Websecurity - Веб безпека

16.07.2009

У листопаді, 11.11.2008, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості на проекті http://www.odesk.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.odesk.com.

Детальна інформація про уразливості з’явиться пізніше.

07.10.2009

XSS (IE):

POST запит на сторінці https://www.odesk.com/ticket.php

" style="xss:expression(alert(document.cookie))"В полях: Name, oDesk Username, Email.

Insufficient Anti-automation:

https://www.odesk.com/ticket.php

https://www.odesk.com/ticket.php?key=~~1472bcfe1c8803e1

На даних формах немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

https://www.odesk.com/ticket.php

https://www.odesk.com/ticket.php?key=~~1472bcfe1c8803e1

Враховуючи те, що з даних форм емайл відправляється також на заданий емайл користувача, то окрім розсилання спаму власникам сайта, також можна розсилати спам на довільні емайли.

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• CMS WEBjump! Multiple SQL Injection Vulnerabilities (деталі)
• PHP-Fusion Mod Book Panel (course_id) SQL Injection Vulnerability (деталі)
• RoomPHPlanning <= 1.6 (userform.php) Create Admin User Exploit (деталі)
• Joomla Djice Shoutbox 1.0 Permanent XSS Vulnerability (деталі)
• WeBid <= 0.7.3 RC9 Multiple Remote File Inclusion Vulnerabilities (деталі)
• GuildFTPd FTP Server 0.999.14 Remote Delete Files Exploit (деталі)
• Traidnt up 2.0 (Cookie) Add Extension By Pass Exploit (деталі)
• PhpMySport 1.4 (XSS/SQL) Multiple Remote Vulnerabilities (деталі)
• Kim Websites 1.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• YAP 1.1.1 (index.php page) Local File Inclusion Vulnerability (деталі)
• YAP 1.1.1 Blind SQL Injection/SQL Injection Vulnerabilities (деталі)
• Beerwin’s PHPLinkAdmin 1.0 RFI/SQL Injection Vulnerabilities (деталі)
• PPLive <= 1.9.21 (/LoadModule) URI Handlers Argument Injection Vuln (деталі)
• VLC 0.9.8a Web UI (input) Remote Denial of Service Exploit (деталі)
• Blind SQL Injection exploit for CMS NetCat v3.12 (деталі)

Як розповів RSnake в своєму записі Phishing Site in Email, йому довелося стикнутися з фішинг сайтом в емайл листі. Коли цілий фішинг сайт був розміщений в одному електронному листі.

Даний метод може бути цікавим для фішерів зокрема в тому, що він дозволяє не розміщувати підробний сайт на хостінгу (який можуть закрити), а мати весь сайт в одному листі. В даному випадку в html-файлі, який вкладений в лист як атачмент. Але в будь-якому разі потрібно мати сайт для збирання отриманої інформації від жертв фішинг-атак.

Я бачив чимало різного роду фішинг листів, але не зустічав листів з цілими фішинг сайтами. Фішінг сайт в емайлі - це одна з просунутих схем фішингу. Інша просунута схема, що я виявив цього року і про яку я вже розповідав в статті Cross-Site Scripting атаки через редиректори - це фішинг сайт в лінці.

Виявлене пошкодження пам’яті в проксі-сервері nginx.

Уразливі версії: nginx 0.7.

Пошкодження пам’яті через URI HTTP-запиту.

• New nginx packages fix arbitrary code execution (деталі)

В даній добірці уразливості в веб додатках:

• CiscoWorks Common Services Arbitrary Code Execution Vulnerability (деталі)
• Fresta, CelerBB 0.0.2 Multiple Vulnerabilities (деталі)
• IBM Lotus Sametime Community Services Multiplexer Stack Overflow Vulnerability (деталі)
• EasySiteNetwork (joke.php?id) Remote SQL injection Vulnerability (деталі)
• LittleCMS vulnerability (деталі)
• Joomla: Session hijacking vulnerability, CVE-2008-4122 (деталі)
• Численні уразливості в Phpclanwebsite <= 1.23.3 Fix Pack #5 (деталі)
• Oracle E-Business Suite Business Intelligence SQL Injection Vulnerability (деталі)
• Nagios vulnerability (деталі)
• POC for CVE-2008-5619 (roundcubemail PHP arbitrary code injection) (деталі)

У лютому, 08.02.2009, я знайшов Cross-Site Scripting уразливість на сайті http://webfile.ru (файлообмінник). Про що найближчим часом сповіщу адміністрацію сайта.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Продовжуючи розпочату традицію, після попереднього відео про експлуатацію уразливостей в ПЗ, пропоную новий відео секюріті мануал. Цього разу відео про просунутий SQL Injection в Joomla. Рекомендую подивитися всім хто цікавиться цією темою.

Advanced Mysql Injection in Joomla

В даному відео ролику наочно демонструється проведення SQL Injection атаки на движок Joomla, зокрема для зчитування локальних файлів на сайті. Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою SQL ін’єкцій та небезпеки подібних уразливостей.

01.08.2009

У червні, 04.06.2009, я знайшов Denial of Service, Cross-Site Scripting та Redirector уразливості в OpenX (дану Redirector уразливість я зустрічав на сайтах ще в 2008 році). Це популярна локальна банерна система, що раніше називалася Openads. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в OpenX.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

03.10.2009

DoS (Looped DoS):

http://site/adclick.php

Уразливі вірогідно лише всі версії Openads.

XSS:

http://site/adclick.php?maxdest=javascript:alert(document.cookie)
http://site/adclick.php?dest=javascript:alert(document.cookie)

Працює в Mozilla, Firefox (до версії 3.0.9), IE6, Opera та Google Chrome. Уразливі вірогідно лише всі версії Openads, де використовується заголовок Refresh. В нових версіях (таких як OpenX v2.6.3) використовується заголовок Location і там можлива атака в браузерах Firefox та Opera.

http://site/adclick.php?dest=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b

Інший редиректор, про який я вже писав, також уразливий для цієї атаки:

http://site/www/delivery/ck.php?dest=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b

Redirector:

http://site/adclick.php?maxdest=http://websecurity.com.ua
http://site/adclick.php?dest=http://websecurity.com.ua

Уразливі OpenX v2.6.3 та попередні версії та потенційно наступні версії (та всі версії Openads). А до Redirector уразливі всі версії системи - OpenX v2.8.1 та попередні версії.

В даній добірці експлоіти в веб додатках:

• CelerBB 0.0.2 Multiple Remote Vulnerabilities (деталі)
• Joomla com_ijoomla_archive Blind SQL Injection Exploit (деталі)
• Wili-CMS 0.4.0 (RFI/LFI/AB) Multiple Remote Vulnerabilities (деталі)
• Blue Eye CMS <= 1.0.0 Remote Cookie SQL Injection Vulnerability (деталі)
• OneOrZero Helpdesk <= 1.6.5.7 Local File Inclusion Vulnerability (деталі)
• isiAJAX v1 (praises.php id) Remote SQL Injection Vulnerability (деталі)
• Addonics NAS Adapter Post-Auth Denial of Service Exploit (деталі)
• PHP-Fusion Mod Book Panel (bookid) SQL Injection Vulnerability (деталі)
• phpCommunity 2.1.8 (SQL/DT/XSS) Multiple Vulnerabilities (деталі)
• CS-Cart 2.0.0 Beta 3 (product_id) SQL Injection Vulnerability (деталі)
• Woltlab Burning Board 3.0.x Multiple Remote Vulnerabilities (деталі)
• PHPRecipeBook 2.24 (base_id) Remote SQL Injection Vulnerability (деталі)
• PHP Director <= 0.21 (sql into outfile) eval() Injection Exploit (деталі)
• NextApp Echo < 2.1.1 XML Injection Vulnerability (деталі)
• IBM Director <= 5.20.3su2 CIM Server Remote DoS Vulnerability (деталі)

Як повідомляє Tim Wilson на сторінках DarkReading в новині New Malicious Web Links Up More Than 500 Percent In First Half 2009, згідно зі звітом IBM X-Force в першій половині 2009 року кількість виявлених шкідливих веб лінків збільшилася на 508%.

Відповідно до звіту, проблема malware - інфікування сайтів шкідливим кодом - більше не обмежується лише шкідливими доменами чи ненадійними сайтами. Звіт X-Force зауважує, що постійно збільшується кількість шкідливиго контенту на надійних сайтах, включаючи популярні пошукові системи, блоги, форуми, персональні сайти, онлайн магазини та новинні сайти. До речі, як я писав, розміщення шкідливого коду може використовуватися для блокування сайта в пошукових системах.

В звіті X-Force відзначається збільшення кількості веб експлотів, особливо з використанням PDF файлів. Також дослідники зазначають, що кількість шкідливого контенту, який вони виявили, збільшилася в двічі в другому кварталі порівняно з першим кварталом 2009 року.

На думку директора X-Force Кріса Ламба, Інтернет зараз став схожий на Дикий Захід. Де нікому не можна довіряти, де кожен сайт є підозрілим і більше немає такого явища, як безпечний браузінг.

Також в звіті відзначається збільшення кількості веб атак. Зокрема кількість SQL Injection атак збільшился на 50% в першому кварталі 2009 в порівнянні з четвертим кварталом 2008 року, і їх кількість майже подвоїлась в другому кварталі порівняно з першим кварталом 2009 року.