Websecurity - Веб безпека

У листопаді, 03.11.2008, я знайшов Cross-Site Scripting уразливості на проекті http://www.simpy.com (це сервіс онлайн закладок). Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

Нова добірка експлоітів для останніх помилок (уразливостей) в Internet Explorer. В ній представлені експлоіти для IE7 (другий експлоіт також працює в IE6).

• MS Internet Explorer 7 Memory Corruption Exploit (MS09-002) (fast) (деталі)
• MS Internet Explorer EMBED Memory Corruption PoC (MS09-014) (деталі)
• Microsoft Internet Explorer (AddFavorite) Remote Crash PoC (деталі)

Попередня добірка eксплоітів для Internet Explorer.

Експерти в області інформаційної безпеки з компанії Prevx знайшли шкідливий “троянський” додаток, за допомогою якого зловмисники змогли викрасти більше 88000 паролів та імен користувачів, використовуваних для одержання доступу до корпоративних FTP-серверів.

У ході аналізу зразка шкідливого коду, експерти встановили, що досліджуваний “троян” обмінюється даними зі стороннім веб-сервером. Пройшовши по виявленому сліду, співробітники Prevx знайшли на сервері список викрадених реквізитів, збережених у відкритому незашифрованому вигляді. За заявою дослідників, жертвами хакерів виявилися такі великі організації, як Symantec, McAfee, Amazon, Cisco і Bank of America.

Виявлений “троян” являє собою модифікацію відомого додатка ZBot, що деякий час тому поширювався по електронній пошті під видом критично важливого оновлення для поштового клієнта Microsoft Outlook. Проникаючи на скомпрометований комп’ютер, троянський додаток збирає всю інформацію про встановлювані FTP-з’єднання, що зможе знайти.

“Ми вже зв’язалися з більшістю постраждалих організацій і передали зібрану інформацію фахівцям агентства US CERT, у чиї обов’язки входить оперативне реагування на подібні інциденти”, - заявив технічний директор Prevx Жак Еразмус, - “Крім того, відвідувачі нашого сайта можуть самостійно перевірити, чи не виявилися приналежні їм реквізити доступу в згаданому списку”.

По матеріалам http://www.xakep.ru.

В даній добірці уразливості в веб додатках:

• Linksys/Cisco WRT350N 1.0.3.7 Insecure Samba Static Configuration (деталі)
• Easydynamicpages 30tr Multipe Vulerabilities ( Xss / Sql Injection Exploit / File Disclosure Exploit ) (деталі)
• Maran PHP Blog Xss By Khashayar Fereidani (деталі)
• Easybookmarker 40tr Xss Vulnerability By Khashayar Fereidani (деталі)
• Easyecards 310a Multipe Vulerabilities ( Xss / Sql Injection Exploit / File Disclosure Exploit ) By Khashayar Fereidani (деталі)
• EasyPublish 3.0tr Multiple Vulnerabilities ( Xss / Sql Injection Exploit / File Disclosure Exploit ) (деталі)
• Remote File Include Vulnerability in Flip V3.0 final (деталі)
• SAP MaxDB dbmsrv Untrusted Execution Path Vulnerability (деталі)
• PhpJobScheduler 3.1 Remote File Inclusion Vulnerability (деталі)
• Cross Site Scripting (XSS) in Owl <=0.95, CVE-2008-3100 (деталі)

В минулому місяці я писав про Cross-Site Scripting уразливості в Mozilla, Internet Explorer, Opera та Chrome. Яка дозволяє виконання JavaScript коду через заголовок refresh (зазначу, що подібну атаку також можна реалізувати через інший вектор - через meta-refresh тег). Дана уразливість була виправлена Мозілою в Firefox 3.0.9.

Так от нещодавно, 06.07.2009, я знайшов можливість обходу даного захисту в Firefox. Також даний метод XSS атак працює в Mozilla та Chrome.

Для обходу захисту від виконання JavaScript коду через заголовок refresh потрібно використати data: URI, в якому буде вже міститися необхідний JS код. Цей метод для проведення XSS атак через meta-refresh тег вже давно відомий - він був в XSS Cheat Sheet ще в 2006 році. І от його я використав для обходу захисту в Firefox та для проведення атак через refresh-header редиректори.

XSS:

Вектори атаки через meta-refresh тег та заголовок refresh:

<meta http-equiv="refresh" content="0;url=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+">

При запиті до скрипта на сайті:
http://site/script.php?param=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b
Що поверне у відповіді заголовок refresh і код виконається у браузері:
refresh: 0; URL=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b

Через data: можна обійти в Firefox 3.0.9 і вище (тестував в 3.0.11) заборону на виконання JavaScript коду в заголовку refresh. Тільки в Firefox 3.0.11 і Google Chrome таким чином до кукісів не дістатися, зате це можна зробити в старій Mozilla.

Уразлива версія Mozilla 1.7.x та попередні версії.

Уразлива версія Mozilla Firefox 3.0.11 (і 3.5 також повинен бути уразливим) та попередні версії.

Уразлива версія Google Chrome 1.0.154.48 та попередні версії (і потенційно наступні версії).

Наскількі часто потрібно проводити перевірки веб додатків та веб сайтів? На це запитання спробував відповісти Binu Thomas в своїй статті How frequently should an Application be tested.

Кожен веб сайт та веб додаток потрібно періодично перевіряти на наявність уразливостей, тобто проводити аудит безпеки. Серед причин цього можна назвати те, що регулярно з’являються нові атаки та нові функції (і дірки) додаються регулярно. А також те, що є частина дірок, які залишилися з попереднього разу, що не були виправлені після попереднього секюріті аудиту, або були виправлені погано (а це трапляється досить часто і про подібні випадки я багато разів писав в новинах).

На думку Томаса, є наступні критерії вибору частоти проведення повторних перевірок веб додатків:

• Важливість даних
• Критичність додатку
• Частота змін у додатку

Виявлена уразливість форматного рядка в MySQL COM_CREATE_DB.

Уразливі версії: MySQL 5.0.

Уразливість форматного рядка в імені створюваної бази.

• MySQL <= 5.0.45 post auth format string vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• CodeAvalanche Articles (CAArticles.mdb) Database Disclosure Vuln (деталі)
• CodeAvalanche FreeWallpaper Remote Database Disclosure Vulnerability (деталі)
• CodeAvalanche FreeForAll (CAFFAPage.mdb) Database Disclosure Vuln (деталі)
• CodeAvalanche Directory (CADirectory.mdb) Database Disclosure Vuln (деталі)
• Amaya Web Browser 10.0.1/10.1-pre5 (html tag) Buffer Overflow PoC (деталі)
• Forest Blog 1.3.2 (blog.mdb) Remote Database Disclosure Vulnerability (деталі)
• Mediatheka 4.2 Remote Blind SQL Injection Expoit (деталі)
• Click&Rank (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• ClickAndEmaiL (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Click&BaneX Multiple Remote SQL Injection Vulnerabilities (деталі)
• CFAGCMS v1 (right.php title) SQL Injection Vulnerability (деталі)
• Aperto Blog 0.1.1 Local File Inclusion / SQL Injection Vulnerabilities (деталі)
• WorkSimple 1.2.1 RFI / Sensitive Data Disclosure Vulnerabilities (деталі)
• CadeNix (cid) Remote SQL Injection Vulnerability (деталі)
• PoC exploit for Xitami Web Server v2.5c2 LRWP processing format string bug (деталі)

Як нещодавно повідомив мені DixonD, на минулому тіжні був взломаний сайт scriptlance.com (на якому він мав акаунт). Даний сайт - це одна з найбільших фріланс-бірж в Інтернеті. За інформацію DixonD, даний сайт було взломано вірогідно китайськими хакерами і в Інтернет було викладено 192000 логінів-паролів участників сайту (для демонстрації справжності взлому). І ясна річ, він знайшов серед них і власний логін й пароль.

Дану проблему адміністрація сайту вирішила шляхом генерації нових паролів і розсилання їх на пошту користувачам, під виглядом планової зміни паролів (що є достатньо типовим явищем в Інтернеті). При цьому ніяких офіційних заяв не пролунало, лише деякий час сайт не працював, виводивши повідомлення про технічні роботи на сайті. Подібні замовчування фактів взлому також є достатньо типовим явищем (як в недавньому випадку з T-Mobile).

Подібні взломи крупних веб проектів періодично трапляються (ясна річ із-за недостатнього рівня безпеки даних проектів). Нещодавно я вже писав про те, що сервери оператора T-Mobile були взломані. І всі подібні випадки наносять шкоду в першу чергу не самому власнику сайта, а його користувачам і клієнтам, особиста інформація яких була скомпрометована.

І особливо це проявляється у тому випадку, коли на акаунтах користувачів сайта були кошти. А саме таке мало місце у випадку біржі scriptlance.com. Невідомо, що сталося з усіма коштами власників акаунтів на даному сайті, цілком можливо, що зловмисники їх використали в особистих цілях (які можуть не збігатися з цілями власників акаунтів). Але враховуючи кількість користувачів scriptlance.com (192000 користувачів), якаунти яких були скомпрометовані, то загальна сума коштів може бути достатньо великою.

США знаходяться в стані кібервійни, постійно піддаючись кібератакам, заявив глава Об’єднаного комітету начальників штабів (ОКНШ) збройних сил США адмірал Майк Маллен. “Це серйозна загроза, вона існує постійно, але останнім часом стає першочерговою проблемою для всіх”, - сказав адмірал, виступаючи на брифінгу в прес-центрі для іноземних журналістів.

Маллен нагадав, що, за вказівкою президента США, при Пентагоні створена спеціальна група по боротьбі з кібератаками, і її співробітники не залишаються без роботи. “Ми постійно знаходимося в стані кібервійни, відбиваючи кібератаки, постійно боремося”, - відзначив Маллен, відзначивши, що в сучасному світі арени воєн поступово переміщаються в кіберпростір.

За його словами, з такою небезпекою зіштовхуються всі країни світу. Глава ОКНШ нагадав про недавню кібератаку на інтернет-портали одинадцяти південнокорейських організацій, у тому числі сайти президентської адміністрації, міністерства оборони, парламенту, декількох банків.

Президент США Барак Обама в травні повідомив про створення спеціальної державної служби по боротьбі з кіберзлочинами. Пізніше всі силові відомства рапортували про формування аналогічних внутрішніх підрозділів.

По матеріалам http://www.xakep.ru.