Websecurity - Веб безпека

В своїй презентації Advanced Web Hacking, Shreeraj Shah розповів про просунутий веб хакінг. Про сучасні загрози в Інтернеті для компаній та їхніх клієнтів.

В даній добірці уразливості в веб додатках:

• Cisco Security Advisory: Cisco Security Manager Vulnerability (деталі)
• XSS in Achievo - Customized XSS payload included (деталі)
• SQL Injection in Achievo (деталі)
• HTML Injection in BEA (Oracle) WebLogic Server Console (деталі)
• Snitz Forums 2000 Multiple Cross-Site Scripting Vulnerabilities (деталі)
• [IBM Datapower XS40] Denial of Service (деталі)
• DWebPro allow an invader to execute any program at server side (деталі)
• phpcms 2008 Remote File Disclosure Vulnerability (деталі)
• New bugzilla packages fix SQL injection (деталі)
• Twilight CMS XSS (деталі)

У вересні, 17.09.2009, я знайшов Denial of Service уразливість на проекті http://www.linksmile.com (веб брокер). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.linksmile.com. В тому числі я писав про Insufficient Anti-automation уразливість в капчі на www.linksmile.com. І саме в капчі має місце DoS уразливість.

DoS:

http://www.linksmile.com/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

This is English version of my SQL DB Structure Extraction vulnerabilities article.

There is such variety of Information Leakage vulnerabilities as SQL DB Structure Extraction. This vulnerability lie in that there is information leakage in web application about structure of the database. This information leakage can be of use at SQL Injection attack.

Such vulnerability I found first time already in 2006 (at one site) and gave it this name. Such vulnerabilities I found at many web sites, particularly at bizua.com.ua, zoom.cnews.ru and job.ukr.net. And also in many web applications, particularly in WordPress (many times), W-Agora, Nucleus, Athree CMS (twice) and Abton.

Example of information leakage which occurs at using of one from SQL DB Structure Extraction vulnerabilities in WordPress:

SELECT * FROM wp_posts WHERE 1=1 AND (post_status = "publish" OR post_author = 1 AND post_status != 'draft' AND post_status != 'static') AND post_status != "attachment" AND post_status <> ‘trash’ GROUP BY wp_posts.ID ORDER BY post_date DESC LIMIT -30, 15

In this case important information it is name of table (wp_posts), particularly its prefix (wp), which is using in other tables of WP at vulnerable site.

What is the difference between SQL DB Structure Extraction and SQL Error? Because in both cases there is a message about error at request to database.

There are different messages about error in SQL query (SQL Error):

1. Only a message is showing about error at request to DB without any details. Sometimes at that there can be a message about a script, in which error occurs, including there can be mentioned full path to it at the server, which is Full path disclosure vulnerability. And in other cases there can be no details, only mentioning about error at request to DB.

2. A message is showing about error at request to DB and part of SQL query, in which there is error. In this case, usually, there is no leaked information about structure of DB. But in such cases it’s possible the conduction of XSS attacks via errors at requests to DB.

3. A message is showing about error at request to DB with detailed information about current SQL query (or several queries). When information about structure of DB is leaked - about tables and their fields in DBMS. And this variant is SQL DB Structure Extraction.

So SQL DB Structure Extraction vulnerability - it’s such variant of SQL Error, when error at request to database occurs and at the page (at notification about error at request to DB, or even without such notification) the information about structure of DB is showing.

Виявлена можливість звертання по неініціалізованому вказівнику в Apache mod_isapi.

Уразливі версії: Apache 2.2.

За певних умов відбувається виклик функції за адресою після вивантаження бібліотеки.

• Apache mod_isapi Dangling Pointer Vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• OCS Inventory NG 1.2.1 (systemid) SQL Injection Vulnerability (деталі)
• Joomla Component idoblog 1.1b30 (com_idoblog) SQL Injection Vuln (деталі)
• 2WIRE Gateway Authentication Bypass & Password Reset Vulnerabilities (деталі)
• Gallarific 1.1 (gallery.php) Arbitrary Delete/Edit Category Vuln (деталі)
• Shorty 0.7.1b (Auth Bypass) Insecure Cookie Handling Vulnerability (деталі)
• Gazelle CMS 1.0 Multiple Vulnerabilities / RCE Exploit (деталі)
• Plume CMS 1.2.3 Multiple SQL Injection Vulnerabilities (деталі)
• JBLOG 1.5.1 Remote SQL Table Backup Exploit (деталі)
• EmbedThis Appweb v3.0B.2-4 Multiple Remote Buffer Overflow PoC (деталі)
• TGS CMS 0.x (XSS/SQL/FD) Multiple Remote Vulnerabilities (деталі)

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням www.cnews.ru, Інтернет-шахраї за рік украли $560 мільйонів. Відповідно до нового дослідження, в 2009 р. різного роду Інтернет-злочинці вкрали в користувачів біля $560 мільйонів - це майже в два рази перевищує аналогічний показник 2008 р. Про це говориться в звіті організації Internet Crime Complaint Center (IC3), що підтримується ФБР.

За словами авторів дослідження, у 2009 році IC3 зареєструвала більш 336000 скарг на різні злочини, пов’язані з Інтернетом. Зростання кількості злочинів на 22,3% за рік.

За повідомленням internetua.com, сільський хакер переказував гроші з чужих банківських карток у колонію. На Полтавщині розкрита безпрецедентна для України (як заявляють в МВС) схема крадіжки коштів з банківських карткових рахунків за допомогою веб сайта.

Міліція Полтавщини розкрила раніше невідому схему зняття коштів з особистих рахунків клієнтів банків через Інтернет. Що цікаво, автор цієї схеми використовував зняті з кредиток кошти для поповнення мобільних телефонів в колонії. Ось так, після попереднього разу, знову наша міліція спіймала хакера .

За повідомленням internetua.com, анталітики США знайшли хакера, що атакував пошуковці. Аналітиками США, що працюють в області кібернетичної безпеки, було виявлене джерело, звідки відбувалися атаки на сервери компанії Google. Що мали місце наприкінці грудня - початку січня під час Операції Аврора.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://klitschko.com - сайт братів Кличко - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Хоча, за заявою Гугла, зараз сайт не входить до переліку підозрілих, але на ньому все ще є інфіковані сторінки (по інформації того ж Гугла). Тобто зараз сайт все ж таки входить до переліку підозрілих.
• http://redox.com.ua - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ua-pravda.com - інфекція була виявлена 27.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ua-24.com - інфекція була виявлена 02.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://rupor.info - інфекція була виявлена 21.02.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Cisco Security Advisory: Vulnerabilities in Unified Contact Center Express Administration Pages (деталі)
• PHP-Nuke Module BenchmarkNews SQL Injection (sid) (деталі)
• joomla SQL Injection (com_joomlavvz) (деталі)
• Cisco IOS XSS/CSRF Vulnerability (деталі)
• Cisco IOS Cross-Site Scripting Vulnerabilities (деталі)
• XSS on Cisco IOS HTTP Server (деталі)
• DEDECMS v5.1 Sql Injection Vulnerability (деталі)
• New python-django packages fix denial of service (деталі)
• Pentaho Bi-server multiple vulnerabilities (деталі)
• Eclipse BIRT <= 2.2.1 Reflected XSS (деталі)

Існує такий різновид Information Leakage уразливостей як SQL DB Structure Extraction. Дана уразливість полягає в тому, що у веб додатку має місце витік інформації про структуру бази даних. Даний витік інформації може стати в нагоді при SQL Injection атаці.

Подібну уразливість вперше я знайшов ще в 2006 році (на одному сайті) і дав їй таку назву. Подібні уразливості я знаходив на багатьох веб сайтах, зокрема на bizua.com.ua, zoom.cnews.ru та job.ukr.net. А також у багатьох веб додатках, зокрема в WordPress (неодноразово), W-Agora, Nucleus, Athree CMS (двічі) та Abton.

Приклад витоку інформації, що відбувається при використанні однієї з SQL DB Structure Extraction уразливостей в WordPress:

SELECT * FROM wp_posts WHERE 1=1 AND (post_status = "publish" OR post_author = 1 AND post_status != 'draft' AND post_status != 'static') AND post_status != "attachment" AND post_status <> ‘trash’ GROUP BY wp_posts.ID ORDER BY post_date DESC LIMIT -30, 15

В даному випадку важливою інформацією є назва таблиці (wp_posts), зокрема її префікс (wp), який використовується й в інших таблицях WP на вразливому сайті.

В чому полягає різниця між SQL DB Structure Extraction та SQL Error? Бо в обох випадках виводиться повідомлення про помилку в запиті до бази даних.

Повідомлення про помилку в SQL запиті (SQL Error) бувають різні:

1. Виводиться лише повідомлення про помилку при запиті до БД без жодних деталей. Іноді при цьому може бути повідомлення про скрипт, в якому відбулася помилка, в тому числі може бути вказаний повний шлях до нього на сервері, що є Full path disclosure уразливістю. А в інших випадках може не бути жодних деталей, тільки згадка про помилку при запиті до БД.

2. Виводиться повідомлення про помилку при запиті до БД та частина SQL запиту, в якому є помилка. В даному випадку, зазвичай, інформації про структуру БД не витікає взагалі. Але в подібних випадках можливе проведення XSS атаки через помилки при запитах до БД.

3. Виводиться повідомлення про помилку при запиті до БД з детальною інформацією про даний SQL запит (або декілька запитів). Коли витікає інформація про структуру БД - про таблиці та їх поля в СУБД. Ось цей варіант і є SQL DB Structure Extraction.

Тобто SQL DB Structure Extraction уразливість - це такий варіант SQL Error, коли відбувається помилка при запиті до бази даних і на сторінці (при повідомленні про помилку при запиті до БД, або навіть без даного повідомлення) виводиться інформація про структуру БД.