Websecurity - Веб безпека

Існують такі логічні уразливості як Business Logic, що дозволяють маніпулювати фінансовими даними у веб дадатках. І мені неодноразо доводилося знаходити подібні уразливості, починаючи ще з уразливості на clx.ru, що я виявив в 2005 році.

Враховуючи, що Business Logic дірки - це логічні уразливості, то вони відносяться Abuse of Functionality (WASC-42). Атака відбувається при спеціальному використуванні функціоналу сайта (веб додатка), що не очікувався його розробниками.

Але окрім “серверних” Business Logic уразливостей, існують ще “клієнтські”, які мені також доводилося зустрічати (зокрема нещадовно виявив подібні під час секюріті аудиту). І приклади подібних дірок на різних сайтах я з часом оприлюдню. Суть таких атак зводиться до проведення CSRF атаки на користувача з метою маніпуляції його фінансами.

Прикладом подібної уразливості, з якою я стикався неодноразово, є маніпуляція з виведенням коштів на електронні гаманці. Тобто відбувається зловживання функціоналом виводу коштів з аккаунта користувача.

При наявності Cross-Site Request Forgery (WASC-09) на сайті, сценарій атаки буде наступним:

1. Провести CSRF-атаку на користувача, щоб змінити його гаманець (наприклад, WebMoney) на гаманець нападника.

2. Провести другу CSRF-атаку на користувача, щоб ініціювати виведення коштів (на заданий в аккаунті гаманець).

За звичай необхідні два кроки атаки (два CSRF запити), тому що процес зміни гаманця і виведення коштів розбитий на окремі функціонали. Якщо на вразливому сайті ці дві операції об’єднані в один фунціонал, то можна послати один CSRF запит - для виведення коштів на вказаний гаманець.

Для даних задач також можна використовувати і XSS уразливості. В тому числі при наявності на сайті захисту від CSRF, можна через XSS обійти захист від CSRF атак. Але якщо від XSS власники сайтів ще іноді захищаються, то від CSRF захищаються набагато рідше. До того ж, від CSRF атак не захистить жоден WAF . Тому CSRF атаки буде досить для виведення коштів з рахунку користувача.

Пропоную вашій увазі добірку цікавих новин на тему безпеки.

За повідомленням hackzona.com.ua, G Data Software попереджає про появу нового трояна Ares.

Згідно з даними компанії G Data Software, найближчим часом на підпільному Інтернет-ринку з’явиться нова троянська програма Ares. Також як і ZeuS, який був поширений мільйонними копіями раніше цього року, новий код Ares має модульну структуру.

За повідомленням news.techlabs.by, Євросоюз провів перші кібернавчання.

У листопаді в Європі відбулися масштабні кібернавчання. IT-ресурси, що мають першочергове значення для Євросоюзу, піддалися іспиту на міцність: їм довелося відбивати штучно змодельовані напади, що повинні були перевірити, наскільки готові відбити масовані DDoS-атаки європейські країни.

За повідомленням hackzona.com.ua, у Twitter поширюється вірус. Новий комп’ютерний вірус поширився по сервісу мікроблогів Twitter через міні-посилання, створені за допомогою сервісу для скорочення URL goo.gl.

Користувачі, що пройшли за лінками зробленими через сервіс goo.gl, потрапляли на сайт, який краде логіни і паролі їх облікових записів в Twitter. Вірус спочатку з’явився в мобільній версії Twitter, а через кілька годин поширився і на основну версію сервісу.

Зазначу, що goo.gl - це сервіс скорочення URL (редиректор) від Google . Дірявість сервісів Гугла давно відома - я вже багато років пишу про уразливості на сайтах Гугла - тому даний випадок з використанням сервіса Google для розповсюдження віруса на Twitter є цілком передбачуваним.

01.10.2010

У червні, 07.06.2010, я знайшов нові Cross-Site Scripting та SQL DB Structure Extraction уразливості в системі Cetera eCommerce (онлайн магазин). Які виявив на демо сайті розробників системи http://ecommerce-demo.cetera.ru.

Раніше я вже писав про уразливості в Cetera eCommerce.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

11.12.2010

XSS:

http://site/cms/templates/banner.php?bannerId=%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL DB Structure Extraction:

http://site/cms/templates/banner.php?bannerId=’

Уразливі Cetera eCommerce 14.0 та попередні версії. Розробники в себе на сайт досі так і не виправили уразливості.

Виявлена можливість зниження рівня захисту в OpenSSL.

Уразливі версії: OpenSSL 0.9.

Нападник може понизити якість шифрування для наступних сеансів.

• OpenSSL vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in Cisco Digital Media Manager (деталі)
• ACollab Multiple Vulnerabilities (деталі)
• Insecure secure cookie in Tornado (деталі)
• Cisco Digital Media Player Remote Display Unauthorized Content Injection Vulnerability (деталі)
• Jgrid 1.0 Joomla Component Local File Inclusion Vulnerability (деталі)
• XSS vulnerability in pimcore (деталі)
• XSRF (CSRF) in CMSimple (деталі)
• XSS vulnerability in CMSimple (деталі)
• New Shibboleth 1.x packages fix potential code execution (деталі)
• New xmltooling packages fix potential code execution (деталі)

19.04.2010

У жовтні, 10.10.2009, я знайшов SQL Injection та Redirector уразливості на сайті http://webmanager-pro.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

10.12.2010

SQL Injection:

http://webmanager-pro.com/c.php?id=1%20and%20version()=5

Redirector:

http://webmanager-pro.com/c.php?id=1&url=http://websecurity.com.ua

Якщо SQL Injection уразливість вже виправлена, то Redirector досі не виправлена.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.gaisumy.gov.ua (хакерами з bLacKc00d3s) - черговий похаканий державний сайт на Joomla
• http://aliotcity.net (хакером BHIERIEN) - 30.11.2010, зараз сайт вже виправлений адмінами
• http://www.imperial-water.kh.ua (хакерами з Republic of Kosovo Hackers) - 12.2010, зараз сайт вже виправлений адмінами
• http://samplesland.com (хакером GHoST61) - 12.2010, зараз сайт вже виправлений адмінами
• http://www.astashenok.name (хакером Netservice) - 28.11.2010, зараз сайт вже виправлений адмінами

Продовжуючи розпочату традицію, після попереднього відео про DoS атаки на сервер, пропоную нове відео на веб секюріті тематику. Цього разу відео про основи веб безпеки. Рекомендую подивитися всім хто цікавиться цією темою.

website security basics

В відео розповідається про основи безпеки веб сайтів. Про необхідність слідкувати за безпекою навіть невеликих сайтів. Тому що в наш час цілями хакерів є не тільки державні сайти чи сайти банків, а будь-які веб ресурси, в тому числі невеликі сайти. Які можуть використовуватися для різноманітних зловмисних цілей, зокрема і для проведення атак на більш крупні й важливі сайти.

Рекомендую подивитися дане відео для розуміння необхідності слідкувати за безпекою власних сайтів.

21.09.2010

Ще в березні, 13.03.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості в Joomla. Уразливості мають місце в компоненті com_mailto, що є стандартним компонентом Joomla. Які я виявив на сайті www.hackerscenter.com. Про що найближчим часом повідомлю розробникам.

Про подібні Insufficient Anti-automation та Abuse of Functionality уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.

Також раніше я вже писав про уразливості в Joomla.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

09.12.2010

Insufficient Anti-automation:

http://site/component/mailto/?tmpl=component&link=1

На даній сторінці немає захисту від автоматизованих запитів (капчі). В системі використовується таймаут для захисту, але це легко обходиться.

Abuse of Functionality:

Можлива розсилка спаму на довільні емайли (можна підмінити всі важливі поля, а також можна підмінити URL в Joomla до 1.5.7). А з використанням Insufficient Anti-automation уразливості можна автоматизовано розсилати спам з сайта в великих обсягах.

XSS:

POST запит на сторінці http://site/component/mailto/?tmpl=component&link=1
" style="xss:expression(alert(document.cookie))В полях: E-mail to, Sender, Your E-mail, Subject.

Уразливі всі версії Joomla з даним функціоналом (Joomla! 1.5.22 та попередні версії). XSS уразливості відсутні в Joomla! 1.5.21 та 1.5.22, тому вони мають місце в більш ранніх версіях системи.

Розробники Joomla відмовилися виправляти дані уразливості в своїй системі.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків, онлайн магазинів, баннерних систем, електронних платіжних систем та e-commerce сайтах (Уанета та Рунета):

• bill.dating.ru
• www.abn-ad.com
• bizbanner.com.ua
• www.banner.kiev.ua
• www.banner.kiev.ua
• www.banner.kiev.ua
• cpmstar.com
• server.cpmstar.com, ad1.emediate.dk та www.adspeed.com
• forum.banner.kiev.ua
• www.kontrakt.ua
• Приват24 (версія для Facebook)
• LiqPAY
• bill.dating.ru
• optik.kiev.ua

Також я писав про уразливості в движках магазинів:

• eSitesBuilder
• Fabrica Engine

А також згадував про взломані онлайн магазини та баннерні системи в Уанеті:

• www.aktiva.ua
• banner.ua - DDoS атака на сайт

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.