Websecurity - Веб безпека

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Blocking Alert, RSnake розповідає про блокування alert-боксів, що використовуються при тестуванні XSS уразливостей. Про те, що це не є правильним підходом і про методику, як це обмеження обійти.

Сам багато разів стикався з такими випадками, коли блокувалася функція alert (чи інші функції), при цьому XSS уразливість залишалася і атаку можна було провести через інший вектор. Тому XSS уразливості потрібно виправляти якісно, не блокуючи лише якісь окремі фрази. До речі, подібним “страждають” і WAF, які також обходяться за рахунок використання інших векторів атак .

В своєму записі Why HttpOnly won’t protect you, PDP ще в 2007 році розповів про те, чому HttpOnly кукіси не врятують від XSS атак. Технологія HttpOnly для захисту сесійних кукісів має обмежені можливості - вона захищає лише від викрадення сесійних кукісів, але не від XSS атак взагалі (а дані атаки не обмежуються лише викраденням кукісів).

Про що я багато років нагадую всім тим адмінам і веб девелоперам, які замість виправлення XSS, лише виправляють один з векторів атаки (за допомогою HttpOnly чи інших методів). А XSS уразливості потрібно виправляти якісно.

В своєму записі Micro PHP LFI Backdoor, RSnake розповідає про компактний LFI бекдор. Та про нестандартні методи проведення LFI атак (про деякі з них я вже розповідав, а про інші розповім з часом).

В цьому місяці, 05.03.2011, відбувся масовий взлом сайтів на сервері Realon Service. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Realon Service. Взлом відбувся після згаданого масового взлому сайтів на сервері Faust.

Всього було взломано 173 сайти на сервері Realon Service (IP 194.54.81.150). Це наступні сайти: dotar.kr.ua, alau.com.ua, alma-taro.ru, andysoftware.ru, asoftware.org.ua, avantes.net, badapps.ru, akwatoria.com, aloha.kiev.ua, 2236161.kiev.ua, art-web.net.ua, 24diplom.com, agrobudtrade.com.ua, amwaymagazin.com.ua, avto-remont.org.ua, buller.kiev.ua, board.canis-club.org, baratameds.com, book-auto.com, boombaster.com, bmfiles.com, canis-club.org, civilcepro.gov.ua, cleverrhythms.kiev.ua, cinemax5d.com, china-on-sale.com, confiskat.in.ua, coalition.mk.ua, dimicandum.com.ua, delice.mk.ua, divainternational.ch, dashaakulova.com, comfortline.kiev.ua, dokumentik.com, diplomrf.com, dives-group.ru, edu-ukraine.com, drugpreguntas.com, el-help.info, elitediscount.net, enoflex.com, este-line.com.ua, familycounseling-odessa.org, fcpolyana.com, eurostyle.net.ua, fci-tech.com, eyvazov-md.com, garant-realty.com.ua, fordodessa.com, evfreesm.com, findbransonperry.com, estet-taxi.com, gek.od.ua, gardpro.com.ua, feyeriya.com, galocamera.co.ua, garmin.mk.ua, ingi.com.ua, hostingmaks.mk.ua, gilles.in, ifnmu.com.ua, interstroy.com.ua, interglobus.com.ua, iqtravel.com.ua, ivestland.ru, imvest.com.ua, kawa4ay.com.ua, kind-heart.info, jdissa.com, karamelka.com.ua, jeans-optom.com.ua, klondaik-engineering.com, izmailtv.com, korea-san.com.ua, knauf.ivestland.ru, kupalnik.mk.ua, kvartiravip.net.ua, l-tour.dn.ua, kulkoff.com, lasante.od.ua, lcc-izmail.org, mamasale.com.ua, liya.net.ua, lider-mebeli.com, mgroup.org.ua, melarhim.com, mir-remonta.kiev.ua, mlm4you.ru, lipowl.com, mlmcompany.ru, mobilife.com.ua, mobilacs.org.ua, moybb.com.ua, my4erdak.com, newfxgames.com, munten.ru, oemoil.net, na2se4ka.com, nikomramor.com, ochakovsea.kiev.ua, oknaport.com, mylifestyle.com.ua, nikofilm.com.ua, one-shot.com.ua, pellets.mk.ua, perlyna.lviv.ua, oniks-pf.com.ua, panacey.com.ua, ortolutsk.com, pellets.biz.ua, otsyideti.org, partner-business.com.ua, predictions-fate.com, polelya.com.ua, prolisok.kiev.ua, pri4al.com, saltroom.com.ua, satava-trans.com.ua, romashka.mk.ua, vanilla-man.com, soblazn.od.ua, shkola-slova.com.ua, thermomix.mk.ua, speleocamera.com.ua, sociolab.net, rmesenv.com, racingstream.net, tkachenkoalex.net, veneda.com.ua, spbdiplom.com, profi-kursi.com, speleocamera.kiev.ua, tneu.com.ua, speleocamera.co.ua, respect.mk.ua, salsa-dance.com.ua, smgzone.com, ruseries.com, science-house.odessa.ua, topseries.net, saltlamp.org.ua, shalemonblan.com.ua, toy-dom.com, scorini.com, shock-anti.com, saki-crimea.com.ua, shop.prodecoupage.com, sticker-online.net, stroyremont.in.ua, tvoymalysh.in.ua, scorini.com.ua, terazoid.com.ua, talk.mk.ua, skazka.mk.ua, sutrakiev.com.ua, prospekt-realty.com, silversphinx.com.ua, tokio.com.ua, promizol.mk.ua, sidecarmx.com.ua, rfdiplom.com, remont-pro.com.ua, rfdocument.com, safedisk.od.ua, sitecheckup.net, radiostanciya.com, weles.com.ua, webomarket.mk.ua, xtremeartclub.net, vetka.com.ua, wellspa.com.ua, weddinggallery.com.ua, wellness-spa.com.ua. Серед них український державний сайт civilcepro.gov.ua.

Всі зазначені сайти були взломані 5 березня 2011 року. Дефейси 173 сайтів проведено хакерами з RBH-Crew.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

20.01.2011

У жовтні, 31.10.2010, я знайшов Local File Inclusion, Insufficient Anti-automation, Cross-Site Scripting та Full path disclosure уразливості в W-Agora (це система веб публікації, тобто по суті CMS). Які я виявив на різних сайтах, що використовують дану систему. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в W-Agora.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

18.03.2011

Local File Inclusion:

http://site/register.php?bn=1 (в папці conf)

http://site/register.php?bn=..\1 (в будь-які папці - тільки на Windows-серверах)

Local File Inclusion:

Дана уразливість працює в 4.0, але атака в Windows не працює в 4.2.1.

http://site/rss.php3?site=1 (в папці conf)

http://site/rss.php3?site=\..\1 (в будь-які папці - тільки на Windows-серверах)

Insufficient Anti-automation:

http://site/register.php?site=support

В формі немає захисту від автоматизованих запитів (капчі).

XSS:

http://site/register.php?bn=%3Cbody%20onload=alert(document.cookie)%3E

XSS:

Дана уразливість працює в 4.0, але не працює в 4.2.1.

http://site/rss.php3?site=%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure:

http://site/rss.php?bn=1

Уразливі W-Agora 4.2.1 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах PhotoSmash Galleries та 1 Flash Gallery. Для котрих з’явилися експлоіти. PhotoSmash Galleries - це плагін для стоворення фото галерей, 1 Flash Gallery - це ще один плагін для стоворення фото галерей.

• XSS in PhotoSmash wordpress plugin (деталі)
• XSS in 1 Flash Gallery wordpress plugin (деталі)
• SQL Injection in 1 Flash Gallery wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про діряві сайти McAfee, пропоную нове відео на веб секюріті тематику. Цього разу відео про Google як загрозу вашій приватності. Рекомендую подивитися всім хто цікавиться цією темою.

Google’s Part In Growing Threats To Your Privacy

Подібно до відео про ризики використання Gmail та Chrome від Google, де розповідалося про ризики приватності, що виникають при використанні Gmail та Chrome від Google, в даному відео розповідається про ризики використання пошуковця Гугла та браузера Chrome, як і взагалі всіх веб сервісів даної компанії. Це запис сюжету, що був показаний в новинах на телебаченні в США.

Про ризики для приватності для Інтернет користувачів, що йдуть від компанії Google, говориться вже багато років. І регулярно виникають різні заяви, як незалежних громадськіх організацій, так і деяких компаній, що займаються вивчення приватності, а також подібні заяви були від представників ЄС, що звинувачують Гугл у створенні ризиків приватності й занадто активному збиранні інформації про користувачів їхніх сервісів та програмних продуктів. А також в сервісі Safe Browsing, з яким працює не тільки Chrome, але й інші браузери, зокрема Firefox.

Це чергова заява Consumerwatchdog стосовно підходів Гугла . Рекомендую подивитися дане відео для розуміння ризиків приватності при використанні веб сервісів, зокрема сервісів Гугла.

Виявлені численні уразливості безпеки в Apple WebKit, Safari, Google Chrome.

Уразливі продукти: Apple Safari 5.0, Google Chrome 9.0.

Численні уразливості при розборі PNG, TIFF, JPEG, XML, численні пошкодження пам’яті в WebKit.

• chromium-browser security update (деталі)
• About the security content of Safari 5.0.4 (деталі)
• Apple Safari WebKit Iframe Event Handling Remote Use-after-free (деталі)
• Apple Safari WebKit Scroll Event Handling Remote Use-after-free (деталі)
• Apple Safari WebKit Block Dimensions Handling Integer Overflow (деталі)
• Apple CoreGraphics Library Heap Memory Corruption Vulnerability (деталі)
• Apple Webkit Error Message Mutation Remote Code Execution Vulnerability (деталі)
• Apple Safari WebKit Range Object Remote Code Execution Vulnerability (деталі)
• Apple Webkit setOuterText Memory Corruption Remote Code Execution Vulnerability (деталі)
• Apple Safari Webkit Runin Box Promotion Remote Code Execution Vulnerability (деталі)
• Apple Webkit Font Glyph Layout Remote Code Execution Vulnerability (деталі)
• Apple Webkit Root HTMLBRElement Style Remote Code Execution Vulnerability (деталі)
• Apple iPhone Webkit Library Javascript Array sort Method Remote Code Execution Vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• blogit-(ing) Database Disclosure Exploit (деталі)
• complete-blog-(ing) Database Disclosure Exploit (деталі)
• fatihsoftblog-(tr) Database Disclosure Exploit (деталі)
• Exploits Sysax Multi Server “open”, “unlink”, “mkdir”, “scp_get” Commands DoS Vulnerabilities (деталі)
• DoS Exploit of Quick Easy Ftp Server version <=3.9.1 USER COMMAND Buffer Overflow (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pfukonotop.hmarka.net (хакером Nothing) - взломаний державний сайт (на безкоштовному хостінгу)
• http://nissi.com.ua (хакером Seif Jelidi)
• http://www.poetryclub.com.ua (хакером Samar Obrin) - 12.03.2011, зараз сайт вже виправлений адмінами
• http://mobile-notes.net (хакерами з RBH-CREW)
• http://timo.kiev.ua (хакерами з Black HaT Group)

Розщеплення HTTP-запиту (HTTP Response Splitting) - це уразливості, що відносяться до категорії атак на клієнта і вони поширені в сучасних веб додатках. Та можуть використовуватися для різних атак на користувачів і відвідувачів веб сайтів, в тому числі для проведення XSS атак.

В класифікації WASC TC v2.0 HTTP Response Splitting мають ідентифікатор WASC-25.

Різновиди HTTP Response Splitting.

HTTP Response Splitting (HTTPRS) уразливості бувають наступних типів:

1. Reflected HTTP Response Splitting.
2. Persistent HTTP Response Splitting.

Reflected HTTP Response Splitting.

Reflected HTTP Response Splitting - це найбільш поширений різновид уразливостей розщеплення HTTP-запиту. При відправці спеціального запиту до уразливого веб додатку, він відповідає на цей запит і при цьому в його відповідь додається інший серверний заголовок (або заголовки).

Це дозволяє задати користувачу сайта довільний кукіс, провести XSS атаку, редиректнути на інший сайт або провести іншу атаку. Що відбувається через додавання відповідних серверних заголовків.

HTTPRS:

http://site/page?p=%0AHeader:value

HTTPRS + XSS:

http://site/page?p=%0AContent-Type:html%0A%0A%3Cscript%3Ealert(document.cookie)%3C/script%3E

Persistent HTTP Response Splitting.

Persistent HTTP Response Splitting - це інший різновид уразливостей розщеплення HTTP-запиту, що я виявив в 2008 році в FeedBurner FeedSmith плагіні для WordPress. Дані уразливості більш рідкісні ніж Reflected HTTPRS, але при цьому більш небезпечні.

При Persistent HTTPRS уразливості атака носить постійний характер. Після відправки спеціального запиту до уразливого веб додатку, дані зберігаються на сервері (у файлі чи БД) та виводяться при зверненні до відповідних скриптів. Це може бути той же скрипт, що прийняв запит, а можуть бути й інші скрипти (як у випадку FeedBurner FeedSmith), після звернення до яких відбувається додавання нових серверних заголовків у відповідь веб додатку.

І при всіх наступних зверненнях до даної сторінки (скрипта) буде відбуватися атака. Що дозволяє, наприклад, проводити Persistent XSS атаки або інші perstistent атаки.

15.01.2011

У жовтні, 27.10.2010, я знайшов Cross-Site Scripting, Local File Inclusion та Brute Force уразливості в W-Agora (це система веб публікації, тобто по суті CMS). Які я виявив на офіційноу сайті w-agora.net. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в W-Agora.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.03.2011

XSS:

http://site/current/getfile.php/support_howto/%22%3E%3Cbody%20onload=alert(document.cookie)%3E/1/

Local File Inclusion:

В папці conf:

http://site/current/getfile.php/1

http://site/current/index.php?bn=1

http://site/current/list.php?bn=1

В будь-які папці (тільки на Windows-серверах):

http://site/current/getfile.php/..\1

http://site/current/index.php?bn=..\1

http://site/current/list.php?bn=..\1

Brute Force:

http://site/current/login.php

Уразливі W-Agora 4.2.1 та попередні версії.