Архів за Квітень, 2009

Уразливість на www.engadget.com

23:58 30.04.2009

Учора, 29.04.2009, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.engadget.com. Яку я виявив під час досліджень URL Spoofing уразливості в GoogleBot, Yahoo! Slurp та різних браузерах. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

Атака відбувається через XSS в імені піддомена. Уразливість працює лише в Mozilla 1.7.x та попередніх версіях. Це приклад нового типу XSS уразливостей - доменного XSS (Domain reflected XSS).

URL Spoofing атаки в браузерах та пошукових системах

22:44 30.04.2009

Продовжу тему, яку я підняв в попередніх двух записах про URL Spoofing уразливість в GoogleBot, Yahoo! Slurp, Mozilla та Internet Explorer (яка також може бути в ботах інших пошуковців). І розповім вам про атаку, яка може працювати в усіх браузерах та в усіх пошукових системах (боти всіх пошуковців можуть бути вразливими).

Учора, 29.04.2009, під час досліджень я виявив, що не тільки url-encoded символи можна використовувати для атаки, а й стандартні ASCII символи (з числа видимих символів). Можливі запити з символами AZaz09, при цьому AZ автоматично конвертуються в az в Mozilla (але не в IE6). Та деякими спецсимволами в Mozilla (!%^&()`~-_+=) та в IE6 (!^&()`~-_+=, причому ^ і ` IE конвертує в url-encoded) та відповідними спецсимволами в інших браузерах (- і _ підтримують усі браузери).

URL Spoofing:

http://site.com.aaaaaaaaaawww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

Всього символів між крапками поминно бути не більше 63 (це обмеження на назву піддомена). Тобто між “http://site.com.” і “.tab.net.ua” може бути до 63 (включно) символів. Причому таких піддоменів може бути довільна кількість. Серед різних символів найбільш зручними для атаки є символи “-” та особливо “_”.

http://site.com.---------------------------------------------------------------.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
http://site.com._______________________________________________________________.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

Дані атаки працюють в усіх браузерах та явно будуть працювати в усіх пошукових системах. На відміну від атак з використанням url-encoded символів, які працюють серед браузерів лише в Mozilla, IE6, IE7 та Safari 3.2.2 (і потенційно в IE8).

Наведені приклади атак працюють в наступних браузерах: Mozilla 1.7.x, Internet Explorer 6 (6.0.2900.2180), Firefox 3.0.9, Opera 9.52 та Google Chrome 1.0.154.48. І повинні працювати в Internet Explorer 7, Safari 3.2.2 і потенційно в IE8 та інших браузерах.

Проведення атаки.

Як я вже писав раніше, можливість даної атаки залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих. Зокрема я виявив наступні сайти, що вразливі до даної атаки: www.tab.net.ua, www.engadget.com і www.poweroptimizer.com.

Виділю два алгоритма проведення даної атаки.

1. Використання сайта, що має відповідну конфігурацію веб сервера, який вразлий до даної атаки. Через реєстрацію на даному сайті, або через уразливості на ньому. Розглянемо на прикладі www.tab.net.ua (соціальна мережа).

  • Зареєструвати собі акаунт на www.tab.net.ua.
  • Розмістити на своєму сайті в рамках даного сервісу шкідливий код (для проведення фішинг атаки, чи для поширення шкідливого коду).
  • Створити собі спеціальний URL: http://bank.com._(x63).tab.net.ua/sites/blog/site_name.bad/id.1/.
  • Заманити жертву на даний URL.
  • В тому числі можна надати даний URL пошуковцям для індексації, щоб жертви самі потрапили в пастку через пошукові системи.

2. Використання власного сайта, що має відповідним чином сконфігурований веб сервер.

  • Розмістити на своєму сайті шкідливий код (для проведення фішинг атаки, чи для поширення шкідливого коду).
  • Створити собі спеціальний URL: http://bank.com._(x63).badsite.com.
  • Заманити жертву на даний URL.
  • В тому числі можна надати даний URL пошуковцям для індексації, щоб жертви самі потрапили в пастку через пошукові системи.

У другому випадку, якщо спеціальні антифішинг сервіси занесуть домен даного сайту (badsite.com) в свої списки, то власники браузерів з антифішинг системами будуть захищені. І то лише, якщо подібні системи працюють по домену (badsite.com), а не по домену з піддоменами (bank.com._(x63).badsite.com). Бо інакше, або фільтр не спрацює (в залежності що саме занесено до нього), або зловисники зможуть його легко обійти змінивши URL для атаки (bank.com._._(x63).badsite.com).

А в першому випадку взагалі антифішинг системам буде не просто забанити сайт, бо атакуючі сайти будуть хоститися на легальних і популярних сервісах.

Підсумовуючи скажу, що користувачам Інтернету потрібно бути обережними і слідкувати за власною безпекою, щоб не стати жертвою URL Spoofing атаки. Як і власникам веб сайтів потрібно слідкувати за безпекою власних сайтів.

P.S.

Склейка доменів (domain gluing) може використовуватися не тільки для URL Spoofing атаки, але й для XSS атаки (в деяких браузерах), як я показав на прикладі www.engadget.com.

Сайти для пошуку md5 хешей №3

19:32 30.04.2009

Продовжу розповідати вам про сайти для пошуку md5 хешей.

В Інтернеті існують веб сайти для пошуку md5 хешей. Тобто вони призначені для взлому md5 хешей, щоб по хешу отримати його значення (у випадку хеша пароля, це дозволить отримати пароль).

До раніше наведених сайтів зверну вашу увагу на наступні:

  • https://secure.sensepost.com/sp-hash/ - сайт використовує reverse lookup md5 hash підхід
  • http://www.c0llision.net - сервіс проводить як пошук по БД, так і виконує автоматизований підбір хешів (lm, ntlm і md5 хеші)
  • http://savs.sytes.net/hash/md5/ - цей сайт також використовує reverse lookup md5 hash підхід
  • http://md5.bubble.ro - цей сайт також використовує reverse lookup md5 hash підхід (md5, sha1 і CRC32 хеші)
  • http://hash.insidepro.com

В подальшому я продовжу наводити перелік подібних сайтів.

Добірка уразливостей

16:04 30.04.2009

В даній добірці уразливості в веб додатках:

  • w2b.ru multiple products SQL Injection (деталі)
  • Critical Vulnerability in Windows URI Handling Could Allow Remote Code Execution (943460) (деталі)
  • UniversalFtp Server 1.0.44 Multiple Remote Denial of service (деталі)
  • BosNews 2002-2006 Remote add user admin (деталі)
  • BosNews v4.0 Remote add user admin (деталі)
  • Dotclear ‘ecrire/images.php’ Arbitrary File Upload Vulnerability (деталі)
  • KwsPHP (Upload) Remote Code Execution Exploit (деталі)
  • Cezanne SW Cross-Site Scripting (деталі)
  • Cezanne SW Cross-Site Scripting (login required) (деталі)
  • Cezanne SW Blind SQL Injection (деталі)

URL Spoofing в GoogleBot, Yahoo! Slurp, Mozilla та Internet Explorer

23:52 29.04.2009

На минулому тижні я писав про URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer (та в Yahoo! Slurp), яка також може бути в ботах інших пошуковців. Сьогодні я провів додаткові дослідження даної уразливості й виявив нові можливості для атаки з її використанням.

Як я вже зазначав, за допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду. А також даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Після того як Володимир Дубровін aka 3APA3A звернув мою увагу на можливість використання й інших символів для даної атаки, я вирішив детально перевірити це питання. В попередньому записі я писав про використання пробілу для URL Spoofing атаки, яку я також назвав склейка доменів (domain gluing).

І як я перевірив, окрім пробілу (%20) для даної атаки також можуть бути використані інші символи.

Mozilla підтримує: %00..%ff.

http://site.com%00www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

IE6 та IE7 підтримують: %20..%2d та %30..%ff.

http://site.com%20www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

При цьому IE при запиті до сайту або одразу заміняє url-encoded символи на їх звичайні еквіваленти, або взагалі прибирає їх (якщо ці символи не відображуються).

Зазначу, що якщо символи пробілу (%20) в адресах сайтів для проведення даної атаки я знаходив в пошуковцях (Гуглі та Яху), то використання інших символів я не зустрічав, тому невідомо чи підтримують індексацію подібних символів в назві доменів пошукові системи. Але потенційно їх можуть підтримувати і боти пошуковців (GoogleBot, Yahoo! Slurp та інші).

Також я вияснив, що можливість даної атаки також залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих.

Зокрема окрім www.tab.net.ua, також дана атака можлива на www.engadget.com і www.poweroptimizer.com.

URL Spoofing:

Заіндексовано Google:

http://www.kp.ruget.com.20www.engadget.com
Схема: http://www.site.com%20www.engadget.com

Заіндексовано Yahoo:

http://www.energyopt.com.%20www.poweroptimizer.com
Схема: http://www.site.com%20www.poweroptimizer.com

Уразливий GoogleBot.

Уразливий Yahoo! Slurp.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі версії Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.0.6001.18000) та попередні версії. І потенційно IE8.

Вийшов Mozilla Firefox 3.0.10

22:43 29.04.2009

Нещодавно, 27.04.2009, вийшов Firefox 3.0.10. В якому була виправлена одна критична уразливість.

Нова версія Firefox вийшла лише через шість днів, після того як 21.04.2009 вийшов Firefox 3.0.9, в якому були виправлені численні уразливості. Необхідність випуску нової версії полягала в уразливості яка була допущена в версії 3.0.9, тобто при виправлені попередніх дірок, Мозіла допустила нову дірку в своєму браузері (що і було виявлено через деякий час після випуску попередньої версії і виправлено в новій версії браузеру).

Це вже не перший раз, коли Mozilla після випуску чергового релізу браузера швидко випускає нову версію. Подібне вже було з Firefox 3.0.3, що виправляв баг в версії 3.0.2, а також подібні випадки були і в попередніх версіях браузера.

  • Mozilla Foundation Security Advisory 2009-23 (деталі)

Уразливості на www.interface.ru

19:35 29.04.2009

11.12.2008

У лютому, 15.02.2008, я знайшов Local File Inclusion, Denial of Service та Directory Traversal уразливості на проекті http://www.interface.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.interface.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.04.2009

Local File Inclusion:

http://www.interface.ru/fset.asp?Url=fset.asp

DoS (Recursive File Include):

http://www.interface.ru/fset.asp?Url=fset.asp?Url=fset.asp

http://www.interface.ru/fset.asp?Url=fset.asp … ?Url=fset.asp

Для проведення DoS атаки через рекурсивне включення файлів, потрібно безпосередньо в запиті (в URL) вказати необхідний рівень рекурсії. Тому що в ASP рекурсивне включення не виконується автоматично.

Directory Traversal:

http://www.interface.ru/fset.asp?Url=../robots.txt

Дані уразливості досі не виправлені.

Добірка експлоітів

16:09 29.04.2009

В даній добірці експлоіти в веб додатках:

  • YourFreeWorld Forced Matrix Script (id) SQL Injection Vulnerability (деталі)
  • YourFreeWorld Autoresponder Hosting (id) SQL Injection Vulnerability (деталі)
  • YourFreeWorld Blog Blaster (id) Remote SQL Injection Vulnerability (деталі)
  • YourFreeWorld Banner Management (id) SQL Injection Vulnerability (деталі)
  • YourFreeWorld Downline Builder (id) Remote SQL Injection Vulnerability (деталі)
  • Maran PHP Shop (prod.php cat) SQL Injection Vulnerability (деталі)
  • Downline Goldmine newdownlinebuilder (tr.php id) SQL Injection Vuln (деталі)
  • Downline Goldmine paidversion (tr.php id) SQL Injection Vulnerability (деталі)
  • Downline Goldmine Category Addon (id) SQL Injection Vulnerability (деталі)
  • Downline Goldmine Builder (tr.php id) Remote SQL Injection Vulnerability (деталі)
  • NetRisk <= 2.0 (XSS/SQL Injection) Remote Vulnerabilities (деталі)
  • Apartment Search Script (RFU/XSS) Multiple Remote Vulnerabilities (деталі)
  • Joovili 3.1.4 Insecure Cookie Handling Vulnerability (деталі)
  • Apoll 0.7b (SQL Injection) Remote Auth Bypass Vulnerability (деталі)
  • Exploits solidDB <= 06.00.1018 multiple vulnerabilities (деталі)

Нові DoS уразливості в Internet Explorer

23:51 28.04.2009

Нещодавно, 22.04.2009, я виявив нові Denial of Service уразливості в Internet Explorer. Про що найближчим часом повідомлю розробникам браузера. Дані уразливості подібні до DoS уразливості в Internet Explorer.

Нещодавно були виявлені нові DoS уразливості в Windows Media Player (WMP 11). В мене дані уразливості працють в WMP 10. Як я перевірив, браузер IE також може бути атакованим, при включенні даних спеціальних wav файлів (що підвисають WMP) у веб сторінку. Причому атака спрацьовує тільки в IE, але не в інших браузерах. Це Cross-Application DoS уразливість.

DoS:

IE DoS Exploit8.html

IE DoS Exploit9.html

При запуску експлоітів браузер зависає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8. При наявності в системі WMP 11 або попередніх версій.

Квітневий вівторок патчів від Microsoft

22:49 28.04.2009

В цьому місяці Microsoft випустила вісім патчів. Що більше ніж у березні.

У квітневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшли вісім патчів, що виправляють у сумі двадцять уразливостей. З них п’ять критичних патчів та два важливих.

Критичні включають кумулятивне оновлення для Internet Explorer і виправлення для віддаленого виконання коду в DirectShow, WinHTTP, Excel, текстових конвертерах Wordpad і Office. Інші патчі закривають уразливості, що приводять до можливого підвищення прав доступу в Windows, і можливий DoS в ISA Server і Forefront Threat Management Gateway.

По матеріалам http://bugtraq.ru.