Websecurity - Веб безпека

This is English version of my Redirectors: the phantom menace article.

There is such security problem in Internet as redirectors. Already at beginning of January 2008 I planned to write the article about different variants of attacks with using of redirectors. And now I present for you the article “Redirectors: the phantom menace”. It’s anthology of attacks with using of redirectors.

Attacks via redirectors.

Besides redirection to malicious and phishing sites, redirectors can be used for other attacks. Here is a list of all attacks via redirectors which I know:

• Redirection.
• HTTP Response Splitting and XSS (via HTTP Response Splitting) attacks.
• Full path disclosure attacks.
• Bypass of spam-filters.
• Bypass of flash restrictions.
• XSS attack via jar: URI in Firefox.
• Attack on Google Toolbar.
• CSRF attacks on a site.
• Hidden attacks on other sites.
• Image leakage in Firefox.
• Denial of Service attacks.
• Cross-Site Scripting attacks.

Redirection.

Standard attack with using of redirectors - it’s redirection to other sites for the purpose of infecting with viruses, conducting of phishing attacks, or just entice to the site of advertiser.

For these purposes numerous redirectors in Internet can be used, particularly in search engines (which I wrote about in MOSEB project), at popular sites (and other sites), in CMS and other web applications.

HTTP Response Splitting and XSS (via HTTP Response Splitting) attacks.

There can be HTTP Response Splitting vulnerabilities in web applications redirectors. Which can be used for conducting of HTTP Response Splitting and XSS (via HTTP Response Splitting) attacks. The protection from these attacks was made in last 4.x versions and 5.x versions of PHP. But PHP is using not at all sites, and there are not always last versions where it’s using, besides after fixing of this hole, developers of PHP added Full path disclosure hole.

Full path disclosure attacks.

If using at the site of last 4.x versions or 5.x versions of PHP, there is Full path disclosure vulnerability in PHP-redirectors.

Set “%0A1″ as URL of the site for this redirector and you’ll get the message “Warning: Header may not contain more than a single header, new line detected.” together with full path at the site.

http://site/redirector.php?url=%0A1

Bypass of spam-filters.

Redirectors can be used for bypass of spam-filters in e-mail. When spam-filters is set on appropriate URL of sites, then using of redirectors allows to bypass it. If filter is looking not on full URL, but on entering of string in site’s address, then it can be bypassed with help of redirection services (such as TinyURL and others).

Bypass of flash restrictions.

Bypass of flash restrictions on crossdomain access is possible via substitution of crossdomain policies (crossdomain.xml) with using of redirectors (which Stefan Esser wrote about). It can be used for conducting of Cross-Site Request Forgery attacks. These attacks (crossdomain) are possible in old versions of flash plugin.

XSS attack via jar: URI in Firefox.

In Mozilla Firefox the Cross-Site Scripting attacks are possible via jar: URI. Petko D. Petkov aka PDP found this vulnerability, and Beford found, that in Firefox it’s possible to use it together with redirectors for conducting of XSS attacks via jar: URI, without need to upload files on these sites. Vulnerability was fixed in Firefox 2.0.0.10 and SeaMonkey 1.1.7.

Attack on Google Toolbar.

As showed Aviv Raff, who found this vulnerability, in Google Toolbar it’s possible to spoof content of dialog window at adding of the button (with using of redirector). Vulnerable to Google Toolbar Dialog Spoofing Vulnerability are Google Toolbar 5 beta and previous versions.

CSRF attacks on a site.

Redirectors can be used for the purpose of conducting of CSRF attacks, when it’s needed to bypass checking of the referrer (as protection against CSRF), in order to make referrer from the same site.

Hidden attacks on other sites.

Redirectors can be used for conducting of attacks (particularly CSRF attacks) on other sites, for the purpose of hiding real attacking site, so as to mention quite another site in the logs.

Image leakage in Firefox.

Using of getImageData() together with redirection it’s possible to get cross-site access to images. Chris Evans found this vulnerability in Firefox. It was fixed in Firefox 2.0.0.18.

Denial of Service attacks.

Redirectors can be used for conducting of DoS attacks. There are possible two variants: redirector looped on itself (Looped DoS) and redirector looped on redirector (looped redirection attack).

About first variant of attack I wrote concerning vulnerabilities in Power Phlogger (and also I found these vulnerabilities on different sites), and about second variant of attack I wrote in detail in my articles Redirectors’ hell and Hellfire for redirectors.

Cross-Site Scripting attacks.

It’s possible to conduct XSS attacks via redirectors. For these purposes as refresh-header, as location-header redirectors can be used. Which I wrote about in detail in article Cross-Site Scripting attacks via redirectors.

There are next vulnerable browsers: Mozilla 1.7.x, Mozilla Firefox 3.0.x and 3.5.x (and Firefox 3.6 Alpha and 3.7 Alpha), Internet Explorer 6, Opera 9.x and 10.x, Google Chrome 1.x, 2.x and 3.x, QtWeb 3.0, Safari 4.0.x, SeaMonkey 1.1.x, Orca Browser 1.2 and Maxthon 3 Alpha (and in most cases previous versions of all mentioned browsers).

Conclusions.

Redirectors represent a danger to security of users of Internet. So owners of web sites, which have redirectors (open) on them, and also developers of browsers (when attack occurs because of a problem in browser), must not allow such vulnerabilities, and hard fixing already existent ones.

04.07.2009

У січні, 01.01.2009, я знайшов Directory Traversal та Cross-Site Scripting уразливості в FCKeditor. Directory Traversal в старих версіях, а XSS в усіх версіях даного html текстового редактора. Про що найближчим часом повідомлю розробникам редактора.

Раніше я вже писав про уразливості в FCKeditor.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

12.09.2009

Directory Traversal:

Як я знаю ще з 25.02.2006 з опису уразливостей в FCKeditor, в його старих версіях була дірка, що дозволяла переглянути зміст довільних папок та створювати нові папки в довільних місцях. І все.

Але 01.01.2009 я знайшов, що також можливо завантажувати файли в довільні місця. Якщо в test.html або конекторі в полі Current Folder ввести “../” то відбудеться Directory Traversal атака.

Можна переглядати зміст довільних директорій, створювати нові каталоги в довільних директоріях та завантажувати файли в довільні директорії.

Уразливі FCKeditor 2.0 FC та попередні версії (старі версії FCKeditor).

XSS:

В усіх версіях FCKeditor можна завантажувати swf-файли. Тому можна провести XSS атаку через флеш. Це persistent XSS.

Уразливі FCKeditor 2.6.3 (та 2.6.4 має бути також) та попередні версії.

В даній добірці експлоіти в веб додатках:

• Syntax Desktop 2.7 (synTarget) Local File Inclusion Vulnerability (деталі)
• Jaws 0.8.8 Multiple Local File Inclusion Vulnerabilities (деталі)
• Team 1.x (DD/XSS) Multiple Remote Vulnerabilities (деталі)
• Power System Of Article Management (DD/XSS) Vulnerabilities (деталі)
• Novell GroupWise <= 8.0 Malformed RCPT command Off-by-one Exploit (деталі)
• YapBB <= 1.2 (forumID) Blind SQL Injection Exploit (деталі)
• Amaya Web Browser 11 (bdo tag) Remote Stack Overflow Exploit (vista) (деталі)
• Amaya Web Browser 11 (bdo tag) Remote Stack Overflow Exploit (winxp) (деталі)
• GR Blog 1.1.4 (Upload/Bypass) Multiple Remote Vulnerabilities (деталі)
• Kipper 2.01 (XSS/LFI/DD) Multiple Vulnerabilities (деталі)
• ClearBudget 0.6.1 Insecure Cookie Handling / LFI Vulnerabilities (деталі)
• GR Note 0.94 beta (Auth Bypass) Remote Database Backup Vulnerability (деталі)
• ClearBudget 0.6.1 (Misspelled htaccess) Insecure DD Vulnerability (деталі)
• txtBB <= 1.0 RC3 HTML/JS Injection - Add Admin Privileges Exploit (деталі)
• Mailist 3.0 Insecure Backup/Local File Inclusion Vulnerabilities (деталі)

Продовжую розповідати вам про редиректори на секюріті сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти та інших атак.

До наведених в попередніх записах, приведу ще декілька прикладів редиректорів на сайтах про інформаційну безпеку.

Редиректори на секюріті та хакерських сайтах:

OpenID:

http://openid.net/redirect.php?site=websecurity.com.ua

Pro-Hack:

http://pro-hack.ru/index.php?…&url=http://websecurity.com.ua

Bezpeka:

http://bezpeka.com/ru/redirect/?url=http://websecurity.com.ua

Існує така проблема безпеки в Інтернеті як редиректори. Ще на початку січня 2008 року я запланував написати статтю про різноманітні варіанти атак з використанням редиректорів. І зараз пропоную вашій увазі статтю “Редиректори: прихована загроза” (Redirectors: the phantom menace). Це антологія атак з використанням редиректорів.

Атаки через редиректори.

Окрім редирекції на зловмисні та фішинг сайти, редиректори можуть використовуватися для інших атак. Ось перелік усіх відомих мені атак через редиректори:

• Редирекція.
• HTTP Response Splitting та XSS (через HTTP Response Splitting) атаки.
• Full path disclosure атаки.
• Обхід спам-фільтрів.
• Обхід обмежень флеша.
• XSS атака через jar: URI в Firefox.
• Атака на Google Toolbar.
• CSRF атаки на сайт.
• Приховані атаки на інші сайти.
• Витік умісту зображень в Firefox.
• Denial of Service атаки.
• Cross-Site Scripting атаки.

Редирекція.

Стандартна атака з використанням редиректорів - це редирекція на інші сайти з метою зараження вірусами, проведення фішинг атак, або просто заманювання на сайт рекламодавця.

Для цього можуть використовуватися численні редиректори в Інтернеті, зокрема в пошукових системах (про що я писав в проекті MOSEB), на популярних сайтах (й інших сайтах), в CMS та інших веб додатках.

HTTP Response Splitting та XSS (через HTTP Response Splitting) атаки.

В веб додатках редиректорах можуть бути HTTP Response Splitting уразливості. Які можуть бути використанні для проведення HTTP Response Splitting та XSS (через HTTP Response Splitting) атак. В PHP в останніх 4.x версіях та в 5.x версіях зроблений захист від даних атак. Але не на всіх сайтах використовується PHP, а там де використовується, не завжди останні версії, до того ж виправивши дану дірку, розробники PHP додали Full path disclosure дірку.

Full path disclosure атаки.

При використанні на сайті PHP останніх 4.x версій або 5.x версій, в PHP-редиректорах наявна Full path disclosure уразливість.

Задайте “%0A1″ в якості URL сайта для даного редиректора і отримаєте повідомлення “Warning: Header may not contain more than a single header, new line detected.” разом з full path на сайті.

http://site/redirector.php?url=%0A1

Обхід спам-фільтрів.

Редиректори можуть використовуватися для обходу спам-фільтрів в пошті. Коли спам-фільтри налаштовані на відповідні URL сайтів, то використання редиректорів дозволить обійти їх. Якщо фільтр шукає не по повному URL, а по входженню рядка в адресу сайта, то його можна обійти за допомогою сервісів редирекції (таких як TinyURL та інших).

Обхід обмежень флеша.

Можливий обхід обмежень флеша на міжсайтовий доступ через підстановку міждоменних політик (crossdomain.xml) за допомогою використання редиректорів (про що писав Stefan Esser). Це може використовуватися для проведення Cross-Site Request Forgery атак. Дані атаки (міждоменні) можливі в старих версіях флеш плагіна.

XSS атака через jar: URI в Firefox.

В Mozilla Firefox можливі атаки міжсайтового скриптінга через jar: URI. Дану уразливість виявив Petko D. Petkov aka PDP, а Beford виявив, що в Firefox можна використати її разом з редиректорами для проведення XSS атак через jar: URI без необхідності завантаження файлів на дані сайти. Уразливість виправлена в Firefox 2.0.0.10 та SeaMonkey 1.1.7.

Атака на Google Toolbar.

Як продемонстрував Aviv Raff, який знайшов дану уразливість, в Google Toolbar можна підмінити зміст діалогового вікна при додаванні кнопки (з використанням редиректора). До Google Toolbar Dialog Spoofing Vulnerability вразливі Google Toolbar 5 beta та попередні версії.

CSRF атаки на сайт.

Редиректори можуть використовуватися з метою проведення CSRF атак, коли потрібно обійти перевірку на реферер (як захист проти CSRF), щоб реферер був з цього самого сайта.

Приховані атаки на інші сайти.

Можна використовувати редиректори для проведення атак (зокрема CSRF атак) на інші сайти, з метою приховання реального атакуючого сайта, щоб в логах був вказаний зовсім інший сайт.

Витік умісту зображень в Firefox.

Використовуючи getImageData() разом з редирекцією можливо одержати міжсайтовий доступ до зображень. Дану уразливість в Firefox знайшов Chris Evans. Вона виправлена в Firefox 2.0.0.18.

Denial of Service атаки.

Можна використовувати редиректори для проведення DoS атак. Можливі два варіанти: редиректор зациклений на собі (Looped DoS) та редиректор зациклений на редиректорі (атаки зацикленою редирекцією - looped redirection attack).

Про перший варіант атаки я писав стосовно уразливостей в Power Phlogger (а також я знаходив дані уразливості на різних сайтах), а про других варіант атаки я детально писав в своїх статтях Пекло редиректорів та Пекельний вогонь для редиректорів.

Cross-Site Scripting атаки.

Через редиректори можна проводити XSS атаки. Для цього можуть бути використані як refresh-header, так і location-header редиректори. Про що я детально написав в статті Cross-Site Scripting атаки через редиректори.

До уразливих браузерів відносяться: Mozilla 1.7.x, Mozilla Firefox 3.0.x та 3.5.x (та Firefox 3.6 Alpha і 3.7 Alpha), Internet Explorer 6, Opera 9.x та 10.x, Google Chrome 1.x, 2.x та 3.x, QtWeb 3.0, Safari 4.0.x, SeaMonkey 1.1.x, Orca Browser 1.2 та Maxthon 3 Alpha (та в більшості випадків попередні версії усіх зазначених браузерів).

Висновки.

Редиректори становлять загрозу безпеці користувачів Інтернет. Тому власники веб сайтів, на яких є редиректори (відкриті), а також розробники браузерів (коли атака відбувається через проблему в браузері), повинні не допускати подібних уразливостей, і наполегливо виправляти вже існуючі.

Виявлені численні уразливості безпеки в Mozilla Firefox.

Уразливі версії: Mozilla Firefox 3.0, Firefox 3.5.

Виконання коду, пошкодження пам’яті, підміна адреси, прихована установка сертифіката. В даному оновленні Mozilla не виправила Cross-Site Scripting уразливості в різних версіях їхніх браузерів, про які я писав і про які їм повідомив. Що наглядно демонструє відношення даної компанії до безпеки власних продуктів та безпеки їх користувачів.

• Mozilla Foundation Security Advisory 2009-47 (деталі)
• Mozilla Foundation Security Advisory 2009-48 (деталі)
• Mozilla Foundation Security Advisory 2009-49 (деталі)
• Mozilla Foundation Security Advisory 2009-50 (деталі)
• Mozilla Foundation Security Advisory 2009-51 (деталі)
• ZDI-09-065: Mozilla Firefox TreeColumns Dangling Pointer Vulnerability (деталі)
• Firefox <3.0.14 Multiplatform RCE via pkcs11.addmodule (деталі)

В даній добірці уразливості в веб додатках:

• Updated policykit package fixes format string vulnerability (деталі)
• bcoos 1.0.13 Remote File Include Vulnerability (деталі)
• XSS in phpMyadmin (деталі)
• MyBB 1.4.2: Multiple Vulnerabilties (деталі)
• PHP-Nuke Module League (team&tid) XSS Vulnerability (деталі)
• Cisco BBSM Captive Portal Cross-site Scripting (деталі)
• Saba 2.0 Cross Site Scripting [PASSIVE] (деталі)
• PHP-Nuke Module BookCatalog (category&catid) Remote SQL injection Vulnerability (деталі)
• IranMC ( detail.php?Kala ) Remote SQL injection Vulnerability (деталі)
• PHP-Nuke Module Sectionsnew (printpage&artid) Remote SQL injection Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Comment Remix, My Category Order та WP-Syntax. Для котрих з’явилися експлоіти. WP Comment Remix - це плагін для покращення форми коментарів в WP, My Category Order - це плагін для налаштування порядку категорій, WP-Syntax - це плагін для підсвітки синтаксису різних мов.

• WP Comment Remix 1.4.3 Multiple Vulnerabilities (деталі)
• WordPress Plugin My Category Order <= 2.8 SQL Injection Vulnerability (деталі)
• Wordpress Plugin WP-Syntax <= 0.9.1 Remote Command Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Ще перед попереднім оновленням безпеки в Invision Power Board 3.0.2, 18.08.2009, вийшло інше оновлення для безпеки Invision Power Board (IP.Board) 3.0 серії.

Як виявили розробники, в IPB 3.0.x (включаючи 3.0.2) було дві потенційні SQL Injection уразливості. Які й були виправлені в даному оновлені.

• Security Update for IP.Board 3.0.2 (деталі)

Уразливі версії Invision Power Board 3.0.2 (до 18.08.2009) та попередні 3.0.x версії.

08.06.2009

У вересні, 18.09.2008, а також додатково сьогодні, я знайшов SQL Injection, Cross-Site Scripting та Full path disclosure уразливості на сайті http://www.contenta-jansoft.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

10.09.2009

SQL Injection:

http://www.contenta-jansoft.com/html/xmlout.php?file='%20union%20select%20version(),1%23

XSS (через SQL Injection):

• alert(document.cookie)
• цікавий
• html включення

Full path disclosure:

http://www.contenta-jansoft.com/html/xmlout.php?file=’

Дані уразливості досі не виправлені.