Архів за Серпень, 2010

Зворотний шлях у панелі адміністрування Adobe Coldfusion

18:07 23.08.2010

Виявлені Directory Traversal уразливості у панелі адміністрування Adobe Coldfusion.

Уразливі версії: Adobe ColdFusion MX 7.0, ColdFusion MX 8.0.

Численні можливості зворотного шляху в каталогах.

  • Unauthenticated File Retrieval (traversal) within ColdFusion administration console (деталі)

Уразливості на www.md5this.com

15:21 23.08.2010

28.12.2009

У травні, 03.05.2009, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на секюріті проекті http://www.md5this.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.08.2010

XSS:

POST запит на сторінці http://www.md5this.com/crack-it-/index.php
<script>alert(document.cookie)</script>В полі для md5 хеша (якщо правильно ввести капчу).

XSS через GET (з обходом капчі):

Insufficient Anti-automation:

http://www.md5this.com/crack-it-/index.php

Капча на даній сторінці вразлива до MustLive CAPTCHA bypass method. Її можна обійти використовуючи одні і тіж коректні значення mathguard_code і mathguard_answer (одна пара код-відповідь працює тривалий час).

Дані уразливості досі не виправлені.

XSS уразливість в WordPress 3.0.1

23:50 14.08.2010

Нещодавно була оприлюднена Cross-Site Scripting уразливість в WordPress. Уразливі WordPress 3.0.1 та попередні версії.

Використовуючи дану уразливість можна провести XSS атаку на адміна. Але зазначу, що для атаки потрібно знати токен (_wpnonce), призначений для захисту від CSRF атак (який є в WP 2.9.2 та попередніх версіях), тому реально використати дану XSS буде важко.

До речі, під час проекту День багів в WordPress 2 я розповів про уразливість в плагіні WordPress Database Backup, що потенційно може працювати з WP 3.0 та 3.0.1, тому вона також може торкнутися користувачів останньої версії движка.

  • WordPress 3.0.1 - Cross Site Scripting Issue (деталі)

Зазначу, що версії WordPress 2.0.x невразливі, бо в них немає даного функціоналу. Зате, як я перевірив, вразливі версії 2.7 - 2.9.2 (так само як і у випадку версій 3.0 та 3.0.1). Також вразлива WP 2.6.2, але там атаку потрібно робити по іншому (зовсім інший запит), причому можливий тільки POST запит (при тому, що в WP 2.7 і вище можливі як GET, так і POST запити). В WP 2.6.x даний функціонал по іншому реалізований. Додам, що досліджуючи дану дірку я виявив багато інших дірок в цьому функціоналі, про що я напишу окремо ;-) .

Також зазначу, що дослідник який знайшов цю дірку заявив, що атака відбувається через параметер checked[0] в скрипті wp-admin/plugins.php, коли параметер action рівний delete-selected. Як я перевірив, XSS код можна вказувати як в checked[0], так і в checked[1] і т.д., а також в checked[]. До того ж, в WP 2.8 - 2.9.2, 3.0 та 3.0.1 можна вказувати як action рівний delete-selected, так і action2 рівний delete-selected, а в версіях 2.7.х можна використати тільки action.

Найкращі 10 веб хаків (2009)

22:48 14.08.2010

В своїй презентації 2010: A Web Hacking Odyssey - Top Ten Hacks of the Year, Jeremiah Grossman розповідає про найкращі 10 веб хаків 2009 року. Раніше я вже писав про Найкращі веб хаки 2009 року і в своїй презентації Джеремія детально розповідає про десятку найкращих веб хаків.

Численні уразливості в Adobe Flash Player

19:28 14.08.2010

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі продукти: Adobe Flash Player 9.0, Flash Player 10.1, AIR 2.0.

Численні пошкодження пам’яті.

  • Adobe Flash Player LocalConnection Memory Corruption Remote Code Execution Vulnerability (деталі)
  • Security update available for Adobe Flash Player (деталі)

Добірка уразливостей

15:05 14.08.2010

В даній добірці уразливості в веб додатках:

  • Vulnerability in libneon 0.27 (деталі)
  • SQL injection vulnerability in 360 Web Manager (деталі)
  • New devscripts packages fix remote code execution (деталі)
  • Multiple Vulnerabilities in BigAce - Bkis (деталі)
  • clearsite Remote File Include Vulnerability (деталі)
  • SQL injection in OSCommerce Add-On Visitor Web Stats (деталі)
  • Web Online Games (game.php) Multiple Vulnerabilities (деталі)
  • Ipswitch WS_FTP 12 Professional Remote Format String 0day PoC (деталі)
  • Groone’s Simple Contact Form (abspath) Remote File Inclusion Vulnerability (деталі)
  • SQL injection vulnerability in ImpressPages CMS (деталі)

DoS в Firefox, Internet Explorer, Chrome та Opera через різні протоколи

23:59 13.08.2010

Раніше я розповідав про DoS атаки на різні браузери через різні обробники протоколів. А зараз в якості заверешення даного дослідження я наведу інформацію про DoS атаку через ще 7 протоколів.

Зараз повідомляю про DoS в різних браузерах через протоколи view-source, hcp, irc, snews, skype, skype-plugin і shell. В травні, 26.05.2010, я виявив Denial of Service уразливості в Mozilla Firefox, Internet Explorer, Google Chrome та Opera.

Вони відноситься до типу вибиваючих DoS, блокуючих DoS та DoS через споживання ресурсів. Дані атаки можна провести як з використанням JS, так і без нього (створивши сторінку з великою кількістю iframe).

DoS:

Firefox, IE & Opera DoS Exploit2.html (в Firefox, IE6 та Opera відбувається споживання ресурсів, в IE8 не працює).

IE & Opera DoS Exploit2.html (в IE6 запуск Help and Support Center та споживання ресурсів, в Opera та IE7 споживання ресурсів, в IE8 не працює).

Firefox, IE, Chrome & Opera DoS Exploit8.html (в Firefox блокування та споживання ресурсів, в IE6, IE7 та IE8 (6001) запуск mIRC, блокування та споживання ресурсів, в Chrome блокування, в Opera споживання ресурсів, а в IE8 (7600) зависає). Для атаки потрібен irc-клієнт, такий як mIRC.

Firefox, IE & Opera DoS Exploit3.html (атака подіна до протоколів news та nntp) (в Firefox, IE6, IE7 та IE8 (6001) запуск OE, блокування та споживання ресурсів, в Opera споживання ресурсів, а в IE8 (7600) зависає).

Firefox, IE, Chrome & Opera DoS Exploit9.html (в Firefox блокування та споживання ресурсів, в IE6, IE7 та IE8 (6001) запуск Skype та споживання ресурсів, в Chrome блокування та споживання русурсів, в Opera споживання ресурсів, а в IE8 (7600) зависає та споживає ресурси). Для атаки потрібен Skype.

Firefox, IE, Chrome & Opera DoS Exploit10.html (в Firefox блокування та споживання ресурсів, в IE6, IE7 та IE8 (6001) запуск Skype Extras Manager та споживання ресурсів, в Chrome блокування та споживання русурсів, в Opera споживання ресурсів). Для атаки потрібен Skype.

IE DoS Exploit2.html (в IE6 вилітає, а якщо зробити експлоіт на JS, подібний до вищенаведених експлоітів, то в IE6 так само вилітає, а в IE7 блокування).

Дані експлоіти працюють (кожен по різному) в Mozilla Firefox 3.0.19 (і окрім попередніх версій, вони повинні працювати в 3.5.x та 3.6.x), Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.00.5730.13), Internet Explorer 8 (8.00.6001.18702 і 8.0.7600.16385), Google Chrome 1.0.154.48 та Opera 9.52.

Faulty using of MD5 in web applications

22:43 13.08.2010

This is English version of my Faulty using of MD5 in web applications article.

Cryptographic algorithm MD5 (Message-Digest algorithm 5), which designed for hash creation, is widely used in programming, particularly in developing of web applications, as security tool. Besides using it for hashing of passwords, MD5 is also using for other tasks which concern security (about which will be going in this article). E.g. for generating of passwords at installation or creating of new accounts, or at creating of random strings for names of files or folders.

At using of MD5 algorithm for security purposes its faulty using is possible, which will lead to decreasing of security of web applications and to appearing of vulnerabilities in them. These defects of using of MD5 algorithm I called MD5-string attack. In 2007-2008 I found two such cases, which concern WordPress (other web applications also could have such vulnerabilities).

As I already mentioned in 2008 - output alphabet of MD5 algorithm has 16 chars. So at using of e.g. function md5 (in PHP), at its output you’ll receive a string which consists of 16 chars of md5-alphabet. And at using of short string, its reliability will come out small, if to use this string for safety mechanisms (because it can be picked up relatively easy).

The number of possible combinations depending on length of md5-string:

16^1 = 16
16^2 = 256
16^3 = 4096
16^4 = 65536
16^5 = 1048576
16^6 = 16777216
16^7 = 268435456

Only at length of md5-string in 7 chars, its reliability will be acceptable (at using for safety mechanisms). If length of md5-string is less then 7 chars, then it can be picked up relatively quickly.

Examples of MD5-string attacks.

1. Using of md5-strings for creating of passwords.

As I wrote regarding Weak Password vulnerability in WordPress, in this engine (in versions WordPress 2.0.x and potentially up to 2.3.3 inclusive), the weak password was set at installation.

It consists from 6 chars of md5-alphabet. And because we have at output of function md5 the alphabet in 16 chars, then this password has 16777216 of possible combinations. And with bruteforce it can be picked up relatively quickly.

2. Using of md5-strings as path to important resources.

As I wrote regarding Information Leakage and Full path disclosure vulnerabilities in WordPress, in plugin WordPress Database Backup the function md5 is using for creating of the folder for backups.

Name of the folder looks like “backup-xxxxx” - it’s “backup-” and 5 chars of md5-alphabet. And it’s just 1048576 of possible combinations. Which can be picked up relatively quickly.

So at using of MD5 algorithm for safety mechanisms in web applications it’s needed to consider its alphabet. Because in case when short md5-string is using for creating of password (as in WP), or for name of the folder with backups of DB (as in plugin WordPress Database Backup), then it can be bruteforced relatively quickly.

P.S.

As showed my researches of work of different hash-functions (in addition to md5), in result of work of such hash-functions as gost, lm, md4, mysql323, mysql411, ntlm, ripemd128, ripemd160, ripemd256, ripemd320, sha1, sha224, sha256, sha384, sha512, tiger128_3, tiger128_4, tiger160_3, tiger160_4, tiger192_3, tiger192_4 and whirlpool the string results, which also is hexadecimal number (as in md5). So this string also has alphabet from 16 chars. And so all warnings regarding the length of string in function md5 (at using this string for safety mechanisms) in equal degree concern to these functions.

Новини: троян Zeus, Internet Explorer 9 та російський кардер

20:11 13.08.2010

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, троян Zeus прикривається цифровим підписом “Лабораторії Касперського”

Компанія Trend Micro повідомила про виявлення в Мережі шкідливих файлів з цифровим підписом, який практично повністю збігається з підписом антивірусної компанії “Лабораторія Касперського”. Дані шкідливі файли виявилися модифікаціями трояна ZeuS (ZBOT), про якого я вже згадував.

За повідомленням itua.info, презентація Internet Explorer 9 відбудеться 15 вересня. Нова версія браузера від Microsoft побачить світ 15 вересня в Сан-Франциско. Презентація пройде в рамках спеціального заходу Beauty of the Web.

Так що в наступному місяці вийде IE9. Подивимося наскільки він вийде більш безпечним, ніж попередні версії ;-) . Декілька днів тому я писав про нові уразливості в Microsoft Internet Explorer 6, 7 та 8.

За повідомленням hackzona.com.ua, французька поліція затримала кардера з Москви. Співробітники французької поліції повідомили про затримання в Ніцці 27-річного жителя Москви Владислава Хорохоріна. За ним довгий час полювали американські спецслужби.

У США В. Хорохоріна звинувачують у створенні шахрайської мережі, що займається махінаціями з кредитними картами. Зокрема, Федеральне велике журі у Вашингтоні вважає, що москвич крав особисті дані власників карт і здійснював незаконний доступ до банківських рахунків потерпілих. Крадені дані шахрай продавав на спеціально створеному сайті.

Нові уразливості на www.banner.kiev.ua

15:24 13.08.2010

22.12.2009

У квітні, 26.04.2009, я знайшов Cross-Site Scripting та Remote Flash Inclusion уразливості на проекті http://www.banner.kiev.ua (банерна мережа UBN). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про численні уразливості на www.banner.kiev.ua.

Як і у випадку попередніх XSS уразливостей, нова XSS пов’язана з тією самою проблемою, про яку я писав в статті XSS уразливості в 8 мільйонах флеш файлах.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.08.2010

XSS:

Код спрацює при кліку. Це Strictly social XSS.

Remote Flash Inclusion:

В старих версіях флеша, де була менш жорстка політика безпеки, можна було просто включити зовнішню флешку і виконати XSS код (він міг бути виконаний автоматично, або при кліку).

http://www.banner.kiev.ua/s/loader.swf?swf=http://websecurity.com.ua/webtools/url.swf

В нових версіях флеша це неможливо, тому окрім самого віддаленого включення флешки (Remote Flash Inclusion), потрібно вказати також код для виконання у відповідному параметрі флешки loader.swf.

XSS: