Websecurity - Веб безпека

У березні, 30.03.2008, я знайшов Cross-Site Scripting та Local File Include уразливості на проекті http://www.videoradar.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.videoradar.ru.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

LFI:

http://www.videoradar.ru/?op=1&act=1

В результаті інклюдиться файл Project_1_1.php.

Продовжуючи розпочату традицію, після попереднього відео про Blind SQL Injection в MySQL, пропоную новий відео секюріті мануал. Цього разу відео про експлуатацію MS-SQL. Рекомендую подивитися всім хто цікавиться цією темою.

MS-SQL Exploitation Video

В даному відео ролику демонструється експлутація Microsoft SQL Server. Спочатку за допомогою nmap знаходяться машини з MS-SQL серверами, потім визначається версія сервера і через уразливість в ньому отримуються права адміна. Після чого в ОС на даному комп’ютері створюється новий адмінський акаунт. Рекомендую подивитися дане відео для розуміння векторів атаки через уразливості в MS-SQL та небезпеки подібних уразливостей.

Співробітники компанії BitDefender повідомили про появу нового трояна, що маскується під плагін веб-оглядача Firefox. Зловмисний код за назвою Trojan.PWS.ChromeInject.B, краде логіни і паролі до іноземних банківських і платіжних інтернет-систем.

Спосіб проникнення вірусу на комп’ютери користувачів і перехоплення їм керування не уточнюється. Але точно відомо, що при цьому в підпапки plugins і chrome, що знаходяться в місці інсталяції Firefox, копіюються зловмисні dll і js-файли, що діють як додаток до браузера. Троян видає себе за плагін Greasemonkey.

ChromeInject.A визначає посилання, на які клікає користувач у Firefox, порівнюючи їх зі своєю базою із сотень інтернет-банків і платіжних систем, краде логіни і паролі, й перенаправляє їх на сервер, що знаходиться в Росії. Співробітники BitDefender повідомляють, що це перший у своєму роді випадок, коли вірус створюється з метою атакувати користувачів Firefox.

По матеріалам http://itua.info.

P.S.

Атаки на інтернет-користувачів через підробні плагіни (як плагіни-обманки, що виявляються шкідливими додатками, так і плагіни з вбудованими троянами), а також через підробні браузери, про що я писав, останнім часом набули поширення.

В даній добірці уразливості в веб додатках:

• Multiple LFI in Azucar CMS 1.3 (деталі)
• OpenSSL SSL_get_shared_ciphers() off-by-one buffer overflow (деталі)
• MyNews 1.6.X HTML/JS Injection Vulnerability (деталі)
• Modx 0.9.6.1, 0.9.6.1p1 Multiple Security Vulnerabilities (деталі)
• Skype DoS (деталі)
• joomla (k12.tr)(com_iomezun) SQL Injection (деталі)
• joomla (k12.tr)(com_mezun) SQL Injection (деталі)
• joomla (k12.tr)(com_iomezun) SQL Injection (деталі)
• Kommentare zum Download script SQL Injection (деталі)
• my little forum XSS (деталі)

Одразу після виходу Google Chrome, як почав активно його досліджувати, 09.09.2008, я запідозрив, що даний браузер має уразливість пов’язану з ненадійним оновленням. І ось лише сьогодні я знайшов час, щоб це перевірити, і підтвердив наявність даної уразливості в браузері.

Представляю нову дірку в Google Chrome, яка полягає в тому, що браузер має ненадійне оновлення. Chrome оновлюється через незашифроване з’єднання - як перевірка наявності оновлень, так і безпосередньо їх викачка відбувається через http, а не через https (тобто без використання SSL). Що може бути використано зловмисниками для проведення MITM атаки, з метою виконання коду, або підміни браузера на шкідливий додаток (в тому числі на версію Chrome з вбудованим трояном).

Цю ситуацію посилює те, що апдейт в Хромі автоматичний, який не можна відключити в браузері (тільки в налаштуваннях ОС). І користувач може й не запідозрити, коли на нього проведуть MITM атаку і замінять браузер на версію з трояном. Тому варто зробити, щоб ця функція мала налаштування (і виконувалася через SSL).

До речі, раніше я писав про те, що доповнення до Firefox, Yahoo і Google можуть використовуватися для атаки на користувачів (зокрема в даній новині йшлося про Google Toolbar і Google Browser Sync), а також про проблеми з оновленнями в багатьох розширеннях Mozilla та Firefox. Про це повідомлялося ще в 2007 році й того ж року Мозіла виправила дану уразливість в своєму браузері (тоді ще в Firefox 2). А Firefox 3 з самого початку виконує оновлення тільки через SSL.

Уразлива версія Google Chrome 1.0.154.48 та попередні версії.

Те, що Mozilla виправляє дірки в своїх браузерах, це безперечно. Нещодавно вони виправили численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey, випустивши нові версії своїх продуктів. При цьому я неодноразово писав про те, що вони постійно ігнорують уразливості про які я їм повідомляю (і не виправляють їх, тому вони роками наявні в браузерах Мозіли).

Нещодавно я виявив Charset Remembering уразливість в Mozilla Firefox, про що повідомив Мозілу. На що вони мені відповіли, що вони вже виправили дану уразливість (навіть не знаючи про неї), ще в Firefox 3.0.2.

Вони відключили можливість вручну вибрати кодування UTF-7 в Firefox 3.0.2 (тим самим виправивши вищезгадану уразливість). І зробили це потайки.

В результаті Mozilla потайки виправила в Firefox 3.0.2 ряд знайдених мною уразливостей пов’язаних з UTF-7, зокрема Charset Remembering та Cross-Site Scripting в Mozilla та Firefox (а також ще одну XSS, яку я виявив в лютому 2008 і про яку найближчим часом розповім). При цьому не згадавши в себе на сайті, зокрема в своїх Security Advisories для Firefox 2.0 та Firefox 3.0, ні про знайдені мною уразливості, ні про зроблені зміни в браузері.

Це добре, що вони нарешті виправили дірку, про яку я писав їм ще в жовтні 2007 (а заодно іще одну нову), але погано, що вони зробили це потайки. Приховуючи тим самим проблеми з безпекою в браузері, що мали місце роками (і які наявні в старих версіях їхніх браузерів, тому вони стосуються всіх користувачів даних версій).

01.08.2008

У листопаді, 21.11.2007, я знайшов Cross-Site Scripting уразливості на проекті http://wpthemesfree.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

09.02.2009

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

XSS (IE):

При кліку на лінці “Add to Favorites”. Це strictly social XSS.

http://wpthemesfree.com/index.php?order=');alert(document.cookie);//
http://wpthemesfree.com/index.php?page=');alert(document.cookie);//
http://wpthemesfree.com/index.php?category=');alert(document.cookie);//
http://wpthemesfree.com/index.php?property=');alert(document.cookie);//
http://wpthemesfree.com/index.php?');alert(document.cookie);//

Всі сторінки на сайті, що мають лінку “Add to Favorites”, вразливі до даної XSS.

Якщо strictly social XSS вже виправлені, то всі reflected XSS уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• AWStats Totals (awstatstotals.php sort) Remote Code Execution Exploit (деталі)
• ACG-ScriptShop (cid) Remote SQL Injection Vulnerability (деталі)
• Vastal I-Tech Shaadi Zone 1.0.9 (tage) SQL Injection Vulnerability (деталі)
• EsFaq 2.0 (idcat) Remote SQL Injection Vulnerability (деталі)
• Vastal I-Tech Cosmetics Zone (cat_id) SQL Injection Vulnerability (деталі)
• Vastal I-Tech Freelance Zone (coder_id) SQL Injection Vulnerability (деталі)
• Vastal I-Tech Mag Zone (cat_id) SQL Injection Vulnerability (деталі)
• Vastal I-Tech MMORPG Zone (game_id) SQL Injection Vulnerability (деталі)
• Flock Social Web Browser 1.2.5 (loop) Remote Denial of Service Exploit (деталі)
• Exploits Novell Groupwise IMG Tag Overflow (metasploit) (деталі)

Нещодавно, 04.02.2009, я виявив Same Site Scripting уразливості на серверах fbi.gov, citibank.com, cisco.com, ukr.net та yandex.ru.

Сайти вразливі до Same Site Scripting:

http://localhost.fbi.gov

http://localhost.citibank.com

http://localhost.cisco.com

http://localhost.ukr.net

http://localhost.yandex.ru

Для перевірки вразливості даних сайтів, ви повинні мати локальний веб сервер (на http://localhost).

XSS:

При наявності на вашому комп’ютері CUPS (Unix, Linux, Mac OS), ви можете перевірити наступну XSS атаку.

http://localhost.fbi.gov:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)
http://localhost.citibank.com:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)
http://localhost.cisco.com:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)
http://localhost.ukr.net:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)
http://localhost.yandex.ru:631/jobs/?job_id=&job_printer_name=Click%20Me&job_printer_uri=javascript:alert(document.cookie)

В січні 2008 року Tavis Ormandy в своєму повідомленні в Bugtraq розповів про новий вид атак. Що він відніс до нового типу XSS уразливостей - Same Site Scripting. Дана атака можлива через некоректну конфігурацію DNS. І подібна некоректна конфігурація має місце на багатьох серверах, що призводить до можливості Same Site Scripting атак.

common dns misconfiguration can lead to “same site” scripting

Автор наводить три варіанти використання даної уразливості:

1. Атака на інших користувачів в shared UNIX системах.

2. Атака на локальний веб сервер користувача (що розміщений на його комп’ютері, або на тому, через який він має доступ до Мережі). Зокрема, атака може проводитися через XSS та інші уразливості, наявні на даних веб серверах. Про подібні атаки я вже розповідав в своїй статті Використання уразливостей на локальних машинах.

3. Атака через CUPS, що встановлений на комп’ютері користувача (а CUPS встановлений на більшості Unix, Linux і Mac OS систем).

Дана уразливість має місце на багатьох серверах, зокрема на fbi.gov, citibank.com і cisco.com.