Websecurity - Веб безпека

04.03.2010

У серпні, 16.08.2009, я знайшов SQL Injection та Full path disclosure уразливості в плагіні DS-Syndicate для Joomla. Уразливості виявив на одному веб сайті, що використовує даний плагін. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в 3D Cloud для Joomla.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

21.05.2010

SQL Injection:

http://site/index2.php?option=ds-syndicate&version=1&feed_id=-1%20or%20version()=5

Full path disclosure:

http://site/index2.php?option=ds-syndicate&version=1&feed_id=

Вразливі всі версії DS-Syndicate для Joomla. Зазначу, що розробник плагіна більше його не підтримує, тому користувачам плагіна потрібно виправити його самотужки.

Вже після того як я зробив анонс даних уразливостей, я виявив, що ще в 2008 році дана SQLi уразливість була виявлена boom3rang (ще до того як я її виявив в 2009 році). Який оприлюднив її експлоіт на www.milw0rm.com. Так що boom3rang першим знайшов SQLi, а я першим знайшов Full path disclosure в даному плагіні.

До речі, вже після публікації даного опису узраливостей, я виявив нові уразливості в DS-Syndicate, про що напишу окремо.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Recursive Request DoS, RSnake розповідає про рекурсивні DoS атаки. Про свої дослідження в цьому напрямку я вже розповідав в статті Recursive File Include - нове обличчя DoS атак.

В своєму записі New Ban Proposed In UK Against Hacker Tools, RSnake підняв цікаву тему про сайти з хакерськими інструментами. Стосовно протидії сайтам з експлоітами через законодавство (що планувалося зробити в 2008 році в Великобританії).

Це стосується як сайтів, що розповсюджують хакерські інструменти (зокрема експлоіти), так і дірявих сайтів, що були взломані й на яких були розміщені шкідливі коди. Тобто, в Великобританії можуть притягти до кримінальної відповідальності власника взломаного сайта (при прийнятті цього закону).

В своєму записі Browser Security – bolt it on, then build it in, Jeremiah розповідає про ситуацію з безпекою браузерів. Що її стан не дуже добрий (хоча й відбуваються позитивні зрушення).

Він описує ситуацію за станом на листопад 2008 року і зараз в 2010 році ситуація майже не змінилася. Браузери все ще є однією з найбільших проблем в безпеці Інтернету. Що добре видно з виявлених мною DoS уразливостей в Firefox, Internet Explorer, Chrome, Opera та інших браузерах.

Виявлена можливість видалення таблиць в MySQL.

Уразливі версії: MySQL 5.0.

За певних умов, при видаленні (DROP) однієї таблиці MyISAM можуть бути видалені файли, що відносяться до іншої таблиці.

• Vulnerability in MySQL (деталі)

В даній добірці уразливості в веб додатках:

• Check Point Firewall-1 PKI Web Service HTTP Header Remote Overflow (деталі)
• Vulnerability in Roundcube (деталі)
• SQL injection vulnerability in WebAdministrator Lite CMS (деталі)
• jQuery Validate 1.6.0 Demo Code Advisory (деталі)
• Persistent XSS in Microsoft SharePoint Portal (деталі)
• Official Portal 2007 Multiple Vulnerabilities (деталі)
• SQL injection vulnerability in LiveChatNow (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
• XSS in IBM WebSphere Portal & Lotus WCM (деталі)
• ZyXEL G-570S Multiple Vulnerabilities (деталі)

Раніше я вже писав про уразливість в 3D user cloud для Joomla. Така ж уразливість є й у віджеті Flash Tag Cloud для Blogsa та інших ASP.NET движків, що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

У травні, 10.05.2010, я знайшов Cross-Site Scripting уразливість у віджеті Flash Tag Cloud для Blogsa та інших ASP.NET движків. Про що найближчим часом повідомлю розробникам.

XSS:

http://site/Widgets/FlashTagCloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

Також можна провести HTML Injection атаку, в тому числі на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

HTML Injection:

http://site/Widgets/FlashTagCloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Уразливі всі версії Flash Tag Cloud control for ASP.NET та всі версії Flash Tag Cloud для Blogsa та інших ASP.NET движків.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://phys.onu.edu.ua (хакером LiMi’HacK) - 03.05.2010, зараз сайт вже виправлений адмінами
• http://markushi.berdychiv.in.ua (хакером GHoST61) - 17.05.2010, зараз сайт вже виправлений адмінами
• http://balkonu.kiev.ua (хакером TOL) - 13.05.2010, зараз сайт вже виправлений адмінами
• http://skripts.ks.ua (хакером azko) - 08.05.2010, зараз сайт не працює
• http://www.koruna.com.ua (хакером M3QD4D) - 22.04.2010, зараз сайт вже виправлений адмінами

Виявлена можливість проведення DoS атаки проти браузерів Microsoft Internet Explorer, Google Chrome, Opera і Mozilla Firefox.

Уразливі продукти: Microsoft Internet Explorer 8 та попередні версії під Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7, Mozilla Firefox 3.6.3 та попередні версії, Chrome, Opera.

Використання великого буфера в <marquee> приводить до відмови.

• Internet Explorer <= 8 & Mozilla Firefox <= 3.6.3 Crash Exploit (деталі)

Зазначу, що я перевірив даний експлоіт на своїх браузерах. І якщо в Mozilla Firefox 3.0.19, IE6 та Opera 9.52 він працює (Firefox вилітає, а IE6 та Opera підвисають), то в Google Chrome він не спрацавав. Браузер лише трохи помучився з даним експлоітом і відносно швидко зупинив його - вивів повідомлення про проблеми з даною веб сторінкою.

03.11.2009

У березні, 10.03.2009, я знайшов Cross-Site Scripting уразливість на сайті секюріті компанії http://bezpeka.opta.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

19.05.2010

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Розповім вам про новий вид Cross-Site Scripting уразливостей, Local XSS, який я створив у червні 2006 року для кращої класифікації XSS уразливостей, коли знайшов уразливість в Ad Muncher.

Local XSS (Локальний XSS) - це Cross-Site Scripting уразливості в локальному програмному забезпеченні (на компьютері користувача, або в локальній мережі), які приводять до появи XSS уразливостей. Тобто, це такі XSS уразливості, що мають місце не безпосередньо на сайті, а в локальному ПЗ користувача. І які дозволяють атакувати навіть сайти, що можуть і не мати XSS уразливостей.

Зокрема такий вид уразливостей призводить до появи так званих універсальних XSS, що дозволяють проводити атаки на численні сайті, у випадку коли користувач використовує уразливу програму. Прикладами універсальних XSS є UXSS в PDF, уразливість в Ad Muncher та уразливість в XSS Filter в IE8.

Особливості Local XSS.

Local XSS уразливості можуть мати місце в браузерах та в інших програмах, що пов’язані з роботою в Інтернеті. Таких як плагіни для браузерів, проксі сервери, банерорізки (що виконують функцію проксі сервера) та інших.

Дані уразливості мають місце не на сайті, а у користувача на локальному комп’ютері (при використанні уразливої програми), тому адміни сайтів і веб розробники часто ігнорують подібні уразливості. В деяких випадках власники сайтів нічого зробити не можуть по відношенню до даних уразливостей (лише порадити користувачам оновити уразливу програму), в інших випадках власники сайтів можуть використовувати різні захисні методи (як у випадку UXSS в PDF та уразливості в XSS Filter в IE8).

Однією з особливостей Локальних XSS є те, що вони можуть обходити WAF на сайтах (із-за того, що уразливості мають місце в локальному ПЗ користувача, а не на сайті). Тому щоб на веб сайті протидіяти атакам з використанням даних уразливостей, потрібно використовувати не WAF, а спеціальні методи (як у випадку уразливостей в PDF та IE8).

Існує такий клас уразливостей як Cross-zone scripting. Дані уразливості мають місце у бразерах, зокрема в Mozilla Firefox (та інших браузерах на движку Gecko) та в Internet Explorer (та браузерах на движку IE, таких як Sleipnir, Portable Sleipnir, unDonut) та в плагінах (розширеннях, тулбарах) для браузерів.

Cross-zone scripting - це інший вид XSS, ніж Local XSS. Тому дані уразливості не відносяться до Local XSS. Тому що через ці уразливості в браузерах і плагінах до них можна виконати код на компьютері користувача (в локальному контексті), а не на веб сайті (в контексті даного сайту). Тобто через Cross-zone scripting атака відбувається на компьютер користувача (з його поточними правами), а через Local XSS - на веб сайт (з правами даного користувача). Але спільним для обох видів XSS є те, що дані уразливості проявляються в локальному ПЗ користувача.

Різновиди Local XSS.

Бувають наступні види Local XSS:

• Reflected local XSS - найбільш поширений різновид Local XSS.
• Persistent local XSS - це Post Persistent XSS (Saved XSS), тобто даний різновид XSS відноситься одночасно і до Persistent XSS і до Local XSS.
• Strictly social local XSS - даний різновид XSS відноситься одночасно і до Strictly social XSS і до Local XSS.

Про Post Persistent XSS (Saved XSS) підклас Cross-Site Scripting уразливостей я вже писав, а про Strictly social XSS підклас я з часом напишу окрему статтю.

Розглянемо приклади різних видів Local XSS уразливостей.

Reflected local XSS.

Reflected local XSS - це Reflected XSS в локальних додатках.

Прикладами Reflected local XSS є наступні уразливості:

1. Універсальна XSS в PDF, про що я писав в 2007 році. Дану уразливість в Adobe Reader та Acrobat, а також їхніх плагінах до браузерів, виявив і оприлюднив Stefano Di Paola наприкінці 2006 року. Для атаки необхідно було використати pdf-файл на будь-якому сайті, що містить pdf-файл (за виключенням тих, що на стороні сервера подбали про захист від даної атаки).
2. Уразливості в різних плагінах для браузерів, зокрема уразливості в Adobe Flash Player та Adobe Acrobat. Якщо нижчезгадані persistent XSS через Flash та strictly social XSS в мільйонах флеш файлах вважаються Адобом фічою флеша, то вищезгадані reflected XSS Адоб виправив.
3. Cross-Site Scripting через jar: URI в Firefox, яку виявили в 2007 році PDP та Beford.
4. Універсальна XSS уразливість в Ad Muncher, про що я писав в 2010 році. Атака відбувалася при відвідуванні спеціально створених URL, за допомогою чого можна було провести XSS атаку на будь-якому сайті (за виключенням тих випадків, про які розповідається в данному записі).
5. Уразливості в Sidki та Proxomitron, про що Charles Reis, Steven D. Gribble, Tadayoshi Kohno та Nicholas C. Weaver написали в 2008 році. Як вони виявили через рік після мене, в 2007 році, окрім Ad Muncher, також до подібної XSS вразливі Sidki та набір фільтрів Grypen для Proxomitron.
6. Уразливість в Internet Explorer 8 - Eduardo Vela Nava та David Lindsay на початку цього року виявили уразливість в XSS Filter в IE8, що дозволяє проводити XSS атаки на користувачів IE8 на будь-яких сайтах (за виключенням тих, що на стороні сервера подбали про захист від даної атаки).
7. Нова уразливість в Ad Muncher, про що я писав в 2010 році. Атака аналогічна попередній уразливості в Ad Muncher.

Persistent local XSS.

Persistent local XSS - це Persistent XSS в локальних додатках, зокрема це Post Persistent XSS (Saved XSS) уразливості.

Прикладами Persistent local XSS є наступні уразливості:

1. Уразливості в Flash плагіні для браузерів. При завантаженні swf-файлів на сервер з XSS-кодом, можна провести атаку на користувачів, що мають флеш плагін (який мають більше 99% користувачів Інтернет). Як я вже зазначав, Адоб не важає це проблемою безпеки, бо це фіча технології Flash, тому власникам сайтів та веб розробникам потрібно самим займатися безпекою, при дозволі включення флешек (як у випадку уразливості в Invision Power Board) чи дозволі завантаження флешек (як у випадку уразливості в FCKeditor).
2. Уразливості в QuickTime плагіні для браузерів. Зокрема через Media Link в QuickTime при завантаженні файлів (в xml-форматі) з розширенням mp3 на сервер, можна було провести атаку на користувачів, що мають QT плагін (один з популярних плагінів).
3. Cross-Site Scripting уразливість в Internet Explorer, про що я писав в 2007 році. Атака відбувається при збереженні сторінки зі спеціально створеним URL та подальшому відкритті даної сторінки в браузері.
4. Cross-Site Scripting уразливість в Google Chrome, про що я писав в 2008 році. Атака аналогічна до атаки на IE.
5. Cross-Site Scripting уразливість в Opera, про що я писав в 2008 році. Атака аналогічна до атаки на IE та Chrome.
6. Універсальна XSS уразливість в Ad Muncher, про що я писав в 2010 році. В даному додатку можна було провести як Reflected local XSS атаку, так і Persistent local XSS атаку.
7. Нова уразливість в Ad Muncher, про що я писав в 2010 році. Атака аналогічна попередній уразливості в Ad Muncher.

Strictly social local XSS.

Strictly social local XSS - це Strictly social XSS в локальних додатках.

Прикладами Strictly social local XSS є наступні уразливості:

1. Cross-Site Scripting в Mozilla та Firefox, про що я писав в 2007 році. Атака відбувається через gopher протокол. Для проведення XSS атаки необхідно, щоб користувач браузера Mozilla, Firefox або SeaMonkey (чи інших браузерів на движку Gecko) перейшов не спецільно створену сторінку і змінів кодування на UTF-7.
2. Cross-Site Scripting з UTF-7 в Mozilla та Firefox, про що я писав в 2009 році. Атака відбувається через http, https і ftp протоколи (дана уразливість є продовждення попередньої, в якій використовуються нові протоколи).
3. Cross-Site Scripting уразливості в Mozilla та Firefox, про що я писав в 2009 році. Атака відбувається при запиті до location-header редиректора з вказанням JavaScript коду. При запиті браузер виводить сторінку “Object Moved”, де в лінці “here” виводить даний код, при натисканні на яку код спрацює.
4. Через flash плагін для браузерів можливі strictly social XSS уразливості в 8 мільйонах та 34 мільйонах флеш файлах.

Приклад Local XSS.

Найбільш яскравим прикладом Local XSS уразливості є універсальна XSS в Ad Muncher. Суть даної уразливості полягала в наступному.

Уразливість була можлива через те, що програма вказувала поточний URL в тілі поточної сторінки (без фільтрації тегів). Тому при спеціально створеному URL можно було виконати код на будь-якому сайті.

Проведення reflected XSS атаки:

http://www.google.com/webhp?%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

За допомогою даної уразливості можна було провести XSS атаку на будь-який сайт (за виключенням вищезгаданих випадків). Атаку можна було провести, наприклад, через прихований iframe. Причому атака працювала в будь-якому браузері.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах веб брокерів (Рунета та Уанета):

• Підводне каміння в інтернет рекламі або чим небезпечний XSS - моя стаття в журналі Хакер Спец за лютий 2007, в якій я розповів про уразливості в рекламних брокерах clx.ru, www.prospero.ru, procontext.ru, seopoint.ru, mainlink.ru, www.setlinks.ru, adbroker.ru, www.affiliatenetwork.ru, www.link.ru, context.meta.ua та про уразливості в коді систем Бєгун та Яндекс-Директ.
• www.text-link-ads.com
• www.setlinks.ru
• adbroker.ru
• mainlink.ru
• www.realtextads.com
• www.affiliatenetwork.ru
• www.link.ru
• adbroker.ru
• adbroker.ru
• adbroker.ru
• www.link.ru
• glinks.ru
• www.linksmile.com
• prospero.ru
• adtime.ru
• www.linksmile.com
• adbroker.ru

А також згадував про взломані сайти онлайн магазинів в Уанеті:

• www.kana.dp.ua
• www.beba.com.ua
• androgen.com.ua
• www.new-stock.co.ua

Та згадував про інфіковані сайти онлайн магазинів:

• smobile.com.ua
• megabite.com.ua
• skytel.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.