Websecurity - Веб безпека

У квітні, 10.04.2009, я знайшов Cross-Site Scripting уразливість на http://www.szru.gov.ua - сайті Служби Зовнішньої Розвідки України. Це при тому, що з 2007 року вони так і не виправили SQL Injection уразливість. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.szru.gov.ua.

Детальна інформація про уразливість з’явиться пізніше.

Сьогодні, 30 листопада, у світі відзначається Computer Security Day - Міжнародний день захисту інформації. З чим вас і вітаю .

Його ціль - нагадати людям про необхідність захисту своїх комп’ютерів і інформації, що знаходиться в них. Щорічно День проводиться під визначеним девізом, що розміщується на плакати й іншу друковану продукцію, що випускається до свята. Девізом 2009 р. став слоган “Керування ризиком”.

Міжнародний день захисту інформації був оголошений Асоціацією комп’ютерного обладнання в 1988 р. Проголошуючи цей День, Асоціація хотіла нагадати усім про необхідність захисту комп’ютерної інформації і звернути увагу виробників та користувачів обладнання і програмних засобів на проблеми безпеки.

Проголошення Міжнародного дня захисту інформації саме в 1988 р. було не випадковим: саме в цей рік була зафіксована перша масова комп’ютерна епідемія - епідемія хробака Морріса, що одержав назву по імені свого творця. Саме тоді фахівці задумалися про необхідність комплексного підходу до забезпечення інформаційної безпеки. Але прототип першого комп’ютерного вірусу з’явився вже в 1983 р.

По матеріалам http://ain.ua.

Після попередніх численних уразливостех в розширеннях Mozilla Firefox, виявлені уразливості в нових розширеннях. Цього разу виявлені уразливості міжконтекстного скриптінга в розширеннях Sage та infoRSS до Firefox.

Уразливі продукти: плагіни Sage 1.4 та infoRSS 1.1 до Mozilla Firefox.

Уразливості в розширеннях дозволяють віддаленому користувачу скомпрометувати цільову систему.

• Межконтекстный скриптинг в Sage расширении к Firefox (деталі)
• Межконтекстный скриптинг в infoRSS расширении к Firefox (деталі)

В даній добірці уразливості в веб додатках:

• Cisco Unified Communications Manager Denial of Service and Authentication Bypass Vulnerabilities (деталі)
• Exjune Guestbook v2 Remote Database Disclosure Exploit (деталі)
• Directory traversal vulnerability in Horde (деталі)
• Cross-site scripting (XSS) vulnerability in Horde Application Framework (деталі)
• Cross-site scripting (XSS) vulnerability in Horde 3.2 and Turba 2.2 (деталі)
• New pcre3 packages fix arbitrary code execution (деталі)
• Multiple Vulnerabilities in Novell Teaming (деталі)
• Phorum < 5.2.10 Cross-Site Scripting/Request Forgery (деталі)
• Geeklog <= 1.5.2 savepreferences()/*blocks[] remote sql injection exploit (деталі)
• webSPELL 4.2.0c XSS (BYPASS BBCODE) COOKIES STEALING VULNERABILITY (деталі)

У квітні, 10.04.2009, я знайшов Full path disclosure, Cross-Site Scripting, Redirector та SQL Injection уразливості на сайті http://tid.odessa.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

This is English version of my Fingerprinting of Apache web server article.

Already at 10.09.2006 I created method of fingerprinting of Apache web server. This method based on feature of Apache, which I found at that time during security researches at my localhost (on Apache 1.3.23).

Feature of Apache.

There is interesting feature of Apache web server, which lie in that for accessing to file it’s possible to not set its extension. As I found recently, this future concerned with MultiViews option (if it’s turned on, which is by default).

I.e. for accessing to file robots.txt at the site, request can be made to file robots.txt:

http://site/robots.txt

Or request can be made to file robots (without extension):

http://site/robots

I.e. with making of request to file without setting of its extension, Apache will show file (which can have arbitrary extension at the server) after making of auto-addition of extension.

At that it concerns only those extensions, which is known by Apache. I.e. those ones, MIME type of which is known by Apache (which sets in settings of web server, particularly in mime.types). Order of auto-addition of extensions also sets in settings of web server.

For example, according to settings of my Apache, if to place test.html, test.txt and test.xml at the server, then at request to file test:

http://site/test

Content of test.xml will be shown, i.e. xml extension is going first. Html extension is going next and after that is txt extension.

Fingerprinting of Apache.

This feature can be used for identification of Apache.

For this it’s needed to find any working file at the server, which name and extension is known. For example, page.html. And after that to send two requests: http://site/page.html and http://site/page.

If in both cases there will be shown content of the same file and, which is the most important, there will be no error 404, then this web server is Apache.

Searching for hidden information.

Also this feature can be used for searching for hidden information at the sites. On which this feature of Apache will lead to information leakage.

For example, if there is a file secret.ext at the site, which extension (ext) can be complex (non-standard), or can be standard. To find this file there is no need to guess its full name (with extension), and it’ll be enough to guess only name without extension. Which allows to find this hidden file much faster.

http://site/secret

I have happened to use this feature of Apache on own experience during security audit to find hidden information at the site, admin of which didn’t expect that somebody would find this information.

Affected versions.

This feature works in Apache 1.x - tested in Apache 1.3.23 and Apache 1.3.37. Also it works in Apache 2.x, but I haven’t happened to meet such sites on Apache 2.x. So all versions of Apache with turned on MultiViews have this feature.

For example, Google also isn’t using extensions in some scripts at their sites - http://www.google.com/search - but they are using server GWS and it’s there such name set for web application. Besides Apache I haven’t happened to meet other web servers with such feature.

27.07.2009

У грудні, 03.12.2008, я знайшов Full path disclosure та Cross-Site Scripting уразливості на проекті http://www.helsinki.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

28.11.2009

Full path disclosure:

http://www.helsinki.org.ua/index.php?id=-

http://www.helsinki.org.ua/index.php?print=-

http://www.helsinki.org.ua/inc/creator.php

http://www.helsinki.org.ua/inc/data/page.php

XSS:

• alert(document.cookie)

Дані уразливості вже виправлені, але не всі - перші дві Full path disclosure ще не виправлені.

В даній добірці експлоіти в веб додатках:

• Dana Portal Remote Change Admin Password Exploit (деталі)
• DOURAN Portal <= 3.9.0.23 Multiple Remote Vulnerabilities (деталі)
• ClanWeb 1.4.2 Remote Change Password / Add Admin Exploit (деталі)
• httpdx <= 0.5b FTP Server (USER) Remote BOF Exploit (SEH) (деталі)
• httpdx <= 0.5b FTP Server (CWD) Remote BOF Exploit (SEH) (деталі)
• Joomla com_gsticketsystem (catid) Blind SQL Injection Exploit (деталі)
• VidShare Pro Arbitrary Shell Upload Vulnerability (деталі)
• PHP Article Publisher Remote Change Admin Password Exploit (деталі)
• DGNews 3.0 Beta (id) Remote SQL Injection Vulnerability (деталі)
• MaxCMS 2.0 (inc/ajax.asp) Remote SQL Injection Vulnerability (деталі)
• Jieqi CMS <= 1.5 Remote Code Execution Exploit (деталі)
• LightOpenCMS 0.1 (id) Remote SQL Injection Vulnerability (деталі)
• Mereo 1.8.0 (Get Request) Remote Denial of Service Exploit (деталі)
• PAD Site Scripts 3.6 Insecure Cookie Handling Vulnerability (деталі)
• glFusion <= 1.1.2 COM_applyFilter()/cookies remote blind sql injection exploit (деталі)

У квітні, 07.04.2009, я знайшов Abuse of Functionality, Insufficient Anti-automation та HTML Injection уразливості на сайті http://news.yahoo.com. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно сайтів компанії Yahoo раніше я вже писав про уразливості на babelfish.altavista.com та babelfish.yahoo.com.

Детальна інформація про уразливості з’явиться пізніше.

Ще 10.09.2006 я розробив методику визначення веб сервера Apache (fingerprinting). Дана методика базується на особливості Apache, яку я тоді, під час секюріті досліджень, виявив в себе на localhost (на Apache 1.3.23).

Особливість Apache.

Цікава особливість веб сервера Apache полягає в тому, що для доступу до файла, можна не вказувати його розширення. Як я нещодавно вияснив, ця особливість пов’язана з опцією MultiViews (якщо вона ввімкнена, що є по замовчуванню).

Тобто для доступу до файла robots.txt на сайті, можна зробити запит до файла robots.txt:

http://site/robots.txt

Або можна зробити запит до файла robots (без розширення):

http://site/robots

Тобто зробивши запит до файла без вказання його розширення, Апач виведе файл (який може мати довільне розширення на сервері) зробивши автодоповнення розширення.

При цьому це стосується лише тих розширень, які знає Апач. Тобто тих, MIME type яких відомий Апачу (що задається в налаштуваннях веб сервера, зокрема в mime.types). Порядок підстановки розширень також задається налаштуваннями веб сервера.

Наприклад, відповідно до налаштуваннь мого Apache, якщо на сервері розмістити test.html, test.txt і test.xml, то при запиті до файла test:

http://site/test

Виведеться зміст test.xml, тобто першим йде розширення xml. Наступним йде розширення html і потім вже розширення txt.

Визначення Apache.

Дану особливість можна використати для ідентифікації Apache.

Для цього потрібно виявити будь-який робочий файл на сервері, ім’я і розширення якого відомі. Наприклад, page.html. І потім послати два запити: http://site/page.html і http://site/page.

Якщо в обох випадках буде виведений зміст того ж самого файлу і, що є найбільш важливим, не буде помилки 404, значить цей веб сервер є Apache.

Пошук прихованої інформації.

Також дану особливість можна використати для пошуку прихованої інформації на сайтах. На яких дана особливість Apache призведе до витоку інформації.

Наприклад, якщо на сайті є файл secret.ext, розширення якого (ext) може бути складним (нестандартним), а може бути й стандартним. Для виявлення цього файлу не потібно вгадувати його повне ім’я (з розширенням), а достатньо буде вгадати лише ім’я без розширення. Що дозволить значно швидше виявити цей прихований файл.

http://site/secret

На власному досвіді під час секюріті аудиту доводилося використовувати дану особливість Апача для виявлення секретної інформації на сайті, адмін якого не сподівався, що хтось знайде цю інформацію.

Вразливі версії.

Дана особливість працює в Apache 1.x - перевірено в Apache 1.3.23 і Apache 1.3.37. Також вона працює в Apache 2.x, але мені не доводилося зустрічати подібні сайти на Apache 2.x. Так що всі версії Apache з ввімкненим MultiViews мають дану особливість.

Наприклад, Гугл також не використовує розширення у деяких скриптів на своїх сайтах - http://www.google.com/search - але в них сервер GWS і це в них таке ім’я задане для веб додатка. Окрім Apache мені не доводилося зустрічати інших веб серверів з подібною особливістю.