Websecurity - Веб безпека

Виявлена можливість проведення DoS атаки і витоку інформації в Apache Tomcat.

Уразливі версії: Apache Tomcat 5.5, Tomcat 6.0, Tomcat 7.0.

Декілька проблем з обробкою заголовка Transfer-Encoding.

• Apache Tomcat Remote Denial Of Service and Information Disclosure Vulnerability (деталі)

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це MalwareURL. І це ще один конкурент моїй Web VDS.

Даний сервіс призначений для захисту від вірусів на веб сайтах. Пошук по базі сервісу можна виконувати як по домену, так і по IP.

Веб сервіс MalwareURL подібний сервісам McAfee SiteAdvisor, Norton Safe Web від Symantec та іншим сервісам. За допомогою даного сервісу можна перевірити стан інфікованості веб сайтів.

Щоб скористатися MalwareURL, потрібно зайти на сторінку Website status verification і вказати URL або IP у відповідному рядку. А також ввести капчу (на відміну від багатьох інших сервісів, на даному сервісі є захист від автоматичних запитів у вигляді капчі). Але можна зайти на спеціальну сторінку зі статистикою по сайту, тим самим обійшовши капчу .

Можете подитивитися на роботу сервіса на прикладі www.malwareurl.com:

http://www.malwareurl.com/listing.php?domain=www.malwareurl.com

Зазначу, що в MalwareURL недостатньо велика база перевірених сайтів - вона значно менша ніж у Safe Browsing Гугла. Якщо сайтів які є наразі інфікованими в даній БД стільки ж як і у Google, то інформації по сайтам, що раніше були інфікованими, вже немає.

В даній добірці уразливості в веб додатках:

• Численні уразливості безпеки в lcms (деталі)
• Openreglement 1.04 (RFI/LFI) Multiple File Include Vulnerability (деталі)
• Apple Safari - Null pointer dereference (деталі)
• Apple Safari - Information disclosure (деталі)
• < Safari 3.2.3 Arbitrary Code Execution + PoC (деталі)
• Apple Safari <v4 Remote code execution (деталі)
• Madirish Webmail 2.01 (basedir) RFI/LFI Vulnerability (деталі)
• A XSS in User_ChkLogin.asp of PowerEasy 2006 (деталі)
• SmodCMS ‘config.php’ Arbitrary File Upload Vulnerability (деталі)
• phpegasus ‘config.php’ Arbitrary File Upload Vulnerability (деталі)

Виявлена уразливість міжсайтового скриптінгу в Microsoft SharePoint Server.

Уразливі версії: Microsoft Sharepoint 2007.

Міжсайтовий скриптінг в help.aspx.

• XSS in Microsoft SharePoint Server 2007 (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://childrenofchornobyl.org - інфекція була виявлена 29.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://kloun.net - інфекція була виявлена 25.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://tipsyking.com - інфекція була виявлена 12.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://avmarket.com.ua - інфекція була виявлена 13.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://chasy.com.ua - інфекція була виявлена 08.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

05.12.2009

У квітні, 17.04.2009, я знайшов SQL Injection, Full path disclosure та Cross-Site Scripting уразливості на сайті http://adamant.ua (зокрема http://advert.adamant.ua). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно проектів компанії Адамант раніше я писав про уразливість на holms.adamant.ua.

Детальна інформація про уразливості з’явиться пізніше.

12.07.2010

SQL Injection:

http://advert.adamant.ua/www/delivery/ac.php?bannerid=-1%20or%20version()%3E4

Full path disclosure:

http://advert.adamant.ua/www/delivery/fc.php?MAX_type=1

XSS:

http://advert.adamant.ua/www/delivery/fc.php?MAX_type=%3CBODY%20onload=alert(document.cookie)%3E

Дані уразливості вже виправлені (за рахунок оновлення движка).

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, сайт Саратовської прокуратури взломаний хакерами. Офіційний сайт прокуратури Саратовської області був взломаний хакерами із-за кордону, повідомили в інформаційному центрі Національного антитерористичного комітету (НАК).

За повідомленням www.3dnews.ru, Китай уступив США і Росії першість по числу шкідливих серверів. По числу мережевих ресурсів зі зловмисним кодом Китай поступився першістю Сполученим Штатам Америки і Росії. До такого висновку прийшли експерти “Лабораторії Касперского”, що опублікували звіт “Розвиток інформаційних загроз у першому кварталі 2010 року”.

Усього за звітний період фахівцями з інформаційної безпеки було виявлено більш 119 мільйонів шкідливих сайтів, з яких 27,57% розташовувалися на території США, 22,59% - Росії і тільки 12,84% - Китаю. Наприкінці минулого року ситуація була іншою: 32,8% сайтів зі шкідливими програмами розміщалися в Китаї, 25,03% - США, 11,73% - Нідерландах і 7,97% - Росії. Зазначу, що у першому кварталі 2010 року Україна посідала 9 місце з 1,35% шкідливих сайтів.

За повідомленням hackzona.com.ua, за взлом сторінки на “Однокласниках” хакер заплатить 240 тисяч рублів. Суд Сормовського району Нижнього Новгорода засудив хакера, який розмістив в Інтернеті непристойні пропозиції від імені своєї знайомої, до виплати штрафу у розмірі 240 тисяч рублів.

Для привернення більшої уваги до проблеми описаної в статті Використання сайтів для атак на інші сайти, я провів додаткові дослідження. Для оцінки легкості, зручності та ефективності проведення атак на сайти через використання інших сайтів. Зокрема DoS та DDoS атак, про які я писав у вищезгаданій статті. Щоб показати, що дані атаки не є лише моїм припущенням, але їх цілком реально, легко і зручно проводити (і вони мають достатню ефективність).

Можливі наступні види DoS та DDoS атак з використанням даного методу:

1. DoS атака з використанням іншого сайту в якості проксі.
2. DoS атака з використанням іншого сайту в якості нападника.
3. DDoS атака з використанням багатьох інших сайтів в якості серверів-зомбі.

Якщо з першим двума видами атак все відносно просто і їх відносно легко проводити (в першому випадку лише потрібно знайти DoS уразливість на сайті, а в другому - великий файл на сайті), то з третьою атакою з використанням серверів-зомбі все більш складніше. Бо потрібно знайти відповідні Abuse of Functionality уразливості на багатьох сайтах та створити ботнет з серверів-зомбі. І щоб продемонструвати реальність даних атак я розробив спеціальну програму, про яку розповім в даній статті.

DoS атака з використанням іншого сайту в якості проксі.

http://www.google.com/ig/add?feedurl=http://site/script?p=benchmark(100000,md5(now()))

В цьому випадку використовується DoS уразливість на сайті http://site (в даному випадку DoS через SQL Injection), для проведення атаки через сайт Гугла (через функціонал iGoogle).

DoS атака з використанням іншого сайту в якості нападника.

http://www.google.com/ig/add?feedurl=http://site/big_file

При наявності великого файлу на сайті http://site можна провести DoS атаку на нього через сайт Гугла, вказавши в iGoogle адресу цього файлу. І якщо зробити серію таких запитів до iGoogle, сервер Гугла перенавантажить своїми запитами сервер, що атакується.

DDoS атака з використанням багатьох інших сайтів в якості серверів-зомбі.

Для дослідження ефективності даних атак я розробив програму для проведення DDoS атак через використання інших сайтів. Яку я назвав DDoS attacks via other sites execution tool (DAVOSET). Це інструмент для проведення DDoS атак через Abuse of Functionality уразливості на сайтах.

Для атаки в DAVOSET потрібно вказати лише адресу сайта, що атакується (http://site), або великого файлу на цьому сайті (http://site/big_file) чи DoS уразливості на ньому. Після чого всі зомбі-сервери зі списку заданого в програмі атакують вказаний сайт і перенавантажать сервер.

Для дослідження я використав 20 зомбі-серверів - це 20 онлайн сервісів, що мають Abuse of Functionality уразливості, що розміщені на 10 фізичних серверах (деякі з цих сервісів розміщені на одному сервері, а також є випадки використання декількох різних уразливих скриптів чи різних уразливостей в одному скрипті одного сервіса). Для тестування були вибрані два невеликих сайти на двух не дуже потужних серверах (враховуючи невелику кількість зомбі-серверів в ботнеті).

Для першого сайта: в результаті атаки завантаження головної сторінки даного сайта зросло в середньому на 21,19% - з 4,72 с. до 5,72 с. Тобто сайт став тормозити на короткий час. І це лише при 20 зомбі-серверах.

При цьому результати роботи DAVOSET наступні (за один запуск): час 0:05, запитів 20, байт відправлено 3068. Тобто невеличкий об’єм трафіку використаного програмою призвів до значно більшого об’єму трафіку на сервер, що атакується. При циклічному запуску програми (наприклад, кожні 5 секунд) та при більшій кількості зомбі-серверів, можна повністю заблокувати роботу даного серверу.

Для другого сайта: в результаті атаки завантаження головної сторінки даного сайта зросло в середньому на 1677% - з 2,21 с. до 39,28 с. (і на 3465% - до 78,80 с. при повторному тестуванні через пів години). І це лише при 20 зомбі-серверах.

При цьому результати роботи DAVOSET наступні (за один запуск): час 0:03, запитів 20, байт відправлено 3368. Зазначу, що другий сервер після запуску декількох атак (для підрахунку середнього значення) починав не просто сильно тормозити, а взагалі підвисав майже на пів години. Так що навіть невелика DDoS атака з 20 зомбі-серверами може надовго підвисити сервер.

Враховуючи поширенність Abuse of Functionality уразливостей на сайтах, що дозволяють атакувати інші сайти, та ігнорування адмінами сайтів даної проблеми, вона є актуальною. А враховуючи те, що мережу з таких зомбі-серверів можна створити без зайвого витрачання ресурсів (в тому числі й фінансових), як це має місце в класичних ботнетах (де потрібно створювати трояни та експлоіти, що будуть їх завантажувати на ПК користувачів, а також потрібно поширювати дані експлоіти та пітримувати зомбі-мережу), то даний вид ботнетів є дуже вигідним з фінансової сторони. Тому даний метод атак може стати поширеним в найближчій перспективі.

В даній добірці уразливості в веб додатках:

• Artofdefence Hyperguard Web Application Firewall: Remote Denial of Service (деталі)
• CSRF in e107 (деталі)
• Vbulletin - Two-Step External Link XSS (деталі)
• Genera CMS Macro Web Media XSS Vulnerability (деталі)
• IBM Tivoli Storage Manager Remote Agent Service Buffer Overflows (деталі)
• Openregistrecil 1.02 (RFI/LFI) Multiple File Include Vulnerability (деталі)
• phpBB2 Portal Mod XSS Vulnerability (деталі)
• DBSite w/b CMS Multiple XSS Vulnerability (деталі)
• Southern-Suzuki (Auth Bypass) Remote SQL Injection (деталі)
• Пошкодження пам’яті в Apple iPhone (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Buffer overflow
• Buffer overflow protection
• Clear Channel Assessment attack
• Code injection
• Common Vulnerabilities and Exposures