Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Palm Pre WebOS <=1.1 Remote File Access Vulnerability (деталі)
• Palm Pre WebOS 1.0.4 Remote execution of arbitrary HTML code vulnerability (деталі)
• XSS vulnerability in NPDS REvolution (деталі)
• Stored XSS vulnerability in NPDS REvolution (деталі)
• Caucho Technology Resin digest.php Cross Site Scripting Vulnerability (деталі)
• New mt-daapd packages fix several vulnerabilities (деталі)
• Cacti Multiple Parameter Cross Site Scripting Vulnerabilities (деталі)
• XSRF (CSRF) in NPDS REvolution (деталі)
• SQL injection vulnerability in LiSK CMS (деталі)
• Authentication Bypass of Snom Phone Web Interface (деталі)

У листопаді, 30.11.2009, я виявив Cross-Site Scripting уразливість в Mozilla та Firefox.

Дана уразливість дозволяє обійти заборону на виконання JavaScript коду в location-header редиректорах (при редирекції на javascript: URI). Вона подібна до Cross-Site Scripting уразливості в Mozilla та Firefox (через редиректори з відповіддю “302 Object moved”).

В Mozilla та Firefox (на сайтах, що використовують в редиректорі відповідь “302 Found”) при запиті до location-header редиректора з вказанням JavaScript коду, браузер виводить сторінку “Found”, де в лінці “here” виводить даний код. При натисканні на яку код спрацює. Тобто це Strictly social XSS, а також це ще один приклад Local XSS.

XSS:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді заголовок Location:
HTTP/1.x 302 Found
Location: javascript:alert(document.cookie)
Браузер виводить сторінку “Found”. При кліку по лінці “here” код спрацює в контексті даного сайту.

Окрім javascript URI, також можна використати data URI для виконання JS-коду, якщо редиректор виводить в заголовку Location символи “;” і “,” у чистому (не в URL encoding) вигляді.

Також в усіх версіях Mozilla та Mozilla Firefox можна використати інший варіант Strictly social XSS - з використанням -moz-binding (для Firefox < 3.0 або для Firefox => 3.0 з xml-файлом на цьому самому сайті) чи з використанням onMouseOver:

http://site/script.php?param=a:%22%20onMouseOver=%22alert(document.cookie)

При наведенні курсору на лінку “here” код спрацює в контексті даного сайту.

І якщо використати мою техніку MouseOverJacking, тоді можна автоматизувати дану атаку у всіх версіях Mozilla та Mozilla Firefox (особливо коли використання -moz-binding неможливе):

http://site/script.php?param=a:%22%20style=%22width:100%25;height:100%25;display:block;position:absolute;top:0px;left:0px%22%20onMouseOver=%22alert(document.cookie)

Дана атака працює якщо редиректор (з відповіддю “302 Found” чи “302 Object moved”) виводить подвійні лапки в заголовку Location у чистому (не в URL encoding) вигляді.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі Mozilla Firefox 3.0.19, Firefox 3.5.11, Firefox 3.6.8, Firefox 4.0b2 та попередні версії.

Уразливі Opera 10.53 та попередні версії (при цьому версія Opera 9.52 невразлива). В Opera код виконається не в контексті даного сайту.

Як і у випадку XSS через редиректори з відповіддю “302 Object moved”, до цієї уразливості також повинні бути уразливими SeaMonkey 1.1.17, Firefox 3.7 a1 pre, Orca Browser 1.2 build 5 та Maxthon 3 Alpha (3.0.0.145) з Ultramode.

[Оновлення: 16.09.2012]

Як я виявив, у версіях Firefox 10.0.7 і Firefox 15.0.1 дана уразливість більше не працює - вона була приховано виправлена Mozilla в Firefox 9.0.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Clean MX.

Даний сервіс призначений для захисту від вірусів на веб сайтах та інших шкідливих сайтів. На сайті знаходяться списки сайтів з вірусами, спамерських та фішерських сайтів.

Веб сервіс Clean MX відрізняється від таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec та інших тим, що він представляє собою не сервіс виявлення шкідливого коду на сайтах, а список шкідливих сайтів. В цьому він подібний до сервісу DNS-BH – Malware Domain Blocklist.

Щоб скористатися даним сервісом, потрібно зайти на сайт, наприклад, на сторінку зі списком сайтів із вірусами. Та переглянути список з детальною інформацією по кожному шкідливому сайту.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Format string attack
• Heap feng shui
• Heap overflow
• Heap spraying
• IP hijacking

17.12.2009

У квітні, 25.04.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.zn.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію сайта.

Даний сайт доступний за доменами www.zn.ua, www.zn.com.ua, www.zn.kiev.ua, www.mirror.kiev.ua, www.zerkalo-nedeli.com, www.dt.ua та www.mw.ua. І відповідно атаки можуть відбуватися за усіма доменами. Враховуючи, що це persistent XSS, то вона може використовуватися для інфікування сайта вірусами.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.08.2010

Insufficient Anti-automation:

http://www.zn.ua/1000/1550/66049/

На сторінках з новинами в формі коментарів відсутній захист від автоматизованих запитів (капча).

XSS (Persistent):

POST запит в формі коментарів на сторінках з новинами:
"><script>alert(document.cookie)</script>В полі Комментарий.

Якщо XSS уразливість вже виправлена (і в нових коментарях неможливе використання тегів), то Insufficient Anti-automation уразливість досі не виправлена.

Продовжуючи займатися захисним хаком (protecting hack), в рамках моєї концепції хакерських війн про яку я розповідав раніше, після квітневого захисту сайта www.peremoga.gov.ua (який був взломаний black SEO), я захистив новий сайт. Цього разу я захистив сайт http://bestmaster.com.ua.

Коли я виявив уразливість на bestmaster.com.ua, про яку я вже писав та повідомляв адмінам (але безрезультатно, бо вони не читають пошту), я звернув увагу на продажні лінки на сторінках сайта. І в мене виникла підозра, що на цьому сайті попрацювали black SEO-шники. І враховуючи, що зв’язатися з адмінами не вийшло, сьогодні я перевірив дану підозру і вона підтвердилася - black SEO окупували даний сайт і почали розміщувати на сайті свої лінки та заробляли на цьому гроші.

Даний сайт був взломаний 05.01.2010, після чого на ньому почали розміщувати лінки через брокера. Як і у випадку з сайтом www.peremoga.gov.ua, на даному сайті лінки також розміщували через SAPE. Це вже другий випадок коли SAPE використовується для блексео діяльності.

Тобто через веб брокера (через php-скрипт) зловмисники розміщували лінки на взломаному сайті (і це вже другий подібний випадок). В цьому, як і в попередньому випадку, власники SAPE самі отримували прибуток, тому можуть вважатися спільниками. Дану ситуацію я виправив і прибрав дані нехороші лінки.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://viewhit.biz - інфекція була виявлена 03.08.2010. Зараз сайт входить до переліку підозрілих.
• http://bestofaudio.com - інфекція була виявлена 29.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://original-style.net.ua - інфекція була виявлена 01.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://mp3-online.kiev.ua - інфекція була виявлена 02.08.2010. Зараз сайт не входить до переліку підозрілих.
• http://kladoiskatel.org.ua - інфекція була виявлена 02.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти bestofaudio.com, mp3-online.kiev.ua та kladoiskatel.org.ua також хостить в себе Укртелеком.

Виявлене переповнення буфера в python-cjson - пакеті для Python.

Уразливі версії: python-cjson 1.0.

Переповнення буфера при розборі скрипта Python.

• New python-cjson packages fix denial of service (деталі)

В даній добірці уразливості в веб додатках:

• Hewlett-Packard OpenView NNM nnmRptConfig.exe Template Variable strcat Overflow Vulnerability (деталі)
• Hewlett-Packard OpenView NNM nnmRptConfig.exe Template Variable vsprintf Overflow Vulnerability (деталі)
• Hewlett-Packard OpenView NNM Multiple Command Injection Vulnerabilities (деталі)
• LinksAutomation Multiple Remote Vulnerabilities (деталі)
• phpGroupWare SQL Injections and Local File Inclusion Vulnerabilities (деталі)
• Websense Email Security Cross Site Scripting (деталі)
• Websense Email Security Web Administrator DoS (деталі)
• Joomla component SimpleDownload Local File Inclusion (деталі)
• XSS, SQL injection vulnerability in I-Vision CMS (деталі)
• XSS vulnerability in JComments, Joomla (деталі)