Websecurity - Веб безпека

Виявлені уразливості безпеки в Python.

Уразливі версії: Python 2.7, Python 3.2.

Переповнення буфера в audioop.lin2lin, пошкодження пам’яті в audioop.reverse.

• Multiple vulnerabilities in Python (деталі)

12.09.2009

У січні, 23.01.2009, я знайшов SQL Injection уразливість в coWiki. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про XSS уразливість в coWiki.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

21.07.2010

SQL Injection:

http://site/index.php?node=-1′%20or%20version()%3E’5

Уразливі coWiki 0.3.4 та попередні версії.

Ще коли я в 2007 році повідомив розробникам про XSS дірку, вони відповіли мені, що більше не відтримують даний движок (а цього разу взагалі не відповіли). Тому користувачам даної системи потрібно самотужки виправити цю дірку (як і попередню).

Як можна визначити IP автора е-майл листа? При цьому без використання будь-яких спеціальних методів, таких як зовнішні ресурси (зображення та інші) в html-листі, що можна використати лише для визначення IP отримувача листа. Особливо коли використання даних методів неможливе або недоцільне (зокрема коли потрібно визначити саме IP відправника листа). Для цього можна використати спеціальні серверні заголовки.

Визначити IP автора е-майл листа можна через заголовок X-Originating-IP або X-Sender-IP. Вперше я отримав лист з заголовком X-Originating-IP ще в 2004 році. Так що практика використання даних заголовків існує вже давно.

Формат заголовка X-Originating-IP може бути наступним:

1. Зовнішній IP (коли комп’ютер безпосередньо підключений до Інтернет):

X-Originating-IP: [xxx.xxx.xxx.xxx]

2. Внутрішній та зовнішній IP (коли комп’ютер підключений до Інтернет через інший комп’ютер (по LAN), що виступає в якості проксі):

X-Originating-IP: xxx.xxx.xxx.xxx, xxx.xxx.xxx.xxx via proxy [xxx.xxx.xxx.xxx]

Даний заголовок призводить до витоку як зовнішнього, так і внутрішного IP (тобто IP інтернет-шлюза та IP персонального комп’ютера автора листа).

Формат заголовка X-Sender-IP може бути наступним:

X-Sender-IP: [xxx.xxx.xxx.xxx]

Як показало моє дослідження, один з даних заголовків встановлюється при відправці пошти через наступні сервери: mail.ru (inbox.ru, bk.ru і list.ru), hotmail.com, gmail.com (в тому числі підключений до домена), ukr.net, inet.ua, bigmir.net та i.ua. А також поштові сервери IceWarp Web Mail та Visual Online SMTP gateway і деякі поштові скрипти, що використовуються на деяких сайтах.

Деякі поштові сервери (такі як hotmail.com) вставляють даний заголовок в кожний лист, а деякі (такі як gmail.com) лише в деяких випадках. В моїх дослідженнях Gmail жодного разу не вставляв цей заголовок, хоча я багато разів отримував листи з ящиків на Gmail з даним заголовком.

Так що сховати свій IP при використанні даних поштових серверів не вийде (особливо якщо вони вставляють дані заголовки в усіх листах). Лише використання проксі (якщо це можливо для конкретного сервера) може допомогти. З іншої сторони вищезгадані поштові сервери призводять до витоку приватних даних, що не може сподобатися шанувальникам приватності. І вони повинні врахувати цей аспект при використанні даних серверів.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Dasient Web Anti-Malware. І це ще один конкурент моїй Web VDS.

Компанія Dasient пропонує різні сервіси для захисту від вірусів на веб сайтах, зокрема сканер malware на сайтах та сервіс моніторингу сайтів. А також Infection Library - онлайн бібліотеку шкідливих кодів.

Веб сервіс Dasient Web Anti-Malware (WAM), на відміну від сервісів McAfee SiteAdvisor, Norton Safe Web від Symantec та інших, не надає кешованої інформації про стан сайтів, а проводить безпосереднє сканування сайту на віруси. Тобто за допомогою даного сервісу можна перевірити поточний стан інфікованості веб сайтів. А в бібліотеці шкідливих кодів можна дізнатися про різні malware виявлені даним сервісом.

Щоб скористатися Web Anti-Malware, потрібно зайти на головну сторінку сайта і вказати URL сайта у відповідному рядку, або напряму зайти на сторінку сканування сайта (вказавши URL):

https://wam.dasient.com/wam/info?URL=site.com&scan=1&diagnose=1&prod=19

Можете подитивитися на роботу сервіса на прикладі www.dasient.com:

https://wam.dasient.com/wam/info?URL=www.dasient.com&…prod=19

Зазначу, що на відміну від сервісів інших компаній, даний сервіс вимагає реєстрації для безкоштовного сканування сайта.

В даній добірці уразливості в веб додатках:

• HP ProCurve Threat Management Services zl Module (J9155A), Remote Unauthorized Access, Denial of Service (DoS) (деталі)
• BPstyle - Graphic studio SQL Injection Vulnerabilities (деталі)
• OS Command Injection in Cacti <= 0.8.7e (деталі)
• SQL Injection in Cacti <= 0.8.7e (деталі)
• Novell eDirectory iMonitor “Accept-Language” Buffer Overflow (деталі)
• Jcaptcha vulnerability (деталі)
• Amiro CMS<=5.4.4 PHP injection (деталі)
• XSS in Drupal Better Formats Module (деталі)
• Multiple Vulnerabilities in Cisco Wireless LAN Controllers (деталі)
• Cisco WLC 4402 Denial-of-Service vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://robotazp.com.ua - інфекція була виявлена 18.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://chatel.kharkov.com - інфекція була виявлена 14.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://orienteering.dp.ua - інфекція була виявлена 05.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ivanovvova.com - інфекція була виявлена 10.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://decibel.com.ua - інфекція була виявлена 17.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 раза протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт decibel.com.ua також хостить в себе Укртелеком.

Раніше я вже писав про заражені аддони для Firefox і новий інцидент зі шкідливим плагіном для Firefox - це ще один подібний випадок.

Плагін Mozilla Sniffer, що займається перехопленням і передачею на сторонній сервер паролів користувачів, був завантажений на сайт розширень Firefox 6 червня і до блокування 12 червня був скачаний близько 1800 разів. Mozilla вже оголосила про плани переходу на нову модель поширення плагінів, у рамках якої код усіх розширень буде аналізуватися перед викладанням на сайт.

Що давно потрібно було зробити, бо я ще в 2007 році передбачив можливість розповсюдження інфікованих або зловмисних плагінів та аддонів для браузерів Мозіли через їхній офіційний сайт (не кажучи вже про шкідливі плагіни на сторонніх сайтах). Але Мозіла дійшла до цього лише в 2010 році.

Крім того, виявлена уразливість у популярному плагині CoolPreviews, що дозволяє виконати код на JavaScript c правами локального користувача. Про подібну уразливість в CoolPreviews я вже згадував раніше.

По матеріалам http://bugtraq.ru.

03.12.2009

У квітні, 17.04.2009, я знайшов SQL Injection та Cross-Site Scripting уразливості на проекті http://www.dengi-info.com (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

19.07.2010

SQL Injection:

http://www.dengi-info.com/archive/read.php?iid=-1%20or%20version()=5

http://www.dengi-info.com/news/?nid=-1%20or%20version()=5

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Подібно до використання сайтів для атак на інші сайти через Abuse of Functionality уразливості, через Abuse of Functionality також можна використовувати сайти для розсилки спаму.

Ситуація з розсилкою спаму через сайти подібна до використання сайтів для атак на інші сайти, про що я розповідав в вищезгаданій статті (що зокрема може використовуватися для проведення DoS та DDoS атак). В Інтернеті є чимало подібних уразливостей, про які я писав багато різів, тому чимало сайтів можуть використовуватися для розсилки спаму. Це можна робити через Abuse of Functionality та CRLF Injection уразливості (в даній статті я розповім саме про використанням Abuse of Functionality уразливостей).

Використання Abuse of Functionality для розсилки спаму.

Дослідження даних уразливостей я почав ще в 2007 році, коли виявив подібну уразливість на www.ibm.com. З тих пір я знайшов чимало сайтів з подібними уразливостями, а також уразливих плагінів для популярних веб додатків (що використовуються на багатьох сайтах).

Сайти з відповідними веб додатками, що дозволяють відправляти повідомлення на довільні емайли, або ж мають опцію для відправки копії на власний емайл, і при цьому дозволяють вказати всі необхідні поля, можуть використовуватися для відправки спаму. Це можуть бути як контакті форми, так й інши форми на сайтах.

Створення спам-ботнетів з сайтів.

Подібно до інструментів для проведення DDoS атак через Abuse of Functionality уразливості, як наприклад DAVOSET, так само можуть бути створені інструменти для масової розсилки спаму. Через численні Abuse of Functionality уразливості на багатьох сайтах. Подібні інструменти будуть використовуватися для автоматизованої розсилки спаму через різні уразливі сайти.

Тобто дані уразливості можуть бути використанні для створення спам-ботнетів з серверами-зомбі. Які буть розсилати спам по команді від власника ботнету. При цьому не потрібно буде взламувати сайти, а лише використовувати офіційний функціонал сайтів. І враховуючи, що спам буде розсилатися з серверів відомих компаній, то дуже вірогідно, що дані листи обійдуть спам-фільтри.

Приклади уразливих веб сайтів та веб додатків.

Подібні уразливості наявні на різних сайтах:

• на сайті IBM - www.ibm.com
• на www.delfi.ua
• на www.interface.ru
• на news.yahoo.com

Та в різних плагінах для веб додатків:

• WP-ContactForm для WordPress
• Contact Form ][ для WordPress
• com_alfcontact для Joomla

Враховуючи поширенність Abuse of Functionality уразливостей на сайтах, що дозволяють розсилати спам, та ігнорування адмінами сайтів даної проблеми, вона є актуальною. А враховуючи те, що мережу з таких зомбі-серверів можна створити без зайвого витрачання ресурсів (в тому числі й фінансових), як це має місце в класичних ботнетах, то даний вид ботнетів є дуже вигідним з фінансової сторони. Тому з часом спамери можуть звернути увагу на даний метод розсилки спаму та на даний вид спам-ботнетів.

Виявлена можливість обходу захисту в dotDefender. Раніше я вже писав про XSS уразливість в Applicure dotDefender, а зараз повідомляю про уразливість в даному WAF, що дозволяє обходити захист від XSS.

Можливо обійти захист від міжсайтового скриптінга.

• XSS holes dotDefender (деталі)