Websecurity - Веб безпека

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• NOP slide
• Null character
• OSVDB
• Off-by-one error
• Operation: Bot Roast

Можливе виконання коду через Apple Safari. Про DLL Hijacking уразливості, також відомі як Binary Planting, я вже розповідав в записі Підміна DLL у багатьох додатках Microsoft Windows. Якщо в стандартному випадку атака йде через dll-файл, то в даному випадку атака йде через exe-файл (explorer.exe). Це перший випадок Binary Planting уразливостей з використанням exe-файлів.

Уразливі версії: Apple Safari 4.0, Safari 4.1.

За певних умов викликається explorer.exe по відносному шляху.

• Remote Binary Planting in Apple Safari for Windows (деталі)

06.01.2010

У травні, 06.05.2009, я знайшов нові уразливості на сайті http://rozetka.com.ua, зокрема Full path disclosure та Cross-Site Scripting (в тому числі persistent XSS). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.allo.ua. Також раніше я вже писав про уразливості на www.rozetka.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.09.2010

Full path disclosure:

http://rozetka.com.ua/index.php?page=search&search_text=%3C%3E

XSS:

http://rozetka.com.ua/index.php?page=search&search_text=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://rozetka.com.ua/search/?text=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (single-user persistent XSS):

На сторінках товарів (http://rozetka.com.ua/ru/products/comments/ 6074/index.html) в полях Имя і e-mail, які також зберігаються в кукісі.

XSS (single-user persisted XSS, коли користувач залогінений на сайті):

На сторінці http://rozetka.com.ua/account.php (поля Имя и Фамилия, Email, Адрес строка 1, Адрес строка 2, Город/Поселок, Регион/Область/Район, Почтовый индекс, Ваш телефон) та на кожній зовнішній сторінці сайта (поле Имя).

Дані уразливості вже виправлені шляхом зміни движка.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pidgulko.com.ua (хакером KonyaR-Lee)
• http://sptoohrana.com.ua (хакерами з AHG) - це секюріті сайт
• http://pntb.tv (хакером Corti) - 08.09.2010, зараз сайт вже виправлений адмінами
• http://www.virma.com.ua (хакерами з Anarchy Cr3w) - 22.08.2010, зараз сайт вже виправлений адмінами
• http://kovel.in.ua (хакером baDsectQr) - 22.08.2010, зараз сайт вже виправлений адмінами

В своїй презентації Client Side Attacks, Mauricio Velazco розповідає про атаки на клієнтів. Презентація зроблена на іспанській мові, але є деякі слайди з текстом на англійській мові.

В даній добірці уразливості в веб додатках:

• Cerberus FTP server 3.0.6 Pre-Auth DoS (деталі)
• XSS vulnerability in Advanced Poll (деталі)
• Family Connections 2.2.3 Multiple Remote Vulnerabilities (деталі)
• Turnkey Innovations SQL Injection Vulnerability (деталі)
• Vulnerability in BackupPC (деталі)
• SQL injection vulnerability in WebDB (деталі)
• Remote buffer overflow in httpdx (деталі)
• XSS vulnerability in ForumCMS (деталі)
• SQL injection vulnerability in WebDB (деталі)
• Safari 4.0.3 (Win32) CSS Remote Denial of Service Exploit (деталі)

Стосовно інциденту, що стався на моєму сайті 08.09.2010. Тоді невідомий зловмисник видалив всі файли в мене на сайті та розмістив на головній сторінці некультурні висловлювання на мою адресу . Схоже, що він потратив чимало часу, щоб після того як він не знайшов дірок в мене сайті, знайти якийсь дірявий веб додаток на іншому сайті на даному сервері.

Проведене мною в середу, 08.09.2010, дослідження показало, що мій сайт припинив нормальну роботу в 06:28:37. Після виявлення мною цієї ситуації на сайті, я зв’язався з хостером і мій сайт був швидко відновлений з бекапу (благо не сервері робляться щоденні бекапи). При цьому після детального дослідження логу жодних слідів зловмисника не було виявлено - лише сотні спроб атакувати мій сайт, що я виявляю щоденно. Тобто атака мала місце не на мій сайт, а на інший сайт на цьому самому сервері, через який нападник витер файли на моєму сайті. Одразу коли я виявив цей інцидент я вирішив, що атака мала місце через інший сайт на сервері, й мої дослідження логів це лише підтвердили.

Тому я попросив свого хостера (а я розміщую сайт на сервері SHALB), дослідити логи інших сайтів, що розміщені на даному сервері, щоб виявити нападника. І лише сьогодні я отримав офіційну відповідь від хостера. Вони на протязі багатьох днів аналізували логи і виявили наступне. Що нападник атакував phpMyAdmin, що був розміщений на одному з сайтів SHALB, і він отримав доступ до адмінки даного веб додатку. І з phpMyAdmin ймовірно він дістався до файлової системи сервера і таким чином він дістався до мого сайта.

Даний дірявий додаток був прибраний хостером з сервера. Тому, як вони запевняють, таких інцидентів більше бути не повинно. Так що всі бажаючі взломати мій сайт, як і завжди, можуть сміливо йти на всі чотири сторони .

Виявлена можливість проведення DoS атаки проти Apple WebKit і Safari.

Уразливі версії: Apple Safari 5.0.

Відмова при розборі параметрів SVG.

• Safari for windows Invalid SVG text style Webkit.dll DoS (деталі)

16.01.2010

У травні, 17.05.2009, я знайшов Cross-Site Scripting та Full path disclosure уразливості на проекті http://infoscop.net (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

14.09.2010

XSS:

• alert(document.cookie)
• alert(document.cookie)

А також з будь-якими іншими параметрами окрім “pg” (”a” і т.д.) в скриптах index.php та f_mn.php.

Дані уразливості виправлені, але неякісно, тому при невеликій зміні коду, вони знову працюють.

XSS (з MouseOverJacking):

• alert(document.cookie)
• alert(document.cookie)
• цікавий

А також з будь-якими іншими параметрами окрім “pg” (”a” і т.д.) в скриптах index.php та f_mn.php.

Full path disclosure:

http://infoscop.net/index.php?pg=index.php
http://infoscop.net/f_mn.php?pg=f_mn.php
http://infoscop.net/f_inc/f_var_ses.php
http://infoscop.net/f_inc/f_cadm.php
http://infoscop.net/f_inc/f_frm_i.php
http://infoscop.net/f_inc/f_rld.php
http://infoscop.net/f_inc/f_var_db.php

Дані уразливості досі не виправлені.

В серпні була виявлена уразливість, що дозволяє підміну DLL у багатьох додатках Microsoft Windows. Вона отримала назву DLL Hijacking, а також її ще називають Remote Binary Planting, Insecure DLL Loading/Injection/Hijacking/Preloading.

Окрім атаки на різні десктопні додатки під Windows, також можуть відбуватися атаки через Інтернет. Зокрема на браузери, про що я позавчора писав в записі DLL Hijacking в різних браузерах, а також на Flash плагін в IE8. Тому DLL Hijacking також стосується браузерів (чи напряму, чи через флеш-плагін), зокрема браузерів Mozilla Firefox, Opera, Internet Explorer 8, Maxthon, QtWeb та Safari.

Уразливі продукти: Microsoft Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

При виклику додатка асоційованого з типом файлів, поточний шлях встановлюється в папку, де знаходиться файл, по-замовчуванню завантаження динамічних бібліотек відбувається з поточного шляху. Також можливий другий варіант атаки, про який я написав у вищезгаданому записі.

• Подмена DLL во многих приложениях Microsoft Windows (деталі)