Websecurity - Веб безпека

Цього місяця, 12.11.2011, я дав інтерв’ю для Securit13. Яке вони вже оприлюднили на минулому тижні в своєму подкасті.

Десятий епізод їхнього подскасту вийшов в двох частинах:

Эпизод 10, часть 1: Аты-баты, АПТ
Эпизод 10, часть 2: WAF-Web Application Failwall feat. MustLive

Відповідно в другій частині епізоду розміщене інтерв’ю зі мною. В даному подкасті ми обговорили такі напрямки веб безпеки, як оприлюднення уразливостей на веб сайтах і веб додатках, політики оприлюднення (зокрема responsible disclosure та advanced responsible disclosure) та його соціальне значення. А також я поділився власними досвідом в цій сфері та надав алгоритм, про який я вже писав раніше на сайті, за яким всі бажаючі можуть проводити просунуте відповідальне оприлюднення уразливостей.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kamelot.in.ua - інфекція була виявлена 02.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://e-apteka.com.ua - інфекція була виявлена 20.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://balibastra.if.ua - інфекція була виявлена 08.2011. Зараз сайт входить до переліку підозрілих.
• http://mirspeciy.com.ua - інфекція була виявлена 18.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://tovarnadom.com.ua - інфекція була виявлена 14.09.2011. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in OmniTouch Instant Communication Suite (деталі)
• XSS in (e)2 interactive Photo Gallery (деталі)
• Multiple SQL Injection in Shutter (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Disclosure of Information (деталі)
• CSRF (Cross-Site Request Forgery) in SelectaPix Image Gallery (деталі)
• Cisco CUCM - Multiple Vulnerabilities (деталі)
• Multiple XSS in YaPiG (деталі)
• XSS in SelectaPix Image Gallery (деталі)
• Cisco Unified Contact Center Express Directory Traversal (деталі)
• CSRF (Cross-Site Request Forgery) in FREELANCER (деталі)

29.09.2011

У вересні, 15.09.2011, я знайшов Cross-Site Scripting, Full path disclosure та Brute Force уразливості на сайті http://norma.kiev.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливість на citycom.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.11.2011

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. Але неякісно і захист легко обходиться:

XSS (з MouseOverJacking):

• alert(document.cookie)
• цікавий

Full path disclosure:

http://norma.kiev.ua/inc/subscribe.php

Brute Force:

http://norma.kiev.ua/adm/

Якщо FPD вже виправлена, то XSS і BF все ще не виправлені.

Після появи такої техніки атаки як Clickjacking, розробленої Джеремією Гроссманом та Робертом Хенсеном в 2008 році, виробники браузерів почали замислюватися над методом протидії даній атаці. Щоб не чекати доки кожен окремий веб розробник почне додавати захист від Clickjacking (а також від MouseOverJacking, розробленої мною), а зробити захист на рівні браузера. Як це зробив розробник NoScript плагіна для Firefox, додавши подібний захист ще в 2008 році.

І на початку 2009 року, з виходом Internet Explorer 8, було розроблене рішення для протидії Clickjacking та MouseOverJacking атакам. Це http-заголовок X-Frame-Options. Це було одне з найкращих покращень безпеки в 2009 році (але в своєму записі я вже описав можливості обходу цього захисного методу). Детально про цей заголовок, його формат та значення заголовка, що підтримуються браузерами, ви можете прочитати на сайті Mozilla в статті The X-Frame-Options response header.

На даний час підтримуються наступні значення заголовка X-Frame-Options:

• DENY - сторінка (з будь-якого сайта) не може бути показа у фреймі.
• SAMEORIGIN - сторінка може бути показана у фреймі, якщо вона знаходиться на тому самому сайті (домені).

Спочатку Microsoft реалізувала його в своєму браузері IE8, а потім інші виробники браузерів додали його підтримку. На даний момент, за даними Мозіли, наступні браузери підтримують заголовок X-Frame-Options (починаючи з вказаних версій):

• Internet Explorer 8.0.
• Firefox 3.6.9 (Gecko 1.9.2.9).
• Opera 10.50.
• Safari 4.0.
• Chrome 4.1.249.1042.

Метод захисту від Clickjacking та MouseOverJacking атак за допомогою заголовка X-Frame-Options має свої переваги та недоліки.

Переваги методу:

1. Захист від атак через приховані frame та iframe.
2. Легкість реалізації на сайті - потрібно лише додати на необхідну сторінку (або на весь сайт) даний заголовок.
3. Два режима блокування: DENY і SAMEORIGIN.
4. Всі основні п’ять браузерів (їх останні версії) підтримують даний заголовок.

Недоліки методу:

1. Веб розробникам і адмінам потрібно додавати його підтримку на сайті, щоб захист спрацював у браузері. Тобто по замовчуванню всі сайти є уразливими до даних атак (навіть у версіях браузерів, що підтримують цей заголовок), доки на них не буде налаштоване виведення цього заголовка.
2. Методика атак через CSS, що я описав в статті про MouseOverJacking, дозволяє обходити даний захист та може застосовуватися для проведення Clickjacking та MouseOverJacking атак.
3. Не всі браузери підтримують цей заголовок, в тому числі старі версії основних п’яти браузерів. Тому мільйони користувачів цих браузерів будут незахищені перед атаками, навіть на сайтах, що використовують цей заголовок.

За повідомленням www.xakep.ru, американський антихакерський закон перетворює комп’ютерних користувачів у злочинців.

Американський антихакерський закон настільки розширений, що криміналізує таку безневинну діяльність, як використання фейкового реєстраційного імені на Facebook чи помилкове вказання ваги в профайлі Match.com, заявив один із самих шановних авторитетів країни в області права.

За повідомленням www.quora.com, What are the security shortcomings of Google’s Two Factor Authentication.

На даному сайті новодяться переліки недоліків двохфакторної аутентифікації Google, що можуть бути використані для атаки на користувачів сервісів Гугла, які її використовують. Та критично оцінюється дана захисна функція Гугла.

Компанія Google ввела підтримку двоступінчастої аутентифікації на початку березня 2011 року. Але існують відомі методи, зокрема описані на даному сайті, що можуть використовуватися для обходу двохфакторної аутентифікації.

За повідомленням www.xakep.ru, Ghost Click: об’єднання для боротьби з загрозами.

Законодавці і державні службовці використовують термін “державно-приватне партнерство” для боротьби з віртуальними загрозами настільки часто, що він набув сенсу “нічого не робити”. Але недавня операція Ghost Click показує, що подібна колективна робота необхідна для боротьби з кіберзлочинами і просунутими вірусами.

На минулому тижні ФБР оголосило про глобальне розслідування, проведене міжнародними правоохоронними органами, приватними підприємствами і неурядовими організаціями, що привело до викриття сімох естонців і громадянина Росії в організації афери, у результаті якої було заражено більше чотирьох мільйонів комп’ютерів і вкрадено більше 14 мільйонів доларів.

В даній добірці уразливості в веб додатках:

• Toshiba eStudio Multifunction Printer Information Leakage (деталі)
• Multiple XSS vulnerabilities in BackupPC (деталі)
• CSRF (Cross-Site Request Forgery) in phpGraphy (деталі)
• Toshiba eStudio Multifunction Printer Authentication Bypass (деталі)
• XSS in phpGraphy (деталі)
• zFtp Server <= 2011-04-13 | "STAT,CWD" Remote Denial of Service Vulnerability (деталі)
• XSS in GOT.MY CLASSMATES (деталі)
• SQL injection in 4images (деталі)
• Denial of Service vulnerability in cyrus-imapd (деталі)
• XSS in DEAL INFORMER (деталі)

Сьогодні я знайшов Cross-Site Scripting уразливість на http://blogs.mail.ru. Раніше я вже знаходив уразливості на сайтах Mail.ru і це чергова дірка. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів mail.ru я писав про уразливість на gogo.ru та редиректор на rb.mail.ru.

XSS:

• alert(document.cookie)
• html включення

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Це уразливість в WP-Cumulus, який використовується на даному сайті. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

Атака можлива лише через параметр mode, але не через xmlpath (тому що використовується стара версія swf-файла).

Окрім сервіса DNS Report для перевірки DNS серверів, viewdns.info пропонує інші сервіси для перевірки DNS. Це DNS Propagation Checker - онлайновий сервіс перевірки розповсюдження змін в DNS (на інші DNS сервера). Та DNSSEC Test - онлайновий сервіс перевірки чи використовує домен DNSSEC.

За допомогою сервіса DNS Propagation Checker ви можете перевірити розповсюдження змін, що ви зробили в налаштуваннях DNS, на інші DNS сервера по всьому світі.

За допомогою сервіса DNSSEC Test ви можете перевірити чи налаштоване використання DNSSEC (Domain Name System Security Extensions) на довільному домені.

Так само як і раніше згадані сервіси, даний онлайн інструмент від viewdns.info є безкоштовним.

01.11.2011

Виявлені численні уразливості в Oracle Java.

Уразливі продукти: Oracle JRE 1.4, JRE 5, JDK 5, JRE 6, JDK 6, JRE 7, JDK 7, JavaFX 2.0, JRockit 28.1.

Щоквартальне оновлення закриває 20 різних уразливостей.

• Oracle Java MixerSequencer.nAddControllerEventCallback Remote Code Execution Vulnerability (деталі)
• Oracle Java IIOP Deserialization Type Confusion Remote Code Execution Vulnerability (деталі)
• Oracle Java Applet Rhino Script Engine Remote Code Execution Vulnerability (деталі)
• DNS Poisoning via Port Exhaustion (деталі)

18.11.2011

Додаткова інформація.

• Java for Mac OS X 10.7 Update 1 and Java for Mac OS X 10.6 Update 6 (деталі)