Websecurity - Веб безпека

Раніше я вже розповідав про різні класи Сross-Site Scripting уразливостей, в тому числі про багато класів XSS створених мною. В останнє я розповідав про Міжмовний XSS (Cross-Language Scripting) та Міжконтекстний XSS (Cross Context Scripting). А зараз розповім вам про ще один тип XSS уразливостей.

Це Міжпрограмний XSS - Cross-Application Scripting (CAS, XAS). Про який я згадув раніше в добірці статей і зараз розповім докладніше. Цей різновид XSS уразливостей трапляється в локальних додатках. Причому в зазначеній статті на Вікіпедії згадується не тільки про Cross-Application Scripting, але й про Cross-Application Request Forgery (CARF).

Різновиди Cross-Application Scripting.

Бувають наступні види Міжпрограмного XSS:

• Постійний XAS - persistent XAS.
• Відбитий XAS - reflected XAS.

Даний різновид XSS може використовуватися для атак на локальні додатки. Як шляхом передачі атакуючого коду локально (через файл) чи віддалено для уразливого додатку, так і шляхом атаки через буфер обміну.

Особливості Міжпрограмного XSS.

Дані уразливості трапляються в локальних додатках, що використовують браузерні движки. Такі як движок браузера Internet Explorer (Trident) чи інших браузерів. Тому виконання JavaScript/VBScript коду в таких додатках призводить до виконання коду в браузері в локальному контексті. З відповідними наслідками (зокрема можливий доступ до файлової системи, що може призвести до витоку інформації з локальних файлів).

Як і у випадку Local XSS, дані уразливості мають місце в локальних додатках - в цьому схожість цих класів XSS. Але XAS уразливості направлені на локальний комп’ютер, а не на веб сайти - в цьому цей клас схожий з Cross Context Scripting. Але якщо у випадку Cross Context Scripting атака відбувається в рамках одного додатку (чи в самому браузері, чи через плагін/доповнення/тулбар до браузеру), то у випадку XAS атака відбувається між різними додатками. Так само як це має місце в Міжпрограмних DoS (Cross-Application DoS), про які я писав в 2008 році.

Окрім виконання JS/VBS коду в локальному контексті подібно до Cross Context Scripting (Cross-zone scripting), XAS може використовуватися для виконання коду в локальному додатку (вразливому до переповнення буферу).

Детально про Cross-Applications Scripting ще в 2005 році розповів QQLan в статті XSS – WEB = Cross-Applications Scripting. В якій автор навів цікаві приклади XAS дірок в сканері безпеки WebInspect та в утілітах Windows.

Приклади Cross-Application Scripting уразливостей.

Прикладами Міжпрограмного XSS є наступні уразливості в декстопних програмах, зокрема таких як антивіруси, IM-клієнти, словники, сканери безпеки та утіліти Windows:

Cross-Application Scripting в Sophos Anti-Virus

Cross-Application Scripting та Cross-Application DoS в ICQ 6

Cross-Application Scripting в Babylon

XAS уразливості в SPIDynamics WebInspect, що описані в вищезгаданій статті.

XAS в Gpedit та RSoP в Microsoft Windows, що описані в вищезгаданій статті.

Використання движків браузерів, зокрема IE, в інших додатках, розробники яких не слідкують достатньо за безпекою, створює умови для появи Cross-Application Scripting уразливостей.

04.12.2010

Нещодавно, 03.12.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайтах компанії Google http://www.google.com та http://gmodules.com. Про що найближчим часом сповіщу Гугла.

Раніше я вже писав про уразливість на www.google.com.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.10.2011

Abuse of Functionality:

http://www.google.com/ig/adde?moduleurl=google.com
http://gmodules.com/ig/creator?url=http://google.com

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери Гугла.

Insufficient Anti-automation:

В обох цих функціоналах немає захисту від автоматизованих запитів (капчі).

Про аналогічні дірки на www.google.com я вже писав раніше в статті Використання сайтів для атак на інші сайти.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Citrix EdgeSight Launcher Service Remote Code Execution Vulnerability (деталі)
• PHP-Nuke 8.x <= Cross Site Scripting Vulnerability (деталі)
• curl vulnerabilities (деталі)
• PHP-Nuke 8.x <= Cross Site Scripting Vulnerability (деталі)
• HP Data Protector EXEC_CMD Buffer Overflow Vulnerability (деталі)
• CMS Balitbang 3.3 Arbitary File Upload Vulnerability (деталі)
• Multiple vulnerabilities in HP Data Protector (деталі)
• XSS in Oracle default fcgi-bin/echo (деталі)
• HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code (деталі)
• Joomla! 1.6.0 | Information Disclosure/Full Path Disclosure Vulnerability (деталі)

Нещодавно я оприлюднив уразливості на hackzona.ru, знайдені мною ще 30.10.2010. Які адміни цього секюрі провекту довго виправляли (і перед цим ще багато років тримали на сайті). Враховуючи, що на сайті використовується PHP-Nuke, то дірки стосуються саме цього движка.

При попередньому перегляді було схоже, що на сайті використовується PHP-Nuke 8.0. Але як показали мої дослідження, що Directory Traversal уразливість була виявлена в PHPNuke 7.8 і 7.9 і експлоіт для неї був розроблений sp3x і оприлюднений ще в 2005 році. Тому, або цей сайт мав 7.9 версію PHP-Nuke, або 8.0 з деякими уразливими модулями (зокрема News) з попередньої версії. Й відповідно цілих п’ять років з часу оприлюднення експлоіту до того як я виявив ці дірки в жовтні 2010 року, адміни їх не виправляли та забивали на безпеку власного сайта.

Якщо sp3x у власному експлоіті наводить лише Directory Traversal (з Null Byte Injection) уразливість, то я доповнив її іншими дірками. І якщо DT потребує виключених mq для використання NBI для проведення атаки, то LFI та DoS уразливості не потребують NBI і тому працюють як з виключеними, так і включеними mq.

Directory Traversal + Null Byte Injection:

http://site/modules.php?name=News&file=../../robots.txt%00

Local File Include + Null Byte Injection:

http://site/modules.php?name=News&file=file.php%00

LFI також можна використати без NBI (для файлів з розширенням php).

DoS (Recursive File Include):

http://site/modules.php?name=News&file=../../modules

Уразливі PHP-Nuke 7.9 і попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ugi.edu.ua (хакерами з Tetova Hackers Team) - 07.10.2011, зараз на сайті немає контенту
• http://chajka.kiev.ua (хакером Serberus)
• http://www.klyaksa-fan.com (хакерами з kosova security group) - 25.07.2011, зараз сайт вже виправлений адмінами
• http://megasiti.com.ua (хакером ho1onk) - 22.09.2011, зараз сайт вже виправлений адмінами.
• http://office-kharkov.com.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS)

Виявлені уразливості безпеки в Google Chrome.

Уразливі версії: Google Chrome 14.0.

Пошкодження пам’яті при роботі з функціями WebKit.

• Google Chrome WebKit Engine Ruby Tag Stale Pointer Vulnerability (деталі)
• Google Chrome WebKit Engine Child Tag Deletion Stale Pointer Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• HP Service Manager and HP Service Center, Unauthorized Remote Access, Unsecured Local Access, Remote Disclosure of Privileged Information, HTTP Session Credential Re-use, Cross Site Scripting (XSS) (деталі)
• XSS vulnerability in Web Poll Pro (деталі)
• fetchmail security announcement fetchmail-SA-2011-01 (деталі)
• Tugux CMS (nid) BLIND sql injection vulnerability (деталі)
• Multiple vulnerabilities in several IP camera products (деталі)
• XOOPS 2.5.0 <= Cross Site Scripting Vulnerability (деталі)
• libxml2 vulnerability (деталі)
• PHP-Nuke 8.x <= "chng_uid" Blind SQL Injection Vulnerability (деталі)
• smallftpd <= 1.0.3-fix | Connection Saturation Remote Denial of Service Vulnerability (деталі)
• PHP-Nuke 8.x <= Cross Site Request Forgery (CSRF) / Anti-CSRF Bypass Vulnerability (деталі)

22.01.2011

У листопаді, 05.11.2010, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://br-ua.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.br-ua.com.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.10.2011

XSS:

Три XSS уразливості - дві на сторінці реєстрації та одна на сторінці відновлення паролю. Приклади експлоітів для даних уразливостей.

Abuse of Functionality:

http://br-ua.com/users/register
http://br-ua.com/users/remind

На сторінках реєстрації та відновлення паролю можна визначати емайли користувачів (що є логінами).

Insufficient Anti-automation:

http://br-ua.com/users/register
http://br-ua.com/users/remind

Хоча капчі використовуються на даних сторінках, але для визначення емайлів (логінів) користувачів не потрібно вводити коректну капчу.

Дані уразливості досі не виправлені. Зараз адміни змінили домен br-ua.com на br.mirkvartir.ua (піддомен сайта mirkvartir.ua, теж дірявого), при цьому залишивши всі уразливості. Домен вони змінили явно за для економії, так само як вони економлять на безпеці власних сайтів.

В літку, 22.07.2011, 18.08.2011 і 20.08.2011, відбувся новий масовий взлом сайтів на сервері Besthosting. Нещодавно я вже розповідав про інші масові взломи. Перший масовий взлом сайтів на сервері Besthosting відбувся минулого року.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з трьох взломів (два по одному сайту і один масовий взлом), зокрема другий і третій, відбувся після згаданого масового взлому сайтів на сервері 1GB LLC.

Всього було взломано 38 сайтів на сервері української компанії Besthosting (IP 195.248.234.34). Це наступні сайти: genux.ru, truck-expert.net, glavuks.gov.ua, vladimirsemenov.ru, allshrift.ru, borisinfo.net, alex-gk.vn.ua, eo15pwc.borisinfo.net, urpsobor.borisinfo.net, us1pm.borisinfo.net, us1pm.com, blog.fridin.com, sim-arenda.com, annluc.com, svadbacar.com, w.ihorus.com, ihorus.com, koftyann.com, maklakov.name, ukrdance.com.ua, allmyfilm.ru, vigor.od.ua, blog.genux.ru, gnatenko.info, bbstar.in.ua, www.elit-class.com.ua, avtonews.com.ua, www.villagavan.com, options-trader.ru, paklet.ru, mycarnews.ru, www.logicaster.com, mlove.com.ua, lancerx.net, respublica.in.ua, tdsvitlo.com.ua, trd.dp.ua, scan-tools.net. Серед них український державний сайт glavuks.gov.ua.

36 зазначених сайтів були взломані хакером H3rcule-32, 1 сайт хакером thecybernuxbie і 1 сайт хакером n93n93k.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера (зокрема у випадку атаки H3rcule-32). Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.3.

Пошкодження пам’яті в різних функціях.

• PHP: Multiple vulnerabilities (деталі)