Websecurity - Веб безпека

В своїй презентації New Defenses for .NET Web Apps: IHttpModule in Practice, Shreeraj Shah розповідає про безпеку веб додатків на платформі .NET. Про нові засоби захисту .NET веб додатків.

В даній добірці уразливості в веб додатках:

• PHP remote file inclusion vulnerability in Magic CMS 4.2.747 (деталі)
• IBM Informix Dynamic Server onedcu File Creation Vulnerability (деталі)
• IBM Informix Dynamic Server SQLIDEBUG File Creation Vulnerability (деталі)
• php-addressbook v2.0 SQL Injection Vulnerbility (деталі)
• Blackboard Academic Suite Multiple XSS Vulnerabilities (деталі)
• phpBB PJIRC mod LFI (деталі)
• TopperMod 2.0 Remote SQL Injection Vulnerability (деталі)
• Multiple XSS in DigiDomain (деталі)
• CuteFlow Version 1.5.0 Multiple Remote Vulnerabilities (деталі)
• Simple Machines Forum 1.4 Remote File Inclusion Vulnerabilities (деталі)

В минулому році, 09.02.2008, я виявив цікаву Cross-Site Scripting уразливість з використанням UTF-7 в Mozilla та Firefox. Дану XSS я відношу до типу Strictly social XSS.

Дана уразливість подібна до Cross-Site Scripting в Mozilla та Firefox, яку я виявив 23.09.2007. В тій уразливості атака відбувалася через gopher, а в цій уразливості атака відбувається через http, https і ftp. Дане дослідження є продовженням попереднього.

Дана уразливість пов’язана з тим, що браузер недостатньо фільтрує символи при UTF-7 кодуванні в протоколах http, https і ftp. Дане кодування слід виставити вручну (що зменшує рівень небезпеки). Тому для атаки потрібно змусити жертву встановити UTF-7 кодування (використовуючи методи соціальної інженерії, як це показано в прикладах з додатковим текстом).

XSS:

Для http://www.mozilla.org

• alert(document.cookie)
• alert(document.cookie) (з додатковим текстом)

Для https://www.mozilla.org

• alert(document.cookie)
• alert(document.cookie) (з додатковим текстом)

Для ftp://ftp.mozilla.org

• alert(document.cookie)
• alert(document.cookie) (з додатковим текстом)

Це універсальний XSS - уразливість працює на будь-якому сайті (http/https), де можна запостити інформацію, або на Error 403 і Error 404 сторінках. Також атака можлива на всіх ftp серверах.

Уразливі Mozilla 1.7.x та попередні версії, Firefox 1, Firefox 2 і Firefox 3.0 та Firefox 3.0.1.

В даних браузерах можлива універсальна XSS атака через http/https/ftp/gopher протоколи. Це приклад нового типу XSS уразливостей (що я відкрив в 2007 році) - Виключно соціальний XSS (Strictly social XSS). Дана уразливість може використовуватися в парі з Charset Remembering уразливістю в Mozilla Firefox.

В Firefox 3.0.2 дана уразливість була потайки виправлена, про що я вже писав (за рахунок відключення можливості вибору UTF-7 кодування).

В минулому місяці, 19.03.2009, компанія Microsoft випустила фінальну версію браузера Internet Explorer 8.

Про вихід IE7 я розповідав раніше і так само розповім вам про вихід IE8, зокрема згадаю про його покращення в плані безпеки.

Internet Explorer 8 побудований на основі нового движка і має масу переваг перед попередніми версіями. Браузер уже не виглядає так мляво на фоні конкурентів, як це було з 7-ю версією, і цілком здатний задовольнити запити більшості користувачів. Новий движок набагато швидше завантажує й відрисовує веб-сторінки і більш сумісний з новими технологіями. Значно дороблена підтримка веб-стандартів і поліпшена обробка HTML, CSS (з повною підтримкою CSS 2.1) і JavaScript.

Серед самих помітних нових функцій варто відзначити:

• Веб-фрагменти (Web Slices).
• Прискорювачі (Accelerators).
• Автоматичне відновлення після збоїв (Automatic Crash Recovery).

Також в Internet Explorer 8 наявна маса інших функціональних покращень: потужна система пошуку, покращена панель з обраним, групування зв’язаних вкладок, розширені можливості маштабування сторінки, покращений пошук по сторінці з маркіруванням кожного екземпляра шуканого слова чи фрази, інтелектуальний адресний рядок і багато інших удосконалень.

Ясна річ, у новинці багато уваги приділено безпеці і конфіденційності. У програму внесений ряд внутрішніх поліпшень для забезпечення безпечної роботи. Серед зовнішніх поліпшень необхідно відзначити новий режим InPrivate, що забезпечує конфіденційність при покупках через Інтернет, а поліпшений фільтр SmartScreen захищає від недобрих сайтів прагнучих тим чи іншим способом нашкодити чи того гірше обманути користувача. Також SmartScreen містить засоби для захисту від шпигунського і рекламного ПЗ. Ще одним нововведенням є функція виділення домена в адресному рядку, завдяки чому завжди ясно на якому саме сайті знаходиться користувач.

Також зазначу, що в IE8 доданий вбудований XSS-фільтр, який призначений для захисту користувачів браузеру від XSS атак. Але ще до виходу браузеру (аналізуючи його бета версії), секюріті дослідники відзначили слабку ефективність XSS-фільтру.

По матеріалам http://www.internet.ru.

25.11.2008

У січні, 25.01.2008, я знайшов Cross-Site Scripting уразливість на проекті http://www.shans.ua (Інтернет казино). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

17.04.2009

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• Ads Pro (dhtml.pl page) Remote Command Execution Exploit (деталі)
• MyForum 1.3 (lecture.php id) Remote SQL Injection Exploit (деталі)
• SFS Ez Forum (forum.php id) SQL Injection Vulnerability (деталі)
• MyKtools 2.4 (langage) Local File Inclusion Vulnerability (деталі)
• e107 Plugin alternate_profiles (id) SQL Injection Vulnerability (деталі)
• TlAds v1 Remote Insecure Cookie Handling Vulnerability (деталі)
• Persia BME E-Catalogue Remote SQL Injection Vulnerability (деталі)
• MyForum 1.3 (padmin) Local File Inclusion Vulnerability (деталі)
• Questcms (XSS/Directory Traversal/SQL) Multiple Remote Vulnerabilities (деталі)
• e107 Plugin EasyShop (category_id) Blind SQL Injection Exploit (деталі)
• TlGuestBook 1.2 Insecure Cookie Handling Vulnerability (деталі)
• Agares ThemeSiteScript 1.0 (loadadminpage) RFI Vulnerability (деталі)
• PersianBB (iranian_music.php id) Remote SQL Injection Vulnerability (деталі)
• MyForum 1.3 Insecure Cookie Handling Vulnerability (деталі)
• e107 Plugin BLOG Engine 2.1.4 Remote SQL Injection Vulnerability (деталі)

Учора, 15.04.2009, я виявив нову Denial of Service уразливість в Internet Explorer. Про що найближчим часом повідомлю розробникам браузера. Дана уразливість подібна до DoS уразливості в Internet Explorer.

Ще на прикінці 2007 року була виявлена DoS уразливість в Windows Media Player. В мене дана уразливість працює в WMP 10. Як я перевірив, браузер IE також може бути атакованим, при включенні даного спеціального aiff файлу (що вибиває WMP) у веб сторінку. Причому атака спрацьовує тільки в IE, але не в інших браузерах. Це Cross-Application DoS уразливість.

DoS:

IE DoS Exploit5.html

При запуску експлоіта браузер зависає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8. При наявності в системі WMP 10 або попередніх версій (і можливо й WMP 11).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.streetpride.kiev.ua (хакерами з SaldiriTeam) - 15.04.2009, зараз сайт вже виправлений адмінами
• http://www.3s.com.ua (хакером Gxb3rx) - 11.04.2009, зараз сайт вже виправлений адмінами
• http://www.dacia.ua (хакерами Cyb3rking і Fantastik) - 06.04.2009, зараз сайт вже виправлений адмінами
• http://chipnews.com.ua (хакером Cyber_945) - 11.04.2009, зараз сайт вже виправлений адмінами
• http://www.resdom.org (хакером THE.BILEN VEZIR.04) - причому спочатку сайт 20.02.2009 був похаканий THE.BILEN VEZIR.04, а нещодавно похаканий ALEX OWNERS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

Виявлена DoS уразливість в PHP.

Уразливі версії: PHP 5.2.

Відмова на некоректних даних функції JSON_parser.

• Denial of Service in PHP (деталі)

В даній добірці уразливості в веб додатках:

• Wayport Public Access PC Authentication Bypass Weakness (деталі)
• Fantastico In all Version Cpanel 10.x <= local File Include (деталі)
• AssetMan 2.4a <= (download_pdf.php) Remote File Disclosure Vulnerability (деталі)
• TinyMCE_exp Remote File Include Vulnerability (деталі)
• Wiki Remote Authentication Bypass Vulnerability (деталі)
• Remote File Include In ClipShare.v1.5.3 (деталі)
• Remote File Include In Script moodle-1.7.1 (деталі)
• Remote File Include In Script PHP Photo Album (деталі)
• F5 BIG-IP Management Interface Perl Injection (деталі)
• Direct static code injection vulnerability in Flat Chat 2.0 (деталі)