Архів за Червень, 2010

Нові уразливості на www.w3.org

23:51 26.06.2010

Учора я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на http://www.w3.org - сайті World Wide Web Consortium (W3C). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.w3.org.

Всього вразливі наступні валідатори W3C:

http://www.w3.org/2003/12/semantic-extractor.html
http://www.w3.org/services/tidy
http://validator.w3.org/mobile/
http://www.w3.org/P3P/validator

Abuse of Functionality:

http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http%3A%2F%2Fwww.w3.org%2Fservices%2Ftidy%3FpassThroughXHTML%3D1%26docAddr%3Dhttp%253A%252F%252Fgoogle.com&xslfile=http%3A%2F%2Fwww.w3.org%2F2002%2F08%2Fextract-semantic.xsl
http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http://google.com&xslfile=http%3A%2F%2Fwww.w3.org%2F2002%2F08%2Fextract-semantic.xsl
http://www.w3.org/2005/08/online_xslt/xslt?xmlfile=http%3A%2F%2Fwww.w3.org%2Fservices%2Ftidy%3FpassThroughXHTML%3D1%26docAddr%3Dhttp%253A%252F%252Fgoogle.com&xslfile=http://google.com

http://www.w3.org/services/tidy?docAddr=http://google.com

http://validator.w3.org/mobile/check?docAddr=http://google.com

http://validator.w3.org/p3p/20020128/p3p.pl?uri=http://google.com

http://validator.w3.org/p3p/20020128/policy.pl?uri=http://google.com

Даний функціонал сайта може використовуватися для проведення CSRF атак на інші сайти.

Insufficient Anti-automation:

На даних сторінках відсутній захист від автоматизованих запитів (капча). Що дозволяє автоматизувати проведення CSRF атак на інші сайти.

XSS:

Використання сайтів для атак на інші сайти

22:44 26.06.2010

В минулому році в статті DoS атаки через Abuse of Functionality уразливості я розповів про можливість проведення DoS атак через Abuse of Functionality уразливості на інших сайтах. Зокрема я навів приклади подібних уразливостей на сайтах regex.info та www.slideshare.net. Дані атаки можуть бути як однонаправлені (unidirectional DoS), так і двонаправлені (bidirectional DoS), в залежності від потужностей обох серверів.

Зараз розповім вам про можливість проведення CSRF атак на інші сайти через Abuse of Functionality уразливості. Дослідження даних атак я почав ще в 2007 році, коли виявив подібну уразливість на regex.info.

Використання Abuse of Functionality для атак на інших сайти.

Сайти, які дозволяють робити запити до інших веб сайтів (до довільних веб сторінок), мають Abuse of Functionality уразливість і можуть бути використані для проведення CSRF атак на інші сайти. В тому числі DoS атаки через Abuse of Functionality, як зазначалося вище. CSRF атаки можна робити лише на ті сторінки, що не вимагають авторизації.

Для даних атак можна використати як Abuse of Functionality уразливості (подібні до наведених в даній статті), так і Remote File Include уразливості (як у PHP додатках) - це Abuse of Functionality через RFI.

Даний метод атак може знадобитися, коли необхідно провести приховану CSRF атаку на інший сайт (щоб не засвітитися), для проведення DoS і DDoS атак та для проведення інших атак, зокрема для виконання різних дій, які потрібно зробити з різних IP. Наприклад, при онлайн голосуванні, для накручування показів лічильників та показів реклами на сайті, а також для накручення кліків (click fraud).

Abuse of Functionality:

Атака відбувається при звернені одного сайта (http://site) до іншого (http://another_site) при використані відповідної функції сайта (http://site/script).

http://site/script?url=http://another_site

Переваги даного методу атак.

У даного метода, що використовує зовнішні сайти для атак на інші сайти, є наступні переваги (порівняно з використанням власного комп’ютера):

  • Використання ресурсів інших серверів.
  • Приховання реферера (порівняно з CSRF атаками через користувачів сайтів).
  • Приховання власного IP, що окрім приховання джерела атаки, також може використовуватися для обходу обмежень на IP.
  • Проведення DoS атак на інші сайти, з використанням серверів зовнішніх сайтів.
  • Проведення DDoS атак на інші сайти, з використанням серверів зовнішніх сайтів.

Зазначу, що дану DoS атаку можна використати для атак на редиректори, про які я писав в своїх статтях Пекло редиректорів та Пекельний вогонь для редиректорів.

Також при проведенні DoS атак можна використати одразу декілька таких серверів і таким чином провести DDoS атаку. В такому випадку дані сервери будуть виступати в якості комп’ютерів-зомбі. Тобто бот-мережа буде зроблена не з домашніх комп’ютерів, а з веб-серверів (які можуть мати більші потужності й більш швидкі канали зв’язку). Тому дані уразливості можуть призвести до появи нового класу бот-мереж (з серверами-зомбі).

Приклади уразливих веб сайтів та веб сервісів.

Для проведення CSRF атак на інші сайти можна використати різні сервіси:

1. Онлайн сервіси regex.info та www.slideshare.net.

2. Анонімайзери, такі як anonymouse.org.

3. Онлайн перекладачі на www.google.com, translate.google.com, babelfish.altavista.com та babelfish.yahoo.com.

4. Сервіси для викачки відео з відео-хостингів, такі як keepvid.com.

5. Веб додаток Firebook на всіх сайтах, що його використовують (але потрібно мати доступ в адмінку або проводити CSRF атаку на адміна сайта).

6. W3C валідатори - всього 11 вразливих валідаторів (12 скриптів).

7. Функціонал iGoogle:

http://www.google.com/ig/add?feedurl=http://google.com

Ще 24.07.2008 я звернув увагу, що через Abuse of Functionality та Insufficient Anti-automation уразливості на сайті Гугла, даний функціонал iGoogle може бути використаний для атак на інші сайти.

Сайти для пошуку хешей паролів №2

20:04 26.06.2010

Продовжу розповідати вам про сайти для пошуку хешей паролів.

В Інтернеті існують веб сайти для пошуку sha1 хешей (як й інших хешей). Тобто вони призначені для взлому sha1 хешей, зокрема хешей паролів, щоб по хешу отримати його значення.

До раніше наведених сайтів зверну вашу увагу на наступні:

  • http://rehash.dustinfineout.com (md4, md5, sha1, sha224, tiger128_3, tiger128_4, tiger160_3, tiger160_4, tiger192_3 і tiger192_4 хеші)
  • https://hashcracking.info (MD5, MySQL, MySQL5 і SHA-1 хеші)
  • http://passcracking.ru (MD5, SHA1 і MySQL хеші)
  • http://hashcrack.com (MD5, SHA1, MySQL, NTLM і LanMan хеші)
  • http://www.md5decrypter.co.uk/sha1-decrypt.aspx

В подальшому я продовжу наводити перелік подібних сайтів.

Уразливості на news.yahoo.com

17:20 26.06.2010

27.11.2009

У квітні, 07.04.2009, я знайшов Abuse of Functionality, Insufficient Anti-automation та HTML Injection уразливості на сайті http://news.yahoo.com. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно сайтів компанії Yahoo раніше я вже писав про уразливості на babelfish.altavista.com та babelfish.yahoo.com.

Детальна інформація про уразливості з’явиться пізніше.

26.06.2010

Abuse of Functionality:

http://m2f.news.yahoo.com/mailto/?prop=news&locale=us

В даній формі можна вказати необхідні дані для розсилання спаму. А з врахуванням функції “Send me a copy of this message” та Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.

Insufficient Anti-automation:

http://m2f.news.yahoo.com/mailto/?prop=news&locale=us

В даній формі немає захисту від автоматизованих запитів (капчі).

HTML Injection (Link Injection):

Для обходу захисту, що дозволяє вставляти тільки URL адреси сайтів Яху, використовується редиректор.

Дані уразливості досі не виправлені.

Уразливості на www.w3.org

23:50 25.06.2010

У квітні, 14.04.2008, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на http://www.w3.org - сайті World Wide Web Consortium (W3C). Про що найближчим часом сповіщу адміністрацію сайта.

Тоді я виявив можливість використання W3C валідаторів для проведення CSRF атак на інші сайти (з використанням ресурсів сервера W3C). Раніше я вже писав про використання сервісів regex.info, www.slideshare.net та keepvid.com для проведення CSRF атак на сайти.

Всього вразливі наступні валідатори W3C:

http://validator.w3.org/feed/
http://www.w3.org/2001/03/webdata/xsv
http://validator.w3.org/
http://jigsaw.w3.org/css-validator/
http://validator.w3.org/checklink
http://qa-dev.w3.org/unicorn/
http://www.w3.org/RDF/Validator/

Про інші вразливі валідатори я напишу в іншому записі.

Abuse of Functionality:

http://validator.w3.org/feed/check.cgi?url=http://google.com

http://www.w3.org/2001/03/webdata/xsv?docAddrs=http://google.com&style=xsl

http://validator.w3.org/check?uri=http://google.com

http://jigsaw.w3.org/css-validator/validator?uri=http://google.com

http://validator.w3.org/checklink?uri=http://google.com

Зазначу, що сервіс W3C Link Checker може бути використаний для сканування всього сайту і відповідно найбільше споживає ресурсів, як серверу W3C, так і сайту, що сканується. Це може бути використано для проведення DoS атак на зазначені сервери. Про подібні атаки я писав в статті DoS атаки через Abuse of Functionality уразливості.

http://qa-dev.w3.org/unicorn/check?ucn_uri=google.com&ucn_task=conformance

http://www.w3.org/RDF/Validator/ARPServlet?URI=http://google.com

Даний функціонал сайта може використовуватися для проведення CSRF атак на інші сайти.

Insufficient Anti-automation:

На даних сторінках відсутній захист від автоматизованих запитів (капча). Що дозволяє автоматизувати проведення CSRF атак на інші сайти.

XSS (IE):

Отримання root на Linux

22:47 25.06.2010

Продовжуючи розпочату традицію, після попереднього відео про атаку з використанням Jikto і Blindmap, пропоную новий відео секюріті мануал. Цього разу відео про отримання root на Linux. Рекомендую подивитися всім хто цікавиться цією темою.

linux rooting video

В даному відео ролику демонструється отримання адмінського доступу (root) на Linux сервері. Для даної атаки необхідно мати доступ до файлової системи на веб сервері на Linux. Що може бути зроблено через уразливості (зокрема ті, що дозволяють закачати шел на сервер), про які я багато писав, в тому числі наводив відповідні відео ролики.

Після того, як шел розміщений на сервері, потрібно закачати експлоіт на сервер, відкомпілювати його та запустити. Для підняття своїх прав - з обмеженого акаунту до root. Рекомендую подивитися дане відео для розуміння векторів атак з використанням експлоітів для Linux для підняття прав (elevation of privilege) в системі.

Численні уразливості в Microsoft SharePoint

20:11 25.06.2010

Виявлені численні уразливості безпеки в Microsoft SharePoint.

Уразливі продукти: Microsoft SharePoint Server 2007, InfoPath 2003, InfoPath 2007, SharePoint Services 3.0.

Міжсайтовий скриптінг, витік інформації, відмова в обслуговуванні.

  • Important Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (2028554) (деталі)

Добірка уразливостей

16:06 25.06.2010

В даній добірці уразливості в веб додатках:

  • Important Vulnerabilities in Microsoft ISA Server and Forefront Threat Management Gateway (Medium Business Edition) Could Cause Denial of Service (961759) (деталі)
  • PHP-fusion dsmsf (module downloads) SQL Inj3ct0r Exploit (деталі)
  • phpMyAdmin <= 2.6.1 disclosure ways (деталі)
  • MassMirror Uploader Multiple RFI Exploit (деталі)
  • jevoncms (LFI/RFI) Multiple Vulnerabilities (деталі)
  • Multiple vulnerabilities in several ATEN IP KVM Switches (деталі)
  • CA XOsoft xosoapapi.asmx Multiple Remote Code Execution Vulnerabilities (деталі)
  • CA XOsoft Control Service entry_point.aspx Remote Code Execution Vulnerability (деталі)
  • Security Notice for CA XOsoft (деталі)
  • ASMAX AR 804 gu Web Management Console Arbitrary Shell Command Injection Vulnerability (деталі)

Похакані сайти №101

22:47 24.06.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://banner.ua (невідомими хакерами) - 17.06.2010 - DDoS атака на сайт
  • http://game-monitor.org (хакерами з KS-HACKERS.COM)
  • http://ml.host-ua.org.ua (хакером Kam_06)
  • http://lviv.ukrgo.com (хакерами w01f і Ymer) - 19.06.2010, зараз сайт вже виправлений адмінами
  • http://cek.org.ua (хакером N2N) - 31.05.2010, зараз сайт вже виправлений адмінами

Новини: чуваський хакер, кіберзлочинність в Україні та взлом Antichat

19:04 24.06.2010

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, чуваський хакер виходив в інтернет за рахунок міліції. 22-річний чебоксарець Денис два місяці користувався Інтернетом за рахунок відділу внутрішніх справ Вурнарського району.

Молодий чоловік взламав логіни і паролі та, не соромлячись, скачував музику і фільми за рахунок міліції. У слідчому СКП Чувашії розповіли, що в загальній складності органам внутрішніх справ було завдано шкоди більш ніж на 10 тисяч рублів.

За повідомленням cripo.com.ua (про уразливість на якому я писав),
Кіберзлочинність в Україні обслуговує навіть політиків. Розцінки хакерського ринку. В даній статті, що була опублікована 02.12.2009, наводяться найбільш гучні випадки хакерської активності в минулому році. Про більшість з них я писав в себе в новинах. Та новодяться розцінки хакерського ринку.

За останній рік кількість хакерських атак на українські комерційні, інформаційні та політичні інтернет-ресурси збільшилася вдвічі-втричі. Це за неофіційними оцінками правоохоронних органів. Недержавні ж експерти називають у п’ять-шість разів більшу цифру.

За повідомленням hackzona.com.ua, Antichat.ru знову зламано. В 2007 році даний популярний хакерський ресус вже взламували (про що я тоді прочитав на одному форумі), і ось в цьому році ситуація повторилася.

Знову був взломаний security проект forum.antichat.ru. Дірка була в блозі адміністратора проекту, що працював на WordPress. Через який хакери дісталися до всієї БД проекту.