Архів за Грудень, 2010

З Новим Роком!

23:18 31.12.2010

В зв’язку з Новим Роком, що наближається, я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам в новому році, бажаю безпеки вам, вашим сайтам і веб додаткам ;-) .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам. Й при цьому вони не опиняться серед числа похаканих чи інфікованих сайтів.

Уразливості в плагінах для WordPress №24

21:23 31.12.2010

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WPTouch та Viva thumbs. Для котрих з’явилися експлоіти. WPTouch - це плагін для створення мобільної версії сайта, Viva thumbs - це плагін для створення зменшених копій зображень.

  • XSS in WPTouch wordpress plugin (деталі)
  • Directory traversal limited to file validation within Viva thumbs WordPress add-on (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Вийшов WordPress 3.0.4

19:13 31.12.2010

В цьому місяці вже вишла версія WP 3.0.3. І от нещодавно, 29.12.2010, вийшла нова версія WordPress 3.0.4.

WordPress 3.0.4 це секюріті випуск 3.0 серії. В якому розробники виправили уразливість, що стосується бібліотеки обробки HTML, яка зветься KSES. Дана уразливість дозволяла обходити фільтрацію та проводити XSS атаки.

Як і в попередній версії, розробники так і не виправили виявлені мною числені уразливості в WP, такі як Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service.

Добірка уразливостей

15:04 31.12.2010

В даній добірці уразливості в веб додатках:

  • TANDBERG VCS Authentication Bypass (деталі)
  • TANDBERG VCS Arbitrary File Retrieval (деталі)
  • TANDBERG VCS Static SSH Host Keys (деталі)
  • Dovecot vulnerability (деталі)
  • SQL injection vulnerability in TCMS (деталі)
  • SQL injection vulnerability in TCMS (деталі)
  • HP System Insight Manager Running on HP-UX, Linux, and Windows, Remote Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Privilege Elevation (деталі)
  • SQL injection vulnerability in TCMS (деталі)
  • File Content Disclosure in TCMS (деталі)
  • Openfire Jabber-Server: Multiple Vulnerabilities (Authentication Bypass, SQL injection, Cross-Site Scripting) (деталі)

Business Logic уразливості на www.liqpay.com

23:51 30.12.2010

Продовжу свою серсію записів про Business Logic уразливості на різних e-commerce сайтах. В статті Business Logic уразливості через CSRF я писав про Business Logic уразливості, що дозволяють маніпулювати фінансовими даними користувачів. Які можна ініціювати через CSRF атаки.

Після www.propage.ru в якості приклада таких уразливостей наведу уразливості на www.liqpay.com - електроній платіжній системі LiqPAY. Враховучи, що після оприлюднення мною попередніх уразливостей в LiqPAY, ПриватБанк проігнорував їх, я оприлюднюю їх одразу (full disclosure).

У листопаді, 15.11.2009, я знайшов Cross-Site Request Forgery та Insufficient Process Validation уразливості на сайті https://www.liqpay.com. Які дозволяють переводити гроші на інші рахунки LiqPAY чи на карти. Про що найближчим часом сповіщу адміністрацію сайта.

Виводити гроші з рахунків і карт користувачів можна через обідві уразливості (CSRF і Insufficient Process Validation). Дані уразливості наявні в двох функціоналах системи, тому можливі атаки на кожну з них: для виведення на інший рахунок LiqPAY і для виведення на карту. Тобто всього 4 уразливості.

CSRF:

Функціонали виведення грошей на інший LiqPAY акаунт і на карту вразливі до CSRF.

Для виведення коштів на інший LiqPAY акаунт потрібно відправити два запити:

POST запит на https://www.liqpay.com/?do=transfer_create&to=to_phone

do=from_phone_to_phone_confirm&currency=USD&to_phone=_num_&amount=1000&currency2=USD&special=transfer_create

POST запит на https://www.liqpay.com/?do=transfer_create&to=to_phone
do=from_phone_to_phone_result

Для виведення коштів на карту потрібно відправити два запити:

POST запит https://www.liqpay.com/?do=transfer_create&to=to_card

do=from_phone_to_card_confirm&currency=USD&to_card=_num_&amount=1000&currency2=USD&special=transfer_create

POST запит https://www.liqpay.com/?do=transfer_create&to=to_card
do=from_phone_to_card_result

Insufficient Process Validation:

В фунціоналах виведення коштів на інший LiqPAY акаунт і на карту немає перевірки автентичності запиту - через отримання sms-ки з кодом і введення даного коду. Тому OTP вводиться лише при логіні, а всі транзакції в системі не підтверджуються OTP. При тому, що подібний захист існує в Приват24. Але чомусь в LiqPAY ПриватБанк цього не зробив (мабуть бажаючи “спростити” цей процес для користувачів), що призвело до значного погіршення безпеки, особливо враховучи CSRF уразливості.

Виправлення CSRF не вирішить проблеми повністю. Тому що гроші з рахунків користувачів можна бути виводити через XSS, при доступі до мобільника користувача, через віруси або при тимчасовому доступі до комп’ютера. Тому потрібно виправляти також і Insufficient Process Validation.

Цікаві записи на тему веб безпеки

22:42 30.12.2010

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу стосовно різних цікавих секюріті тем.

В своєму записі XMLHTTPReqest “Ping” Sweeping in Firefox 3.5+, RSnake розповідає про використання CORS в Firefox (починаючи з версії 3.5) для проведення крос-доменних XMLHTTPReqest запитів для пінгування.

В своїй статті Міжсайтові XHR атаки я вже розровідав про використання даного функціоналу для проведення атак.

В своєму записі Cloud Cracking, RSnake розповідає про “хмарний” хакінг. Про використання cloud технологій в хакерських цілях. Використовуючи “хмарні” технології, або ботнети, що є хакерським аналогом “хмари”, можна отримати захмарні результати :-) .

В своєму записі Mozilla Plans Fix for CSS History Hack, RSnake розповідає про те, що Мозіла в цьому році запланувала виправити CSS History Hack. Уразливість, що відома вже 8 років (з 2002 року), нарешті отримала увагу Мозіли.

Але спочатку Мозіла повинна виправити дану уразливість. До того ж, це буде стосуватися тільки браузерів Мозіли (причому лише нових версій), а браузери всіх інших виробників все ще будуть вразливі до CSS History Hack.

Безпека e-commerce сайтів в Уанеті №7

20:05 30.12.2010

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах онлайн магазинів, баннерних систем та e-commerce сайтах (України, Росії та США):

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

А також згадував про інфіковані онлайн магазини та e-commerce сайти в Уанеті:

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

Уразливості на moemesto.ru

15:17 30.12.2010

29.04.2010

У жовтні, 15.10.2009, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://moemesto.ru. В тому числі знайшов можливість обходу виправлення попередньої XSS. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на moemesto.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.12.2010

XSS:

Дана уразливість вже виправлена.

XSS (обхід фільтрації попередньої XSS):

Це версія для IE, використовуючи MouseOverJacking можна зробити версію для всіх браузерів.

Abuse of Functionality:

На сторінці http://moemesto.ru/register/ можна визначати логіни та емайли користувачів сайта. Також це можна зробити за прямими запитами до скрипта:

http://moemesto.ru/ajax/check_field.php?field=login&value=111

http://moemesto.ru/ajax/check_field.php?field=email&value=1@1.com

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі).

Більшість з зазначених уразливостей досі не виправлено. До того ж на сайті є чимало інших уразливостей, на які я звернув увагу адмінів, коли повідомляв про ці дірки, але вони також досі не виправлені.

Уразливості на host-tracker.com

23:52 29.12.2010

У вересні, 19.09.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://host-tracker.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://host-tracker.com/check_page/?furl=http://google.com

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до даного функціоналу призведе до 63 запитів (з 63 різних серверів) до цільового сайта.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Даний сервіс повільно робитить запити до цільового сайта (поступово з кожного з 63 серверів), що зменшує навантаження на нього, але все рівно не захищає від атак через даний сервіс.

Атаки на сайти на веб серверах з ОС Windows

22:48 29.12.2010

У веб серверів, що розміщені на ОС Windows, є свої особливості. Й окрім тих атак, що можуть проводитися на сайти на серверах з Linux та іншими ОС, на сайти на серверах з Windows можуть проводитися деякі інші атаки. Дані атаки можуть використовуватися для отримання даних (information leakage) та вихідних кодів скриптів (source code disclosure), а в деяких випадках для виконання довільного коду.

До таких атак відносяться:

1. Directory Traversal з використанням зворотного слеша. Про дану атаку я вже розповідав в статті Використання back slash для Directory Traversal атак.

2. Використання Alternative Data Streams (ADS) в NTFS.

3. Використання “;” проти Microsoft IIS.

4. Використання 8.3 імен файлів та директорій.

5. Використання пробільних символів наприкінці імені файлу. Це може використовуватися на уразливих веб серверах як під Windows, так і Linux та інших ОС.

6. Використання “.” наприкінці імені файлу або директорії. Це може використовуватися на уразливих веб серверах як під Windows, так і Linux та інших ОС.

7. Використання верхнього регістру в іменах папок. Це можливо в Apache під Windows.

8. Використання імен папок з розширенням “.asp” проти IIS.

Деякі з наведених атак працюють лише на вразливих веб серверах, а деякі (як перша) - на усіх веб серверах з ОС Windows.