (XSS/SQL) Multiple Remote Vulnerabilities (деталі)
• Exploits CuteNews Arbitrary File Download (деталі)

Учора, 09.01.2009, я знайшов Information Leakage та Cross-Site Scripting уразливості в WOSendNews. Це додаток для створення емайл розсилки. Дірки виявив на одному сайті, що використовує WOSendNews. Про що найближчим часом повідомлю розробникам веб додатку.

Information Leakage + Full access:

При запиті за адресою http://site/path/pass.dat доступні логін і пароль адміна. З логіном і паролем отримується повний доступ до адмінки, з можливістю перегляду емайлів, додання, видалення і зміни емайлів в БД, та розсилки спама на емайли з адмінки.

Information Leakage:

При запиті за адресою http://site/path/emails.dat доступна БД емайлів.

XSS:

http://site/path/admin.cgi?act=edit&addr=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Вразливі WOSendNews 1.5 та попередні версії.

Ще в 2007 році Stefan Esser виявив цікаву уразливість в багатьох браузерах. Що призводить до міжсайтовового скриптінгу з використанням успадкованої кодової сторінки.

Уразливі продукти: Mozilla Firefox 1.5, Firefox 2.0, Microsoft Internet Explorer 7, Opera 9.

При відображенні сторінки у фреймі використовується кодова сторінка батьківської сторінки, що дозволяє організувати атаку міжсайтового скриптінгу за рахунок вибору, наприклад, UTF-7.

• Multiple Browsers Cross Domain Charset Inheritance Vulnerability (деталі)

В своїй презентації The Web Is Broken, Bipin Upadhyay розповідає про сучасний стан веба. Про стан безпеки в Інтернеті, поширені уразливості на веб сайтах і атаки на них, та методи захисту сайтів.

В даній добірці уразливості в веб додатках:

• New gforge packages fix SQL injection (деталі)
• Meridian Prolog Manager Username and Plain Text Password Disclosure (деталі)
• RaidenHTTPD 2.0.19 ulang cmd exec poc exploit (деталі)
• MicroNews Admin Direct Access vulnerability (деталі)
• Max’s File Uploader File Upload Vulnerability (деталі)
• Article DashBoard all version SQL Injection Vulnerability (деталі)
• PHPEchoCMS Multible remote vulnerabilitis (деталі)
• JoomlaFlash Component Multiple Remote File Inclusion (деталі)
• Gradman <= 0.1.3 (agregar_info.php?tabla=) Local File Inclusion Exploit (деталі)
• Remote Code Execution in MyBB 1.2.10 (деталі)

Нещодавно, 01.01.2009, а також додатково сьогодні, я знайшов нові уразливості в FCKeditor - Full path disclosure та Cross-Site Scripting (в різних версіях даного html текстового редактора). Про що найближчим часом повідомлю розробникам редактора.

Раніше я вже писав про Arbitrary File Upload уразливість в FCKeditor.

Full path disclosure:

Якщо в test.html в полі Current Folder ввести “\”, то можна дізнатися повний шлях в системі.

Або можна зробити GET-запит до відповідного конектора:
http://site/editor/filemanager/browser/default/connectors/php/connector.php?Command=GetFolders&Type=File&CurrentFolder=\

Вразливі FCKeditor 2.3 та 2.4.2 та попередні версії (та потенційно наступні). Версія 2.6.3 не вразлива.

XSS:

Якщо в хедері User Agent браузера вказати <script>alert(document.cookie)</script> при доступі до сторінки з FCKeditor, то при натисканні на іконку About FCKeditor спрацює XSS код. Дану атаку зокрема можна провести через флеш з підробкою хедера User Agent.

Вразливі FCKeditor 2.6.3 та попередні версії.

Виявлена DoS уразливість в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6 (і можливо 7) на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Відмова браузера при рекурсивному створенні скрипта через createElement().

• IE Denial of Service Exploit (mshtml.dll) (деталі)

Зазначу, що в мене в IE6 даний експлоіт не спрацював (на Windows XP SP2). Вірогідно він вимагає іншу версію ОС або сервіс паку, чого не уточнив автор експлоіту.

22.10.2008

У січні, 13.01.2008, я знайшов Cross-Site Scripting уразливість в системі Xaraya. Як раз коли виявив уразливість на www.linux.com, де використовується даний движок.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

09.01.2009

XSS:

Уразливість в index.php параметрі d.

http://site/?module=search&q=';alert(document.cookie);//

Розробники мені так і не відповіли, але як я виявив в останніх версіях системи уразливість вже виправлена.