Websecurity - Веб безпека

Нещодавно, 26.04.2011, вишла нова версія WordPress 3.1.2. Вона вийшла одразу після мого оприлюднення уразливостей в WP 2.5 - 3.1.1.

WordPress 3.1.2 це секюріті випуск 3.1 серії. В якому розробники виправили деякі баги, а також виправили одну уразливість.

Це Abuse of Functionality уразливість, що дозволяла користувачам з правами Contributor некоректно публікувати пости. При цьому Code Execution уразливість в WordPress, яку я нещодавно оприлюднив, виправлена не була.

18.03.2011

У січні, 03.01.2011, я знайшов Cross-Site Scripting, URL Redirector Abuse та Insufficient Anti-automation уразливості в форумному движку MyBB. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MyBB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

28.04.2011

Для XSS та URL Redirector Abuse використовується робочий акаунт на вразливому форумі. Про подібні атаки я писав в статті Атаки на незахищені логін форми.

XSS:

MyBB XSS-3.html

URL Redirector Abuse:

MyBB Redirector.html

Insufficient Anti-automation:

В формі реєстрації (http://site/member.php?action=register) використовується вразлива капча.

Для обходу капчі метод session reusing with constant captcha bypass method не підходить (на відміну від форми логіну, хоча це та сама капча, тому що в цій формі вони зробили дірку “не повністю”). Тому потрібно використати half-automated method описаний в моєму проекті Month of Bugs in Captchas.

Також може бути включене обмеження по IP. Обмеження на дві рєстрації з одного IP за 24 години повністю не захистить, бо обходиться через використання проксі. Тому потрібно мати надійну капчу.

Уразливі MyBB 1.6.3 та попередні версії. В версіях MyBB 1.6.3 та 1.4.16, що вийшли 17.04.2011, розробники не виправили дані уразливості.

02.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://www.c3.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.04.2011

SQL Injection:

http://www.c3.kiev.ua/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість виправлена шляхом заміни движка (замінили один дірявий движок на інший дірявий).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ck.ssmsc.gov.ua (хакером brwsk007) - 20.04.2011 - взломаний державний сайт
• http://prohorovka.com.ua (хакерами з RKH) - 22.04.2011, зараз сайт вже виправлений адмінами
• http://www.kaminkiev.com.ua (хакерами з RKH) - 22.04.2011, зараз сайт вже виправлений адмінами
• http://glazer.com.ua (хакерами з RKH)
• http://www.begemot.com.ua (хакерами з 1923Turk-Grup) - 16.04.2011, зараз сайт вже виправлений адмінами

В статті HTML5: взгляд через призму безопасности розповідається про п’яту версію стандарту HTML. І проводиться оцінка HTML5 з позиції безпеки.

В даній статті розглянуті наступні нововедення стандарту HTML5 та їх вплив на безпеку браузерів, сайтів та веб додатків:

• Веб сховище.
• SQL ін’єкція у веб браузері.
• Нові теги й атрибути.
• Нові типи полів форм.
• Валідація даних у формах.
• Міждоменна взаємодія.
• Визначення місця розташування.

Стосовно міждоменної взаємодії (Cross-Domain Messaging) в сучасних браузерах та ризиків безпеки, що вона несе, я вже писав в своїй статті Міжсайтові XHR атаки. Де я описав можливості проведення атак нового типу на браузери, що підтримують Cross-Site XMLHttpRequest (це технологія розроблена виробниками браузерів, а W3C в стандарті HTML5 також намагається запровадити подібну технологію).

В даній добірці уразливості в веб додатках:

• Alcatel-Lucent - unauthenticated administrative access to CTI CCA Server (деталі)
• XSS vulnerability in Wolf CMS (деталі)
• XSRF (CSRF) in Frog CMS (деталі)
• 3Com OfficeConnect Gigabit VPN Firewall (3CREVF100-73), Remote Cross Site Scripting (XSS) (деталі)
• XSS vulnerability in Frog CMS (деталі)
• HP System Management Homepage (SMH) for Linux and Windows, Remote URL Redirection (деталі)
• XSS vulnerability in Frog CMS (деталі)
• HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS), HTTP Response Splitting, and Other Vulnerabilities (деталі)
• XSS vulnerability in Wolf CMS (деталі)
• HP System Management Homepage (SMH) for Linux, Remote Disclosure of Sensitive Information (деталі)

01.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://sailing.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

26.04.2011

SQL Injection:

http://sailing.com.ua/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість досі не виправлена.

Продовжуючи розпочату традицію, після попереднього відео про приватні дані в Інтернеті, пропоную нове відео на веб секюріті тематику. Цього разу відео про використання редиректорів для атаки. Рекомендую подивитися всім хто цікавиться цією темою.

java.com Arbitrary URL Redirect

В даному відео від YGN Ethical Hacker Group показаний процес використання URL Redirector Abuse уразливості, що вони знайшли на сайті java.com. В своїх статтях Редиректори: прихована загроза та Атаки через закриті редиректори я детально розповів про небезпеки даних уразливостей.

В відео показано як можна використати подібну уразливість для редирекції відвідувача на довільний сайт. Зокрема на сайт зі шкідливим ПЗ. Рекомендую подивитися дане відео для розуміння ризиків атак через редиректори.

Раніше я вже писав про численні уразливості в WordPress 2 та 3, а зараз повідомляю про Code Execution уразливість в WordPress, яку я виявив 18.04.2011 (хоча цю проблему я став досліджувати ще з 2006 року, як почав використовувати WP).

Можлива Code Execution атака в WordPress через аплоадер. Атака може бути проведена користувачами з правами Author, Editor та Administrator.

В WordPress 2.5 - 2.8.4 можна завантажувати php скрипти (1.php) в Media Library. В 2.5 - 2.7.1 атака можлива лише для Administrator. Для Author та Editor не можна завантажити ні 1.php, ні через подвійні розширення атака не спрацює.

В версії 2.8.5 це було заборонено також і для Administrator. І хоча в 2.8 - 2.8.5 для Author та Editor (а для Administrator в 2.8.5) не можна завантажити 1.php, зате можна завантажити 1.php.txt.

При тому, що в WP 2.0 - 2.0.11 (де не було Media Library) для усіх ролей не можна було завантажувати файли з php розширенням (та обхідні методи не працювали). Як і в версіях 2.1.x, 2.2.x і 2.3.x. Лише в WordPress 2.2 Alexander Concha знайшов уразливість, що дозволяла завантажувати файли з php розширенням (вона стосується тільки версій WordPress 2.2 та WordPress MU <= 1.2.2).

В версіях 2.8.6 і вище це вже заборонено. Атака через подвійні розширення (1.php.txt чи 1.asp;.txt) не спрацює, але можна використати 1.phtml.txt (для всіх трьох ролей) для виконання коду.

Уразливі версії WordPress 2.5 - 3.1.1. Перевірено в WordPress 2.6.2, 2.7, 2.8, 2.8.4, 2.8.5, 2.8.6, 2.9.2, 3.0.1 і 3.1.1. Атака через подвійне розширення спрацює на Apache з відповідною конфігурацією.

P.S.

Свіжевипущений WP 3.1.2 також уразливий.

09.08.2010

У лютому, 19.02.2009, я знайшов SQL Injection уразливість на проекті http://www.hoodrook.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

25.04.2011

SQL Injection:

http://www.hoodrook.com/news/podrob.php3?id=-1%20or%20version()=5.1

Дана уразливість досі не виправлена.