Websecurity - Веб безпека

У вересні, 17.09.2009, я знайшов SQL Injection уразливість на проекті http://fitofarm.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Існує такий різновид Information Leakage уразливостей як SQL DB Structure Extraction. Дана уразливість полягає в тому, що у веб додатку має місце витік інформації про структуру бази даних. Даний витік інформації може стати в нагоді при SQL Injection атаці.

Подібну уразливість вперше я знайшов ще в 2006 році (на одному сайті) і дав їй таку назву. Подібні уразливості я знаходив на багатьох веб сайтах, зокрема на bizua.com.ua, zoom.cnews.ru та job.ukr.net. А також у багатьох веб додатках, зокрема в WordPress (неодноразово), W-Agora, Nucleus, Athree CMS (двічі) та Abton.

Приклад витоку інформації, що відбувається при використанні однієї з SQL DB Structure Extraction уразливостей в WordPress:

SELECT * FROM wp_posts WHERE 1=1 AND (post_status = "publish" OR post_author = 1 AND post_status != 'draft' AND post_status != 'static') AND post_status != "attachment" AND post_status <> ‘trash’ GROUP BY wp_posts.ID ORDER BY post_date DESC LIMIT -30, 15

В даному випадку важливою інформацією є назва таблиці (wp_posts), зокрема її префікс (wp), який використовується й в інших таблицях WP на вразливому сайті.

В чому полягає різниця між SQL DB Structure Extraction та SQL Error? Бо в обох випадках виводиться повідомлення про помилку в запиті до бази даних.

Повідомлення про помилку в SQL запиті (SQL Error) бувають різні:

1. Виводиться лише повідомлення про помилку при запиті до БД без жодних деталей. Іноді при цьому може бути повідомлення про скрипт, в якому відбулася помилка, в тому числі може бути вказаний повний шлях до нього на сервері, що є Full path disclosure уразливістю. А в інших випадках може не бути жодних деталей, тільки згадка про помилку при запиті до БД.

2. Виводиться повідомлення про помилку при запиті до БД та частина SQL запиту, в якому є помилка. В даному випадку, зазвичай, інформації про структуру БД не витікає взагалі. Але в подібних випадках можливе проведення XSS атаки через помилки при запитах до БД.

3. Виводиться повідомлення про помилку при запиті до БД з детальною інформацією про даний SQL запит (або декілька запитів). Коли витікає інформація про структуру БД - про таблиці та їх поля в СУБД. Ось цей варіант і є SQL DB Structure Extraction.

Тобто SQL DB Structure Extraction уразливість - це такий варіант SQL Error, коли відбувається помилка при запиті до бази даних і на сторінці (при повідомленні про помилку при запиті до БД, або навіть без даного повідомлення) виводиться інформація про структуру БД.

12.01.2010

У травні, 10.05.2009, я знайшов Full path disclosure, SQL Injection та Cross-Site Scripting уразливості в компоненті VXDate (com_vxdate) для Joomla. Дані уразливості я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в JVClouds3D для Joomla.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

13.03.2010

Full path disclosure:

http://site/index.php?option=com_vxdate&ct=’

http://site/index.php?option=com_vxdate&ct=1&md=details&id=’

http://site/index.php?option=com_vxdate&ct=1&md=editform&id=’

SQL Injection:

http://site/index.php?option=com_vxdate&ct=1&md=details&id=-1%20or%20version()=5
http://site/index.php?option=com_vxdate&ct=1&md=editform&id=-1%20or%20version()=5

XSS:

http://site/index.php?option=com_vxdate&ct=1&md=details&id=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/index.php?option=com_vxdate&ct=1&md=editform&id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі потенційно всі версії VXDate.

В даній добірці експлоіти в веб додатках:

• Facil Helpdesk (RFI/LFI/XSS) Multiples Remote Vulnerabilities (деталі)
• PHPCityPortal (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
• Arab Portal 2.2 (Auth Bypass) Blind SQL Injection Exploit (деталі)
• SmilieScript <= 1.0 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Joomla Component Kunena Forums (com_kunena) bSQL Injection Exploit (деталі)
• CMS Made Simple <= 1.6.2 Local File Disclosure Vulnerability (деталі)
• Mini-CMS 1.0.1 (page.php id) SQL Injection Vulnerability (деталі)
• Papoo CMS 3.7.3 Authenticated Arbitrary Code Execution Vulnerability (деталі)
• Embedthis Appweb 3.0b.2-4 Remote Buffer Overflow PoC (деталі)
• Neostrada Livebox Remote Network Down Exploit (деталі)

У вересні, 03.09.2009, я знайшов Arbitrary File Disclosure та Full path disclosure уразливості на проекті http://ksbm.net. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

Як і в попередні роки, надам свої прогнози розвитоку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2009 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Більше почали проводитися CSRF-атаки, зокрема з використанням ClickJacking (про Clickjacking атаки я вже розповідав раніше).
3. Фішинг став ще більш поширеним явищем. Як я розповідав в статті Сучасний стан фішинг-атак в Інтернеті, торік число фішингових атак досягло дворічного максимуму.
4. Insufficient Anti-automation уразливості стали більш поширеними, зокрема атаки на капчі. Що в тому числі збільшило кількість реєстрацій на почтових сервісах та кількість спаму з них.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2008 лише 4 сайти.
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 79,5%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2010 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Збільшаться випадки витоків важливої інформації.
3. Все більше будуть використовуватися уразливості в браузерах для атак на користувачів.
4. Фішинг стане ще більш розповсюдженим.
5. Продовжить зростати кількість заражених вірусами веб сторінок.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Продовжуючи розпочату традицію, після попереднього відео про взлом Java додатків, пропоную новий відео секюріті мануал. Цього разу відео про підбір паролів до FTP. Рекомендую подивитися всім хто цікавиться цією темою.

Brute Force FTP Escalation

В даному відео ролику демонструється Brute Force атака на FTP. Після підбору паролю до FTP сервера на Windows XP, отримується telnet доступ до системи. А потім й доступ через RealVNC з захопленням акаунту адміністратора. Рекомендую подивитися дане відео для розуміння атак через FTP.

В даній добірці уразливості в веб додатках:

• Vulnerability in yelp (деталі)
• Living CMS Cross-Site Scripting vulnerability (деталі)
• iNTERNET.cms Cross-Site Scripting vulnerability (деталі)
• iNTERNET.cms Cross-Site Scripting vulnerability (деталі)
• EXcms Root directory disclosure vulnerability (деталі)
• ELDORADO CMS Multiple Vulnerabilities (деталі)
• AKmedia CMS SQL Injection vulnerability (деталі)
• ABO.CMS Multiple Vulnerabilities (деталі)
• A.CMS Multiple Vulnerabilities (деталі)
• Neostrada Livebox Remote Network Down PoC Exploit (деталі)

У травні, 15.05.2007, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://adtime.ru (веб брокер). В даному випадку на http://r.adtime.ru. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie)
• цікавий

Redirector:

http://r.adtime.ru/?http://websecurity.com.ua

Раніше я вже писав про п’ятірку найгучніших випадків витоку даних у 2009 році, а зараз розповім про найбільш гучні справи 2009 року в галузі безпеки.

Як повідомляє www.xakep.ru в публікації 2009 - cамые громкие дела ушедшего года, в минулому році було багато цікавих секюріті справ.

Серед взломів найбільш виділився взлом хакерами з команди Zero for 0wned aka ZF0 сайтів двох секюріті експертів: Кевіна Мітника і Дена Камінски. Хакери взломали їх сайти та виклали всю отриману особисту інформацію експертів в публічний доступ . Якщо сайти Мітника взламують вже не вперше (цього разу хакнули його блог на WordPress), то сайти Камінски раніше не взламували. Але все буває вперше .

Також торік дісталося війсковим США. Була взломана мережа Пентагона і викрадені дані по проекту Joint Strike Fighter. А також був взломаний сайт army.mil - офіційний сайт армії США.

Найбільш поширеним в Інтернеті в 2009 році став вірус відомий як Conficker aka Downloadup aka Kido. Зазначу, що в цьому році він також продовжує очолювати вірусні рейтинги.

Також торік відбувалися події пов’язані з QIP. Зокрема був взломаний офіційний сайт месенджера qip.ru, а потім була виявлена серйозна уразливість на сайті games.qip.ru, що призвела до чималого витоку даних.

Також торік хакерами з Team Elite був взломаний сайт MI5 - mi5.gov.uk (через локальну пошукову систему). Зазначу, що в 2007 році я вже знаходив уразливості на www.mi5.gov.uk, причому як раз в локальному пошуковці сайта, що використовував Google Search Appliance .

В минулому році відбувався судовий процес проти The Pirate Bay. Що призвело до DDoS атак та взломів сайтів антипіратських організацій. І навіть до DDo$-атаки - розподіленої атаки на відмову в доларах.

Також в минулому році було багато атак на соціальні мережі. Зокрема найбільш гучними були взломи Twitter. Окрім цього торік були гучні справи й арешти. Такі як справа з The Pirate Bay, арешт Альберта Гонсалеса, хакера з Казахстану та засудження українця Максима Ястремського у Турції. Про справу Ястремського я вже писав і весною 2009 його засудили на 30 років за крадіжку і продаж номерів кредитних карт, на чому він заробив 11 мільйонів долларів.