Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP MagCloud iPad App, Remote Unauthorized Access to Data (деталі)
• Cookie Auth Bypass in Hot Links SQL (деталі)
• URL and Title XSS in AxsLinks (деталі)
• HP Operations Agent Running on Windows, Local Elevation of Privileges and Remote Execution of Arbitrary Code (деталі)
• report.cgi SQL inj in Hot Links SQL (CGI version) (деталі)
• url XSS in Hot Links Lite (деталі)
• Multiple Vulnerabilities in Cisco Wireless LAN Controllers (деталі)
• sitename XSS in Hot Links Lite (деталі)
• Multiple XSS in MCG GuestBook (деталі)
• HP ProLiant G6 Lights-Out 100, Remote Management, Denial of Service (DoS) (деталі)

Відсутність захисту в логін формах, зокрема капчі, може призвести до різних атак. І не тільки до Brute Force атак (WASC-11), що є відомою уразливістю в формах аутентифікації, а також до багатьох інших атак направлених на інші уразливості сайта чи веб додатка. І я вже багато років зустрічаю можливості для подібних атак на різних сайтах і движках.

Якщо від Brute Force атак можна захищатися як за допомогою капчі, так й інших методів (обмеження доступу по IP чи блокування акаунту на деякий час), то у випадку інших уразливостей, коли відбуваються віддалені чи автоматизовані атаки, використання капчі є дуже актуальним.

А так як дуже рідко капча використовується в логін формах, то дана проблема є дуже поширеною в Інтернеті. На сайтах де немає уразливостей в адмінці чи акаунтах користувачів можна обійтися без капчі (наприклад, я не використовую в себе на сайті капчі в логін формі, бо для мене це не актуально), а ось для сайтів з внутрішніми уразливостями це дуже актуально. Мільйони веб сайтів, багато движків та різних пристроїв з веб інтерфейсом (таких як роутери, модеми та інші) зараз є вразливими до даних атак.

Відсутність захисту від автоматизованого (віддаленого) логіну, зокрема капчі, може бути використано:

• Для проведення Brute Force атак.
• Для проведення Login Enumeration атак - при наявності відповідних Abuse of Functionality уразливостей в логін формах, як в MyBB.
• Для проведення XSS атак - при наявності відповідних XSS уразливостей, як в MyBB.
• Для проведення Redirector атак - при наявності відповідних URL Redirector Abuse уразливостей, як в MyBB.
• Для проведення CSRF атак (для віддаленого логіну), в тому числі на різні девайси (зокрема на модеми). Про подібні атаки на адмінки ADSL модемів я розповім найближчим часом.
• Для проведення фішинг атак, коли викрадаються облікові дані користувача і одразу ж відбувається логін в його акаунт (наприклад, для викрадення грошей з рахунку). Про Insufficient Anti-automation уразливість в LiqPAY, що може бути використана для подібних атак, я вже розповідав.
• Для проведення SQL Injection атак, коли є звичайна SQLi або blind SQLi уразливість в акаунті користувача, і треба експлоіту залогінитися і дістати дані з БД. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
• Для проведення RCE атак, коли необхідна авторизація для віддаленого виконання команд. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
• Для проведення Arbitrary File Upload атак - через відповідні уразливості в акаунті користувача, як в WordPress. В такому випадку капча ускладнить життя при експлуатації даних уразливостей.
• Для проведення Abuse of Functionality атак - через різні AoF уразливості в акаунті користувача, наприклад тих, що дозволяють розсилати спам. Як в Drupal та в модулі в Print для Drupal.

При цьому потрібно, щоб капча була в логін формі одразу, а не з’являлася після невдалої спроби аутентифікації, як це має місце в MyBB. Що призводить до можливості проведення зазначених атак (як XSS і Redirector атак в MyBB), тому що аутентифікація при проведенні даних атак відбувається ще до появи капчі.

Так що при наявності будь-яких з наведених уразливостей (за виключенням Brute Force, яка може бути виправлена й іншими методами), капча в логін формі може знадобитися - чи як основний, чи як додатковий захист. Особливо якщо ті чи інші уразливості не можуть бути виправлені, як у випадку AoF, коли вони є важливим функціоналом сайта.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dmsu.gov.ua (хакером MCA-CRB) - 15.04.2011 - взломаний державний сайт
• http://дизайн-интерьер.com.ua (хакером L-H-G) - 31.03.2011, зараз сайт вже виправлений адмінами
• http://www.gaz24.info (хакером webi) - 13.03.2011, зараз сайт вже виправлений адмінами
• http://www.azoveko.com (хакером fouad11000) - 10.04.2011, зараз сайт вже виправлений адмінами
• http://www.mozart-pool.kiev.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS)

12.03.2011

У січні, 03.01.2011, я знайшов Information Leakage, Abuse of Functionality, Insufficient Anti-automation та Brute Force уразливості в форумному движку MyBB. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MyBB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

21.04.2011

Information Leakage:

Логіни є іменами користувачів на форумі (і відповідно на сторінках форума можна виявити логіни).

Abuse of Functionality:

В даних функціоналах можливе виявлення логінів - по id можна визначити всі логіни:

http://site/member.php?action=profile&uid=1

http://site/member.php?action=activate&uid=1

Abuse of Functionality:

http://site/member.php?action=login

Якщо вводити неправільний логін і пароль та правильний логін і неправильний пароль, то в другому випадку з’являється капча. Що дозволяє виявляти логіни (при цьому цей процес може бути автоматизованим, тому що не захищений капчею).

Insufficient Anti-automation:

http://site/member.php?action=activate&uid=1

http://site/member.php?action=lostpw

В даних функціоналах немає захисту від автоматизованих атак (капчі).

Brute Force:

В формі логіна використовується вразлива капча (http://site/member.php?action=login), яка з’являється після невдалої спроби аутентифікації.

Для обходу капчі використовується метод session reusing with constant captcha bypass method описаний в моєму проекті Month of Bugs in Captchas.

Уразливі MyBB 1.6.3 та попередні версії. В версіях MyBB 1.6.3 та 1.4.16, що вийшли 17.04.2011, розробники не виправили дані уразливості.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Universal Post Manager та WP-StarsRateBox. Для котрих з’явилися експлоіти. Universal Post Manager - це плагін для створення голосуваннь та багатьох інших функцій на сайті на WP, WP-StarsRateBox - це плагін для створення рейтингу сторінок.

• Multiple SQL Injection in Universal Post Manager wordpress plugin (деталі)
• SQL Injection in WP-StarsRateBox wordpress plugin (деталі)
• Multiple XSS in WP-StarsRateBox wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своїй презентації Securing Web Applications, Eric Lawrence з Microsoft розповідає про безпеку веб додатків. Про атаки на веб додатки і браузери та про методи їх убезпечення (зокрема про можливості IE8).

Минулої осені відбувся черговий масовий взлом сайтів на сервері Delta-X, після попереднього взлому сайтів на сервері Delta-X. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний другий сервер компанії Delta-X. Всього в листопаді було взломано 5 серверів даної компанії, це другий випадок з п’яти (про кожен з них я розповім окремо). Майже всі дефейси на цих серверах були проведені на протязі 23-25 листопада, лише декілька сайтів було взломано вже цього року.

Всього було взломано 2360 сайтів (що значно більше ніж попереднього разу) на сервері української компанії Delta-X (IP 195.64.184.28). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт www.yampil-rda.gov.ua.

Зазначені сайти були взломані 25.11.2010. Дефейси всіх 2360 сайтів було проведено хакером iskorpitx.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

10.09.2010

У квітні, 28.04.2010, я знайшов Information Leakage та Insufficient Authorization уразливості на http://kvs.gov.ua - сайті Державного департаменту України з питань виконання покарань. Про що найближчим часом сповіщу адміністрацію сайта.

До речі, цей сайт був неодноразово взломаний в цьому році. Й до сих пір на сайті залишилося чимало сторінок зі “слідами взломів” (адміни так досі сайт і не почистили).

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.04.2011

Information Leakage:

http://kvs.gov.ua/info/ - витік інформації про структуру каталога та підкаталогів

http://kvs.gov.ua/info/news.inc - витік вихідного коду

Insufficient Authorization:

http://kvs.gov.ua/info/admin/press.php

http://kvs.gov.ua/info/admin/news.php

Дані уразливості досі не виправлені (лише відключені функції додавання та видалення даних в цих двох скриптах).

Пропоную вашій увазі добірку уразливих сайтів від Dementor (з числа українських веб сайтів). Дані уразливості він знайшов та оприлюднив в 2010-2011 роках.

• Вразливості на abcstuff.com.ua (онлайн магазин)
• Вразливості на torg.ua
• Вразливості на сайтах телекомпанії 1+1
• Вразливості на security-ua.com (секюріті сайт)
• Вразливості на jobs.ua

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kivadm.gov.ua - інфікований державний сайт - інфекція була виявлена 08.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://man.gov.ua - інфікований державний сайт - інфекція була виявлена 02.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://pryvitannya.at.ua - інфекція була виявлена 07.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://play-games.at.ua - інфекція була виявлена 04.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://psybot.pp.net.ua - інфекція була виявлена 05.03.2011. Зараз сайт не входить до переліку підозрілих.