Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про створення ActiveX експоіта в Metasploit, пропоную новий відео секюріті мануал. Цього разу відео про атаку на акаунт Yahoo!. Рекомендую подивитися всім хто цікавиться цією темою.

A Post-mortem of Yahoo! Account Security

В даному відео ролику демонструється використання уразливості в створенні кукісів в акаунті Yahoo. За допомогою спеціальної програми генеруються кукіси для необхідного логіна, після чого можна отримати Yahoo ID даного користувача (без знання паролю) і відповідно доступ до усіх сервісів Yahoo! (під даним логіном), включаючи веб версію Yahoo! IM та Yahoo! Mail. Рекомендую подивитися дане відео для розуміння подібних атак.

В даній добірці уразливості в веб додатках:

• CakeCMS XSRF Vulnerability (деталі)
• Pivot 1.40.4-7 - Multiple Vulnerabilities (деталі)
• SkyBlueCanvas 1.1 r237 - Multiple Vulnerabilities (деталі)
• TBDev 01-01-2008 - Multiple Vulnerabilities (деталі)
• transLucid 1.75 - Multiple Vulnerabilities (деталі)
• Webmedia Explorer - XSS Vulnerability (деталі)
• Cisco uBR10012 Series Devices SNMP Vulnerability (деталі)
• Cisco Unified Communications Manager Session Initiation Protocol Denial of Service Vulnerabilities (деталі)
• Cisco 10000, uBR10012, uBR7200 Series Devices IPC Vulnerability (деталі)
• Cisco IOS IPS Denial of Service Vulnerability (деталі)

На державних сайтах (gov-сайтах) часто використовуться флеш файли. І у даних флешках можуть бути уразливості, зокрема Cross-Site Scripting уразливості.

Я вже писав про XSS уразливості в tagcloud.swf на gov та gov.ua, де наводив приклади уразливих флешек на державних сайтах України та інших країн. А зараз я більш детально розповім вам про мої дослідження уразливостей у флешках на державних сайтах в Інтернеті.

В своїй статті XSS уразливості в 8 мільйонах флеш файлах я наводив дані про приблизно 12675 уразливих флешек на gov-сайтах (та навів приклад уразливої флешки на www.fatherhood.gov). Зараз Google повідомляє про приблизно 12702 уразливих флешек. Це флеш банери, що використовуються на gov-сайтах. З них жодного флеш банера Гуглом на виявлено на gov.ua-сайтах.

В своїй статті XSS уразливості в 34 мільйонах флеш файлах я наводив дані про приблизно 273000 уразливих флешек на gov-сайтах. Зараз Google повідомляє про приблизно 305000 уразливих флешек. Це файли tagcloud.swf, що використовуються на державних сайтах. З них на українських державних сайтах розміщено як мінімум 8 tagcloud.swf файлів на восьми сайтах (про сім з яких я вже розповідав).

Всього по даним двом типам флеш файлів (банери і tagcloud.swf) в Інтернеті наявно 317702 флешек на державих сайтах різних країн, які уразливі до XSS та HTML Injection атак. З них в Уанеті як мінімум 8 флешек на восьми gov.ua-сайтах.

15.08.2009

У грудні, 13.12.2008, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://e-mail.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на search.ua - пошуковій системі даного порталу.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.01.2010

XSS:

POST запит на сторінці http://e-mail.ua/passport/reg/
" style="xss:expression(alert(document.cookie))В полях: Фамилия, Имя, Город, Ответ на вопрос.

Insufficient Anti-automation:

http://e-mail.ua/passrem/

Немає капчі.

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• AlumniServer 1.0.1 (resetpwemail) Blind SQL Injection Exploit (деталі)
• AlumniServer 1.0.1 (Auth Bypass) SQL Injection Vulnerability (деталі)
• MyFusion 6b settings[locale] Local File Inclusion Vulnerability (деталі)
• MD-Pro 1.083.x Survey Module (pollID) Blind SQL Injection Vulnerability (деталі)
• Mega File Manager 1.0 (index.php page) LFI Vulnerability (деталі)
• ForumPal FE 1.1 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• PHP-Address Book 4.0.x Multiple SQL Injection Vulnerabilities (деталі)
• Virtue Online Test Generator (AB/SQL/XSS) Multiple Vulnerabilities (деталі)
• osTicket 1.6 RC4 Admin Login Blind SQL Injection Vulnerability (деталі)
• (POST var ‘rating’) BLIND SQL INJECTION microTopic v1 Initial Release (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://7seas-tour.com.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://boxnews.com.ua - інфекція була виявлена 04.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://elit-design.org.ua - інфекція була виявлена 02.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://kite.mk.ua - інфекція була виявлена 08.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 21 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://uletno.org.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

01.12.2009

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14 та 15.

Ось нова добірка уразливих секюріті сайтів:

• opencrack.hashkiller.com
• md5.turhu.us
• www.frikinet.com

Всім security проектам слід приділяти більше уваги безпеці власних сайтів.

11.01.2010

Ще одна добірка уразливих секюріті сайтів:

• rehash.dustinfineout.com
• www.shram.kiev.ua (хакерський сайт)
• www.bakotech.com.ua

Секюріті компаніям та хакерським проектам варто більше слідкувати за безпекою власних сайтів.

В даній добірці уразливості в веб додатках:

• Advisory for Oracle CPU October 2008 - APEX Flows excessive privileges (деталі)
• Oracle PeopleTools – Authentication Weakness (деталі)
• Oracle DBMS – Proxy Authentication Vulnerability (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES S-CMS <= v-2.0 Beta3 (деталі)
• (Post Form var ‘username’) BLIND SQLi exploit S-CMS <= v-2.0 Beta3 (деталі)
• (Post Form login var ‘username’) BLIND SQLi exploit Open Biller 0.1 (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES Splog <= v-1.2 Beta (деталі)
• Cross-site scripting (XSS) vulnerability in Avaya Communications Manager (деталі)
• Multiple Vulnerabilities in TorrentTrader Classic 1.09 (деталі)
• SugarCRM 5.2.0e Remote Code Execution (деталі)

Раніше я вже писав про XSS уразливість в WP-Cumulus. Така ж уразливість є і в Blogumus (віджеті для Blogger), що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

Учора, 08.01.2010, я знайшов Cross-Site Scripting уразливість в Blogumus. Про що найближчим часом повідомлю розробнику.

На відміну від WP-Cumulus та інших плагінів, що використовують tagcloud.swf, осибливістю Blogumus є те, що він використовує один єдиний tagcloud.swf, розміщений на одному сервері. Відповідно атаки відбуваються лише через цей сервер, що зменшує ризик для користувачів даного віджету, а також спрощує процес виправлення уразливостей.

XSS:

http://halotemplates.s3.amazonaws.com/wp-cumulus-example/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

• alert(document.cookie)
• цікавий
• html включення

В грудні в своїй статті XSS уразливості в 8 мільйонах флеш файлах я писав, що в Інтернеті є до 34000000 флешек tagcloud.swf потенційно вразливих до XSS атак. Враховучи, що мало хто звернув увагу в попередній статті на мою згадку про ще 34 мільйони вразливих флешек, то я вирішив написати про це окрему статтю.

Файл tagcloud.swf розроблений автором плагіна WP-Cumulus для WordPress і постачається з даним плагіном для WordPress, а також з іншими плагінами, зокрема Joomulus і JVClouds3D для Joomla та Blogumus для Blogger. Враховуючи поширеність даного флеш файла, зазначу, що це найбільш поширена флешка в Інтернеті з XSS уразливістю.

Поширенність проблеми.

Взразливих файлів tagcloud.swf в Інтернеті дуже багато (за даними Google):

filetype:swf inurl:tagcloud.swf

Якщо 18.12.2009 результатів було приблизно 34000000, то зараз результатів приблизно 32500000. І це лише флеш файли проіндексовані Гуглом, а реально їх може бути набагато більше.

Тобто є приблизно 32,5 мільйони сайтів з файлом tagcloud.swf вразливих до XSS та HTML Injection атак.

З них приблизно 273000 gov-сайтів вразливих до XSS та HTML Injection атак.

Уразливості в swf-файлі.

Файл tagcloud.swf вразливий до XSS та HTML Injection атак через параметр tagcloud.

XSS:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

HTML Injection:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

HTML Injection атаку можна провести зокрема на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

Приклади уразливих сайтів.

Приклади уразливих сайтів з даним swf-файлом я наводив в записі XSS уразливості в tagcloud.swf на gov та gov.ua.

Так що флеш девелоперам варто слідкувати за безпекою своїх флешек. А власникам сайтів з уразливими флешками (зокрема tagcloud.swf) потрібно або самим їх виправити, або звернутися за цим до їх розробників.