Websecurity - Веб безпека

В своїй статті Feed Injection in Web 2.0 Robert Auger розповідає про атаки через фіди. Про можливість проведення XSS, CSRF та інших атак через RSS і Atom фіди.

До речі, про файл HackingFeeds.pdf та UXSS уразливість через даний pdf-файл я вже згадував в минулому році .

В статті наводяться можливі вектори атак, зони виконання коду (Remote і Local) та ризики в різних зонах. А також ризики різних типів читачів фідів, можливості поширення коду через фіди та ризики в різних стандартах (RSS і Atom).

З цією темою я знайомий вже давно - як прочитав дану статтю в 2006 році. І хоча інформації про уразливості в браузерах пов’язаних з фідами в останні роки майже не з’являлося (за виключенням двох дірок в Opera), але нещодавно тема атаки через фіди стала знову актуальною. Коли були виявлені уразливості в Opera та Google Chrome, що дозволяють проводити XSS атаки через фіди.

31.08.2009

У січні, 09.01.2009, я знайшов Full path disclosure, Insufficient Anti-automation та Cross-Site Scripting уразливості в SimpGB. Це гостьова книга. Дані уразливості я виявив на сайті zhelem.com. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

14.11.2009

Full path disclosure:

http://site/admin/index.php?lang=1

http://site/admin/pwlost.php?lang=1

http://site/admin/usered.php?lang=1&mode=comment&input_entrynr=44&entrylang=en

Insufficient Anti-automation:

http://site/admin/usered.php?lang=en&mode=comment&input_entrynr=44&entrylang=en

Логін і пароль фіксовані та задані на сторінці.

XSS:

http://site/search.php?searchvalues=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/search.php?category=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі SimpGB V1.37.3 та пепередні версії (і потенційно наступні версії).

В даній добірці експлоіти в веб додатках:

• VisionLMS 1.0 (changePW.php) Remote Password Change Exploit (деталі)
• Quick ‘n Easy Web Server 3.3.5 Arbitrary File Disclosure Exploit (деталі)
• Zubrag Smart File Download 1.3 Arbitrary File Download Vulnerability (деталі)
• S-Cms 1.1 Stable (page) Local File Inclusion Vulnerability (деталі)
• ProjectCMS 1.0b (index.php sn) Remote SQL Injection Vulnerability (деталі)
• Baby Web Server 2.7.2.0 Arbitrary File Disclosure Exploit (деталі)
• eLitius 1.0 (banner-details.php id) SQL Injection Vulnerability (деталі)
• Tiger DMS (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• Leap CMS 0.1.4 (SQL/XSS/SU) Multiple Remote Vulnerabilities (деталі)
• Leap CMS 0.1.4 (searchterm) Blind SQL Injection Exploit (деталі)
• MiniTwitter 0.2b Remote User Options Changer Exploit (деталі)
• MiniTwitter 0.2b Multiple SQL Injection Vulnerabilities (деталі)
• Golabi CMS <= 1.0.1 Session Poisoning Vulnerability (деталі)
• Addonics NAS Adapter FTP Remote Denial of Service Exploit (деталі)
• pecio cms 1.1.5 (index.php language) Local File Inclusion Vulnerability (деталі)

Після того, як я написав про виконання JS-коду в Opera, де йшлося про XSS уразливість в Opera 10 через фіди (RSS і Atom), яку виявив Inferno, я зробив власні дослідження можливості атаки через фіди в різних браузерах. І 03.11.2009 я виявив, що JavaScript-код виконується при перегляді фіда в Opera 9.52 (а не тільки в Opera 10), але зате немає виконання коду в рамках Opera Feed Subscription Page (як у випадку Opera 10). А також я виявив, що JS-код виконується при перегляді фідів (RSS і Atom) в Chrome, тобто має місце Cross-Site Scripting уразливість в Google Chrome.

XSS:

http://securethoughts.com/security/rssatomxss/opera10xss.rss
http://securethoughts.com/security/rssatomxss/opera10xss.atom

Уразлива версія Google Chrome 1.0.154.48 та попередні версії (і потенційно наступні версії).

Перед публікацією даної інформації я вирішив перевірити, чи не знаходили вже раніше дану уразливість. І виявилося, що Inferno про це вже написав раніше - Exploiting Chrome and Opera’s inbuilt ATOM/RSS reader with Script Execution and more. Він виявив і оприлюднив дану уразливість у вересні, ще перед своїм описом вищезгаданої уразливості в Opera.

За його інформацією, уразливі всі версії Chrome 2 і 3 (до 3.0.195.21), та всі версії Opera 9 і 10.

В себе на сторінці Security Bookmarklets RSnake розмістив цікаві секюріті буркмарклєти. Які можуть стати в нагоді для фахівців в галузів веб безпеки. Буркмарклєти призначені для браузера Firefox (але деякі з них працюють і в старій Mozilla).

Доступні наступні інструменти для вашого браузера:

• zoom images in та zoom images out
• linked images
• increment та decrement
• numbered list
• Yahoo site search
• methodToggle
• Edit Cookies
• Find Redirects
• Alexa

Сам я букмарклєтами особливо не користуюся (ні цими, ні взагалі), але комусь вони можуть стати в нагоді . Тим паче серед даного переліку букмарклєтів є деякі цікаві й зручні. Я ж полюбляю для деякої оптимизації роботи використовувати плагіни до браузеру. Зокрема такі корисні речі, що роблять methodToggle і Edit Cookies, я вже давно роблю в браузері через відповідні й зручні плагіни.

Виявлена закладка в Apache Tomcat для Windows.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0.

При установці створюється обліковий запис admin з порожнім паролем.

• CVE-2009-3548 Apache Tomcat Windows Installer insecure default administrative password (деталі)

В даній добірці уразливості в веб додатках:

• Cisco Security Advisory: Transport Layer Security Renegotiation Vulnerability (деталі)
• OpenCart Order By Blind SQL Injection (деталі)
• CPANEL File Manager XSS Vulnerability (деталі)
• GStreamer Base Plugins vulnerability (деталі)
• Vulnerability in GnuTLS (деталі)
• Sitecore .NET 5.3.x - web service information disclosure (деталі)
• chaozzDB <= 1.2 Critical File Disclosure Vulnerability (деталі)
• FubarForum <= 1.6 Critical File Disclosure Vulnerability (деталі)
• FireAnt <= 1.3 Critical File Disclosure Vulnerability (деталі)
• HP Service Manager (HPSM) Gain Extended Privileges (деталі)

Продовжуючи розпочату традицію, після попереднього відео про XSS та HTML Injection атаки в ICQ 6, пропоную новий відео секюріті мануал. Цього разу відео про те, як зробити файл таким, що не виявляється антивірусами. Рекомендую подивитися всім хто цікавиться цією темою.

How to Make File Undetected by AVs

В даному відео ролику демонструється методика створення такого файлу з вірусом, що не виявляється антивірусами. Зокрема ця методика дозволяє обійти сигнатурні методи пошуку вірусів. Даний підхід може застосовуватися і для проведення атак через Інтернет. Рекомендую подивитися дане відео для розуміння методів обходу антивірусів.

Розробниками Mozilla в жовтні був представлений перший робочий прототип браузера Firefox, в якому вони реалізували технологію CSP (Content Security Policy). Вони додали засоби захисту від атак через організацію міжсайтового скриптінга (XSS), підстановку в сторінки блоків “Iframe/JavaScript src” чи приховане виконання користувачем дій на зовнішньому ресурсі.

З механізмом роботи і можливостями технології можна ознайомитися на сторінці Content Security Policy Demo.

Специфікація CSP додала новий HTTP-заголовок. З його допомогою web-розробник може явно вказувати які зі скриптів можна виконувати для заданого домена.

По матеріалам http://acrossnet.net.

В даній добірці експлоіти в веб додатках:

• Photo-Rigma.BiZ v30 (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• dWebPro 6.8.26 (DT/FD) Multiple Remote Vulnerabilities (деталі)
• Teraway LinkTracker 1.0 Remote Password Change Exploit (деталі)
• Teraway LiveHelp 2.0 Insecure Cookie Handling Vulnerability (деталі)
• Teraway FileStream 1.0 Insecure Cookie Handling Vulnerability (деталі)
• Teraway LinkTracker 1.0 Insecure Cookie Handling Vulnerability (деталі)
• Flatchat 3.0 (pmscript.php with) Local File Inclusion Vulnerability (деталі)
• ECShop 2.5.0 (order_sn) Remote SQL Injection Vulnerability (деталі)
• EZ-Blog Beta2 (category) Remote SQL Injection Vulnerability (деталі)
• Thickbox Gallery v2 (index.php ln) Local File Inclusion Vulnerability (деталі)
• DEW-NEWphpLinks 2.0 (LFI/XSS) Multiple Remote Vulnerabilities (деталі)
• ABC Advertise 1.0 Admin Password Disclosure Vulnerability (деталі)
• Belkin Bulldog Plus HTTP Server Remote Buffer Overflow Exploit (деталі)
• webSPELL <= 4.2.0d Local File Disclosure Exploit (.c linux) (деталі)
• MIM: InfiniX 1.2.003 Multiple SQL Injection Vulnerabilities (деталі)