Websecurity - Веб безпека

20.01.2010

У травні, 24.05.2009, я знайшов SQL Injection уразливість на сайті http://webheim.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

21.09.2010

SQL Injection:

http://webheim.com/modules.php?op=modload&name=News&file=article&sid=-1%20or%20version()=3.23

Уразливість досі не виправлена.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт - інфекція була виявлена 18.09.2010. Зараз сайт не входить до переліку підозрілих.
• http://antiplayground.at.ua - інфекція була виявлена 03.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://terrawoman.ua (а також http://terrawoman.com і http://terrawoman.com.ua, що є різними доменами одного сайта) - інфекція була виявлена 09.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://business-invest.lviv.ua - інфекція була виявлена 10.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://virion.com.ua - інфекція була виявлена 01.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17 та 18.

Ось нова добірка уразливих секюріті сайтів:

• www.opennet.ru
• shalb.com
• www.entel.kiev.ua

Всім security проектам та компаніям слід приділяти більше уваги безпеці власних веб сайтів.

В даній добірці уразливості в веб додатках:

• New libhtml-parser-perl packages fix denial of service (деталі)
• SQL injection vulnerability in Grafik CMS (деталі)
• XSS vulnerability in PortalApp (деталі)
• SQL injection vulnerability in TomatoCMS (деталі)
• Multiple XSS in TornadoStore 1.4.3 (деталі)
• Multiple SQL Injection in TornadoStore 1.4.3 (деталі)
• Harris Stratex StarMAX subscriber station running config CSRF exploit (деталі)
• SAP’s web module OLK SQL Injection vulnerability (деталі)
• Cross-site AJAX request vulnerability in Asterisk (деталі)
• SIP responses expose valid usernames in Asterisk (деталі)

В своїй статті Використання захисних механізмів для блокування доступу до сайта я розповів про некоректне використання захисних механізмів, що дозволяє атакувати користувачів та адмінів сайтів. У даній статті я роповім про інший приклад неякісного використання захисних механізмів, що призводить до уразливостей у веб додатках.

При використанні функції crypt, зокрема для створення хешів паролів, можуть виникнути секюріті проблеми. Якщо в статті Неякісне використання MD5 у веб додатках я розповів про обрізання рядків, що використовуються для секюріті потреб, самими розробниками, то в даному разі мова йде про обрізання рядків (зокрема паролів) самим алгоритмом. Що потрібно враховувати всім веб розробникам, які використовують crypt.

Функція crypt (при використанні стандартного DES алгоритму, що є по замовчуванню) урізає паролі до 8 символів. При створенні хеша функцією crypt враховуюється лише перші 8 символів паролю. Це задокументований функціонал crypt.

Але при цьому дана особливість не є достатньо відомою. І існує велика кількість додатків, зокрема на Perl та PHP, які використовують crypt (з DES). Я сам використовую Perl з січня 2001 року, але лише в 2010 році дізнався про цю особливість crypt. В літературі, яку я читав, ні слова про обмеження crypt не було сказано, і в основному лише рекомендувалося її використовувати для хешування паролів (тобто як надійний метод хешування). В своєму Посібнику з безпеки, написаному в 2005, я також порадив використовувати crypt, не зазначивши про дану особливість (але в цьому році я додав інформацію про обмеження crypt).

В Інтернеті можна знайти чимало статтей, де рекомендується використовувати функцію crypt, але при цьому рідко коли згадується про її обмеження. А в тих довідниках де про це згадується, це робиться без достатнього акцентування, тому читачі можуть на це просто не звернути уваги. Зокрема в perldoc лише в одному реченні згадується про цю особливість (чого недостатньо), зате в керівництві по PHP на це звертається більше уваги (і радиться використовувати інші алгоритми замість DES, чого цілком достатньо для привернення уваги розробників).

Тому хеш пароля довжиною більше 8 символів буде таким самим, що і хеш пароля в 8 символів (при ідентичних перших 8 символах). Що зпрощує підбір паролів і може бути використаним для атаки на Perl та PHP додатки, які використовують crypt для перевірки хешів (зокрема, хешів паролів), або при брутфорсі викрадених хешів. А також на папки на серверах з Apache, що захищені htpasswd.

Пароль в 8 символів може бути в деяких випадках достатнім, а в інших випадках - недостатнім, до того ж нападник може проводити атаку тривалий час і підібрати навіть 8 символьний пароль. А якщо використовується пароль (навіть достатньо довгий), в якому перші 8 символів легко вгадуємі і лише наступні символи не є легко вгадуємими (наприклад, “password_randomchars”), то він буде легко підібраний, тому що при створенні хеша враховуються лише перші 8 символів (”password”).

Дана ситуація має місце в Perl та PHP. В інших мовах програмування, що підтримують стандартний DES алгоритм, ситуація подібна. А також в Apache htpasswd.exe, якщо він використовує DES, при використанні на сайті htpasswd-функціонала Apache (зокрема в версії для Linux та Unix систем, бо на Windows використовується MD5 алгоритм, але є спеціальна версія htpasswd.exe, що використовує DES алгоритм). Тому при використанні даних інструментів, потрібно замість DES використоувати інший алгоритм.

Виявлені численні уразливості безпеки в Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS для Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Обхід аутентифікації, переповнення буфера, DoS.

• Important Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Remote Code Execution (2267960) (деталі)

18.01.2010

У травні, 18.05.2009, я знайшов SQL Injection, Full path disclosure та Information Leakage уразливості на сайті http://www.museodecera.com.mx. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

18.09.2010

SQL Injection:

http://www.museodecera.com.mx/guestbook/index.php?action=jump&id=-1%20union%20select%20version()

Full path disclosure:

http://www.museodecera.com.mx/guestbook/config.inc.php

Information Leakage:

http://www.museodecera.com.mx/guestbook/index.php

В meta-тегах виводиться інформація про версію PHP, MySQL і веб сервера.

Дані уразливості досі не виправлені.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, хакери все частіше використовують платний набір експлойтів Eleonore.

Дослідницька група компанії AVG повідомляє про збільшення частоти використання платного набору експлоітів Eleonore для проведення кібератак.

За повідомленням ain.ua, Trend Micro випустив безкоштовний плагін для безпеки браузерів.

Розробник антивірусного ПЗ Trend Micro представив безкоштовний плагін для безпечного веб-серфінга. Плагін зветься Trend Micro Browser Guard 2010. Він здатний визначати і блокувати веб-сторінки з фрагментами шкідливого коду ще до закінчення їхнього повного завантаження. Даний плагін - це ще один конкурент моїй системі Web VDS.

За повідомленням hackzona.com.ua, Adobe попереджає про уразливість в Flash Player.

Компанія Adobe попередила про критичну уразливість в своєму продукті Flash Player - вона дозволяє зловмисникам отримати контроль над комп’ютером жертви.

В минулому місяці вже були оприлюднені численні уразливості в Adobe Flash Player. І в новому місяці - нові дірки. В останні роки кількість знайдених дірок у Флеші збільшилася і в цьому році Flash та інші продукти Adobe щомісяця потрапляють в новини через виявлені уразливості в них.

11.09.2010

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Thunderbird 3.0, Thunderbird 3.1, SeaMonkey 2.0.

Численні пошкодження пам’яті, переповнення буфера, цілочисленні переповнення, виконання коду, міжсайтовий скриптінг.

• Mozilla Foundation Security Advisory 2010-49 (деталі)
• Mozilla Foundation Security Advisory 2010-50 (деталі)
• Mozilla Foundation Security Advisory 2010-51 (деталі)
• Mozilla Foundation Security Advisory 2010-52 (деталі)
• Mozilla Foundation Security Advisory 2010-53 (деталі)
• Mozilla Foundation Security Advisory 2010-54 (деталі)
• Mozilla Foundation Security Advisory 2010-55 (деталі)
• Mozilla Foundation Security Advisory 2010-56 (деталі)
• Mozilla Foundation Security Advisory 2010-57 (деталі)
• Mozilla Foundation Security Advisory 2010-58 (деталі)
• Mozilla Foundation Security Advisory 2010-59 (деталі)
• Mozilla Foundation Security Advisory 2010-60 (деталі)
• Mozilla Foundation Security Advisory 2010-61 (деталі)
• Mozilla Foundation Security Advisory 2010-62 (деталі)
• Mozilla Foundation Security Advisory 2010-63 (деталі)

17.09.2010

Додаткова інформація.

• Cross-domain information leakage in Firefox 3.6.4-3.6.8, Firefox 3.5.10-3.5.11 and Firefox 4.0 Beta1 (деталі)
• Mozilla Firefox normalizeDocument Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox nsTreeContentView Dangling Pointer Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox tree Object Removal Remote Code Execution Vulnerability (деталі)
• Mozilla Firefox nsTreeSelection Dangling Pointer Remote Code Execution Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• HP LaserJet printers - Multiple Stored XSS vulnerabilities (деталі)
• HP LaserJet Printers, HP Color LaserJet Printers, Remote Cross Site Scripting (XSS) (деталі)
• TaskFreak “tznMessage” Cross-Site Scripting Vulnerability (деталі)
• TaskFreak “password” SQL Injection Vulnerability (деталі)
• KDE multiple issues (деталі)
• XSS vulnerability in Grafik CMS (деталі)
• XSS vulnerability in PortalApp (деталі)
• XSS vulnerability in PortalApp (деталі)
• XSS vulnerability in Grafik CMS (деталі)
• 2wire Remote Denial of Service (деталі)