Websecurity - Веб безпека

Раніше я вже розповідав про XSS уразливості на 404 сторінках. І ще в 2008 році я запланував розповісти про один цікавий і поширений напрямок XSS атак - це атаки через помилки при запитах до БД.

Cross-Site Scripting уразливості мені доводилося знаходити у різних веб додатках, а також у браузерах та веб серверах. І окрім XSS дірок на Error 404 сторінках, також часто я зустрічав XSS уразливості в повідомленнях про помилки при запитах до Баз Даних (XSS через SQL Error).

Стандартний вектор атаки у випадку XSS через SQL Error - це вказання XSS-коду в якості значення параметра, що передається до БД (при цьому потрібно, щоб даний SQL запит став некоректним). Що призведе до виведення повідомлення веб додатку про помилку при запиті до БД, з вказанням рядка запиту, де наявна помилка, і до виконання JavaScript коду в браузері користувача.

XSS:

http://site/script?param=%27%3Cscript%3Ealert(document.cookie)%3C/script%3E

Подібні уразливості я знаходив неодноразово на різних сайтах та в різних веб додатках, зокрема в WordPress, Relay та Hydra Engine.

Наприклад, в WordPress для виконання JS-коду в повідомленні про помилку, потрібно було послати спеціальний символ (в данному випадку %A0), про що я вже розповідав детально.

XSS:

http://site/?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E

В деяких випадках (зокрема у PHP-додатках, що використовують MySQL), потрібно використовувати не тег script, а тег body для проведення XSS атаки, щоб код був повністю виведений в помідомленні про помилку в SQL запиті. Як, наприклад, у випадку уразливості на www.zemerl.com.

XSS:

http://site/script?param='%20and%20%3Cbody%20onload=alert(document.cookie)%3E

Зазначу, що ще в 2006 році була знайдена уразливість в PHP, що пов’язана з функцією mysql_error. Яка повертає в нефільтрованому вигляді значення помилки останнього SQL-запиту в MySQL, що може призвести до XSS атаки. Дана уразливість була виявлена в PHP 4.4.x та 5.1.x. Тому веб додатки, що використовують дану функцію і виводять її результати, можуть бути вразливі до XSS.

Так що веб розробники завжди повинні перевіряти свої розробки на наявність XSS уразливостей в повідомленнях про помилки при запитах до БД. Щоб не допускати подібних уразливостей.

23.02.2008

У липні, 18.07.2007, я знайшов Cross-Site Scripting уразливість на проекті http://e-news.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

21.11.2009

XSS:

• alert(document.cookie)
• цікавий

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• TinyWebGallery <= 1.7.6 LFI / Remote Code Execution Exploit (деталі)
• RTWebalbum 1.0.462 (AlbumID) Blind SQL Injection Exploit (деталі)
• microTopic v1 (rating) Remote Blind SQL Injection Exploit (деталі)
• openWYSIWYG <= 1.4.7 Local Directory Transversal Vulnerability (деталі)
• Dacio’s Image Gallery 1.6 (DT/Bypass/SU) Remote Vulnerabilities (деталі)
• eggBlog <= 4.1.1 Local Directory Transversal Exploit (деталі)
• Mereo 1.8.0 Arbitrary File Disclosure Exploit (деталі)
• TYPSoft FTP Server 1.11 (ABORT) Remote DoS Exploit (деталі)
• EasyPHP 2.0 Arbitrary Modify Configuration File Vulnerability (деталі)
• Bitweaver <= 2.6 saveFeed() Remote Code Execution Exploit (деталі)
• Php Recommend <= 1.3 (AB/RFI/CI) Multiple Remote Vulnerabilities (деталі)
• BIGACE CMS 2.5 (username) Remote SQL Injection Exploit (деталі)
• microTopic v1 (rating) Remote Blind SQL Injection Exploit (деталі)
• Zervit Webserver 0.4 Directory Traversal / Memory Corruption PoC (деталі)
• Amaya 11.1 XHTML Parser Buffer Overflow POC (деталі)

У березні, 23.03.2009, я знайшов Information Leakage та Insufficient Anti-automation уразливості в форумному движку Invision Power Board. Окрім раніше згаданих Abuse of Functionality в IPB, що призводили до Information Leakage, для виявлення логінів на форумі є ще одна уразливість.

Information Leakage:

http://site/index.php?act=Login

В IPB існує ще одна можливість проведення Login Enumeration. На сторінці логіна виводяться різні надписи у випадку якщо вірний логін (з невірним паролем) і якщо невірний логін (з невірним паролем).

В російскій версії Invision Power Board у випадку вірного логіна виводиться повідомлення “Невозможно найти пользователя с введенными вами данными”. А у випадку невірного логіна - “Имя пользователя и пароль неверны”. Це в IPB 2.х, а в IPB 1.х інші повідомлення.

Insufficient Anti-automation:

В даному випадку, як і в попередньому, наявна Insufficient Anti-automation уразливість, що дозволяє проводити автоматизоване виявлення логінів в системі. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

Уразливі Invision Power Board 2.3.6 та попередні версії (всі версії IPB 1.х та 2.х). В IPB 3 уразливості вже виправлені (схоже, що розробники IPB прислухалися до моїх порад після повідомлення про попередні уразливості).

Виявлена можливість проведення DoS атаки проти PHP через завантаження файлів.

Уразливі версії: PHP 5.3.

POST-запит multipart/form-data з великою кількістю файлів приводить до вичерпання ресурсів сервера.

• PHP “multipart/form-data” denial of service (деталі)

05.11.2009

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13 та 14.

Ось нова добірка уразливих секюріті сайтів:

• bezpeka.com
• usm.co.ua
• ufsb.kiev.ua

Всім security проектам та компаніям слід приділяти більше уваги безпеці власних сайтів.

20.11.2009

Ще одна добірка уразливих секюріті сайтів:

• www.cctvua.com
• bezpeka.opta.com.ua
• www.ibm.com

Секюріті проектам та компаніям слід приділяти більше уваги безпеці власних сайтів.

В даній добірці уразливості в веб додатках:

• Vulnerability in vsftpd (деталі)
• Multiple vulnerabilities in Sun Calendar Express Web Server (деталі)
• Critical BoF vulnerability found in ffdshow affecting all internet browsers (SVRT-Bkis) (деталі)
• Amaya 11.1 XHTML Parser Buffer Overflow (деталі)
• vBulletin multiple XSS (деталі)
• Joomla Component com_bookjoomlas SQL Injection Vulnerability (деталі)
• Family Connections 1.8.2 Blind SQL Injection (Correct Version) (деталі)
• Openfire: Multiple vulnerabilities (деталі)
• Two buffer overflow vulnerabilities in Rumpus v6.0 (деталі)
• abk-soft AbleSpace CMS 1.0 - Multiple security vulnerabilities (деталі)

Американська влада заявила про розкриття групи хакерів з Естонії, Росії і Молдавії, що за допомогою фальшивих дебетових карток зуміли викрасти більш $9 мільйонів.

У числі підозрюваних - 8 чоловік, у тому числі 5 жителів Естонії, 1 громадянин Росії, 1 житель Молдавії і ще 1 чоловік, про громадянство якого не повідомляється.

Один з підозрюваних естонців - 25-літній Сергій Цуріков вже арештований і очікує рішення про екстрадицію в США. Американська влада не повідомляє, де знаходяться інші підозрювані, вік яких складає від 20 до 33 років.

За даними слідчих, біля року тому зловмисники зуміли проникнути в комп’ютери однієї з ведучих міжнародних платіжних мереж - RBS WorldPay. Ця компанія базується в американській Атланті і є підрозділом шотландського Royal Bank of Scotland.

Як повідомляє американська прокуратура, у листопаді минулого року хакери одержали доступ до даних про рахунки клієнтів RBS WorldPay, після чого виготовили 44 фальшивих дебітових карток. З їхньою допомогою з 2100 банкоматів по усьому світі було протягом 12 годин витягнуто $9,4 мільйонів. При цьому хакери зуміли збільшити максимальний розмір коштів, що банк дозволяє знімати за допомогою тієї чи іншої картки, щоб викрасти ще більше.

Спеціальний агент ФБР Грег Джонс підкреслив, що після пред’явлення обвинувачень “інтернет-злочинці по всьому світі будуть знати, що державні кордони правосуддя не зупиняють”. В обвинувальному висновку сказано, що США будуть домагатися від підозрюваних відшкодування викрадених 9,4 мільйонів доларів.

По матеріалам http://ain.ua.

Виявлені численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні уразливості, що призводять до можливості виконання коду.

• Adobe Shockwave Player Multiple Code Execution Vulnerabilities (деталі)
• Security updates available for Shockwave Player (деталі)

В даній добірці експлоіти в веб додатках:

• TemaTres 1.0.3 (Auth Bypass/SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• 32bit FTP (09.04.24) (Banner) Remote Buffer Overflow Exploit (деталі)
• 32bit FTP (09.04.24) (CWD response) Remote Buffer Overflow Exploit (деталі)
• VIDEOSCRIPT.us (Auth Bypass) SQL Injection Vulnerability (деталі)
• T-Dreams Job Career Package 3.0 Insecure Cookie Handling Vulnerability (деталі)
• TCPDB 3.8 Arbitrary Add Admin Account Vulnerability (деталі)
• Job Script 2.0 Arbitrary Change Admin Password Exploit (деталі)
• Simple Customer 1.3 Arbitrary Change Admin Password Exploit (деталі)
• ST-Gallery 0.1a Multiple SQL Injection Vulnerabilities (деталі)
• Battle Blog 1.25 (uploadform.asp) Arbitrary File Upload Vulnerability (деталі)
• Mortbay Jetty <= 7.0.0-pre5 Dispatcher Servlet Denial of Service Exploit (деталі)
• Luxbum 0.5.5/stable (Auth Bypass) SQL Injection Vulnerability (деталі)
• Realty Web-Base 1.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• The Recipe Script 5 (Auth Bypass) SQL Injection / DB Backup Vulns (деталі)
• glFusion <= 1.1.2 COM_applyFilter()/order sql injection exploit (деталі)