Artykuły dotyczące tematu: XSS

dodany: 08.04.2013 | tagi: , , ,

Szkodliwe aktualizacje OwnCloud

0

Developerzy OwnCloud, otwartoźródłowej chmury m.in. do przechowywania plików, wydali wersję 5.0.3 mającą naprawić problemy wynikające z dwóch poprzednich aktualizacji bezpieczeństwa. 5.0.1 ma załatać lukę umożliwiającą SQL Injection, natomiast 5.0.2 ma naprawić luki XSS – jak na razie autorzy nie opublikowali szczegółowych informacji na ich temat.

Niestety obie aktualizacje, chociaż poza błędami bezpieczeństwa naprawiają także szereg innych problemów, wprowadzają kolejny błąd, tym razem czyniącym instalacje bezużytecznymi. Użytkownicy powinni zaktualizować swoje serwery bezpośrednio do wersji 5.0.3.

Jak zgłaszają użytkownicy na forum projektu, 5.0.1 i 5.0.2 powodują włączenie trybu konserwacji bez możliwości wyłączenia go. Zaproponowano także dwa obejścia problemu, jedno bezpośrednio ingerujące w kod, drugie w bazę danych.

OwnCoud 5.0.3 jest trzecią aktualizacją gałęzi 5.0 w trakcie doby. Jak wynika z informacji na forum, tym razem aktualizacja jest bezpieczna i zalecana ze względu na wspomniane wcześniej problemy bezpieczeństwa.

dodany: 25.02.2013 | tagi: , ,

Nowy skaner bezpieczeństwa stron

0

Po skanerze Sucuri pojawiło się inne ciekawe narzędzie, jakim jest Punkspider. Nowość pozwala na wyszukiwanie błędów w zabezpieczeniach stron internetowych. Narzędzie pozwala wyszukiwać luki pozwalające na ataki XSS (cross-site scripting ), a także przebadać portal pod kątem podatności na wstrzyknięcia SQL.

Ideą serwisu Punkspider jest ciągłe przeszukiwanie stron internetowych, a następnie udostępnianie tych danych. Skanowanie odbywa się za pomocą klastrów Apache Hadoop. Właśnie te dane są udostępnione w wyszukiwarce, co jest zasadniczą różnicą  między skanerem Sucuri.

Punkspider

Na chwilę obecną serwis przetestował już trochę witryn – dla przykładu w Niemczech zbadano 50 tysięcy witryn, z czego 50 jest podatnych na atak XSS, a 16 z nich jest wrażliwych na wstrzyknięcia Blind SQL i 120 na SQL. Dla porównania w przypadku domeny co.uk przeskanowano prawie 33 tysiące stron z czego 30 jest podatnych na XSS, a tylko 2 mają problem z SQL, a w przypadku Blind SQL jest to już 60 witryn.

Zastosowana metoda w skanerze jest dość nietypowa, przez co ciężko stwierdzić na ile jest skuteczna. Mimo to, daje zwykłemu śmiertelnikowi obraz tego, czy strony, z których korzysta są bezpieczne. Niestety póki co, serwis nie przetestował ani jednej strony z domeny *.pl.

dodany: 29.01.2013 | tagi: , ,

Problem na MediaFire

2

Ostatnio pisaliśmy o problemach nowej usługi w chmurze Kima Dotcoma. Jak się okazuje konkurencyjny MediaFire, który jest już długo na rynku, też wcale nie jest do końca bezpieczny. Okazało się, że uploadując plik o odpowiednio spreparowanej nazwie, możemy wykonać dowolny kod.

Możliwość wykonania ataku XSS odkrył badacz Mahadev Subedi z coolpokharacity.com. Atak jest możliwy dzięki temu, że programiści MediaFire nie zastosowali żadnego filtru ładowanych plików.

Najprostszym przykładem jest utworzenie pliku o poniższej nazwie:

Podczas próby jego załadowania zostaniemy uraczeni dodatkowym oknem:

MediaFire XSS

Nic nie stoi na przeszkodzie, by zastosować bardziej bogatszą wersję:

Odkrywca powiadomił właścicieli MediaFire, aczkolwiek usterka nadal istnieje…

dodany: 11.01.2013 | tagi: , , ,

Niebezpieczeństwo w poczcie Yahoo

3

Niedawno informowaliśmy Was o wprowadzeniu protokołu HTTPS do poczty Yahoo (zobacz newsa: Yahoo dodaje obsługę HTTPS do swojej poczty). Użytkownikom tej poczty radzimy przełączenie się na bezpieczniejszą wersję protokołu, gdyż Shahin Ramezany udowodnił podatność klienta pocztowego na atak cross-site scripting. Spreparowany przez niego exploit pozwala na przejęcie kontroli nad kontem ofiary.

Atak ten bazuje na metodzie DOM (ang. Document Object Model) i jest możliwy do zrealizowania w każdej dostępnej przeglądarce internetowej. Ramezany przedstawił metodę przejęcia konta w niecałe 5 minut, za pomocą złośliwego linka, uzupełniając te działania socjotechniką oraz platformą do pentestów – przebieg z tej akcji możecie obejrzeć na poniższym filmie:

W metodzie tej posłużono się zewnętrznym złośliwym plikiem HTML, który pozwala na przejęcie cookie odpowiedzialnego za logowanie do poczty atakowanego. Powyższa demonstracja dotyczy „wersji” poczty na standardowym protokole HTTP.

Domyślnie logowanie do poczty Yahoo przebiega z użyciem protokołu HTTPS, ale sama aplikacja poczty działa już na protokole w wersji niezabezpieczonej.

Stosowną opcję znajdziemy w zakładce Opcje poczty, gdzie należy zaznaczyć opcję Włącz SSL (Zabezpiecz usługę Poczta Yahoo! przy użyciu protokołu SSL zapobiegając dostępowi innych osób do Twojego konta w kafejkach internetowych).

W naszym kraju poczta Yahoo nie jest popularna, ale na świecie używa jej ponad 400 milionów użytkowników.

dodany: 02.01.2013 | tagi: , , , ,

Znów wpadka Facebooka

3

Badacz bezpieczeństwa Frans Rosén odkrył podatność Facebooka na atak XSS. Co ciekawe stało się to przy okazji badania DropBoksa pod kątem bezpieczeństwa, w którym stwierdził także możliwość przeprowadzenia ataku Cross Site Scripting. Odkrywca zauważył, że korzystając z dysku webowego DropBoksa w przypadku próby zmiany nazwy pliku na znak niedozwolony (czyli |   < > ?), otrzymamy komunikat o błędzie:

fb1

Co innego, gdy zmienimy nazwę pliku w lokalnym folderze, a następnie przeprowadzimy synchronizację. Wtedy bezproblemowo można dokonać ataku. Rosén zgłosił problem autorom programu, trafiając tym samym na listę podziękowań. Problem został oczywiście wyeliminowany przez autorów.

Jednak to nie koniec odkryć Fransa – niedawno Facebook rozszerzył swoje możliwości o współpracę z DropBoksem, dzięki czemu można m.in. udostępniać pliki z DB dla grup utworzonych na Facebooku. Podczas próby udostępnienia pliku z ‚”><img src=x onerror=alert(document.domain)>.txt na fejsubkowej „ścianie” pojawił się wpis z linkiem prowadzącym do udostępnionego elementu. Sęk w tym, że po kliknięciu w niego było możliwe wstrzyknięcie dowolnego skryptu. Rosén oczywiście po raz kolejny zachował się honorowo i zgłosił problem przez „fejsubkowy” system zgłoszeń dot. bezpieczeństwa WhiteHat.

stored-xss-facebook

Oto jak wygląda udostępniony link:

https://www.facebook.com/ajax/sharer/?s=44&appid=210019893730&p%5B0%5D=entry_id&p%5B1%5D=user_that_shared_it_first

Powyższy do załadowania skryptu wymaga interakcji użytkownika. Jednak Frans „wygóglał” metodę modyfikacji jego, aby skrypt uruchamiał się odraz po kliknięciu na link:

https://www.facebook.com/sharer/sharer.php?s=44&appid=210019893730&p%5B0%5D=entry_id&p%5B1%5D=user_that_shared_it_first

Warunkiem wykonania zaszytego skryptu jest tylko status zalogowania użytkownika. Nie był to bynajmniej problem DropBoksa, gdyż Frans odkrył to samo zachowanie przy korzystaniu z innego podpiętego pod FB serwisu Pinterest.com –  po stworzeniu pliku z nazwą wcześniej użytego schematu, tj. ‚”><img src=x onerror=alert(document.domain)> – Facebook zachował się identycznie, dając możliwość uruchomienia skryptu.

Co ciekawe programiści, zamiast naprawić od razu problem, byli ciekawi jak Fransowi udało się stworzyć tak nietypową nazwę pliku, choć to było najmniej istotne. Powyższy problem odkrywca przetestował także na wersji mobilnej FB z poziomu iPhone’a – domyślnie skrypt się nie uruchamiał, gdyż aplikacja przekierowywała na główną stronę Facebook.com – wystarczyło jednak zmienić parametr m2w, aby wyłączyć automatyczne przekierowanie i uruchomić złośliwy link.

 

Facebook wziął uwagi do siebie i naprawił problem na drugi dzień od zgłoszenia, a odkrywca został nagrodzony kwotą 3’500 USD.

Twórcy serwisu społecznościowego sami sobie zasłużyli na słabnącą popularność, dodatkowo tylko pogarszają swoją sytuację wprowadzając kolejne możliwości, bez uprzedniego przeanalizowania bezpieczeństwa – to nie była jedyna wpadka – z okazji nowego roku wprowadzono nową funkcję Midnight Delivery, która służyła do publikacji życzeń noworocznych. Sęk w tym, że życzenia mógł odczytać praktycznie każdy, gdyż link prowadzący do nich miał schemat przyrostowy – wystarczyło zmienić  ostatnią liczbę xxx w poniższym linku, by odczytać dowolne życzenia:

http://www.facebookstories.com/midnightdelivery/confirmation?id=xxxx

Problem może nie tak poważny, ale ta notoryczność błędów aż razi – naprawiono go później.

dodany: 30.12.2012 | tagi: , ,

Strona HTC podatna na XSS

10

Thamatam Deepak odkrył podatność głównej strony znanego producenta smartfonów na atak Cross site scripting (w skr. XSS). Problem dotyczył konkretnie sposobu obsługiwania plików cookie, które pozwalały atakującemu przejąć konto ofiary ze strony HTC. Odkrywca ma zaledwie 16 lat i jest znany pod kryptonimem Mr. 47™. Atakujący mógł wstrzyknąć złośliwy skrypt, który pozwalał na nieautoryzowany dostęp do plików cookie i tokenów sesji.

Oto przykłady ataków XSS na powyższej stronie:

Na szczęście HTC szybko zareagowało i obecnie powyższe ataki nie są już możliwe do przeprowadzenia. Podatność na ten atak dotyczyła także strony Bezpieczeństwo produktów HTC (sic!).

htc login

Problem polegał na tym, że wystarczyło stworzyć konto na stronie HTC, potem zaimportować cookie z pliku tekstowego oraz wylogować się ze strony. Za pomocą ataku XSS było możliwe zdalne wykradanie plików cookie, które były wystarczające do zalogowania się (bez konieczności podawania hasła). Oczywiście było to możliwe do czasu wygaśnięcia ważności ciasteczka.

To nie było pierwsze odkrycie Deepaka – ma on na swoim koncie podobne odkrycie dotyczące strony Apple, o którym firma wspomina w swoich notatkach.

dodany: 28.11.2012 | tagi: , , ,

XSS na PayPalu

5

W systemie PayPal odnaleziono poważną lukę, która umożliwia atak XSS. Odkrył ją zespół Vulnerability Laboratory Research Team. Błąd jest na tyle poważny, gdyż umożliwia zdalny atak wraz z wykonaniem złośliwego kodu. Udany atak pozwala na przejęcie sesji transakcji, a w gorszym wypadku nawet na kradzież konta.

Spreparowany przykładowy link nie jest skomplikowany – jako dowód wystarczyło dodać do adresu tak proste polecenie:

Oczywiście powyższy kod wyświetla wyłącznie informację „VulnerabilityLab”, aczkolwiek równie dobrze moglibyśmy zamieścić tam złośliwy skrypt. Na szczęście PayPal podszedł do problemu poważnie i usunął już lukę.

Niestety to nie była jedyna dziura odnaleziona przez niemiecki zespół badaczy. Braki w bezpieczeństwie znaleziono w webowej aplikacji PayPal Plaza.

Podobnie jak w powyższym przypadku, możliwe jest wstrzyknięcie złośliwego kodu. Problem leży konkretnie w 5 module aplikacji o nazwie eGreeting. Pełne wykorzystanie luki umożliwia na przejęcie sesji, phishing.

Przykładowy spreparowany mail z e-kartką wygląda następująco:

Oczywiście zamiast tekstu PERSISTENT INJECTED SCRIPT CODE OUTSIDE OF GREETINGSCARD ITSELF
można było umieścić dowolną treść. Można było, gdyż PayPal w tym wypadku także nie zbagatelizował problemu, szybko łatając lukę. Co prawda wspomniany problem nie dotyczył bezpośrednio  naszego kraju, gdyż serwis ten nie jest dostępny w naszym języku.

dodany: 27.11.2012 | tagi: , , ,

Okazyjna cena exploita kont pocztowych Yahoo

0

Komu, komu, bo idę do domu! Macie wolne 700$? Można za tę sumę nabyć drogą kupna exploit, który porywa konta pocztowe Yahoo.  exploit pozwala na użycie luki cross-site scripting (XSS) do kradzieży ciasteczek i przejęcia danego konta mailowego.

Sprzedawcą jest haker o wdzięcznej nazwie TheHell. Oczywiście nikt nie wyda 700$ nie wiedząc czy exploit działa. Nikt nie kupuje kota w worku. TheHell zamieścił wideo pokazujące działanie exploita na ekskluzywnym podziemnym rynku cyberprzestępczości – Darknode.

Wideo reprodukował i zamieścił na YouTube bloger Brian Krebs. Widać na nim jak uzyskać dostęp do konta ofiary.

Po pierwsze atakujący musi zwabić ofiary do kliknięcia w spreparowany, złośliwy adres URL. W momencie otworzenia linku logger rejestruje ciasteczka. Ofiara jest przekierowana z powrotem na stronę poczty Yahoo. Atakujący może od tej chwili przekierowywać sesje przeglądania ofiary do woli. Logger zastępuje ciasteczka, które ukradł i pozwala atakującemu na zalogowanie do przejętego konta e-mail.

Haker obiecuje, że exploit działa na wszystkich przeglądarkach i nie wymaga omijania filtrów XSS na IE czy Chrome. Dodatkowo zachwala swój produkt niską ceną, w porównaniu do innych, podobnych exploitów, które można kupić za ponad 1000$.

BlogerKrebs ostrzegł Yahoo. Luka jest podobno łatwa do załatania, ale najpierw trzeba ją znaleźć. Dyrektor Bezpieczeństwa w Yahoo Ramses Martinez powiedział, że większość błędów XSS jest korygowana przez proste zmiany w kodzie. Całość ma zająć kilka godzin.

Dla end-userów to kolejne ostrzeżenie przeciw ślepemu klikaniu w linki, przed wcześniejszym upewnieniem się co do jego źródła.

dodany: 19.11.2012 | tagi: , , ,

eBay kupuje XSS

0

Ostatnio możemy zauważyć sporo ataków XSS na popularne portale – nie ominęło to także eBay, za sprawą indyjskiego badacza bezpieczeństwa Shubham Upadhyay (znanego też w Internecie pod nickiem Cyb3R_Shubh4M). Problem jest dość poważny, gdyż dotyczy bezpośrednio konta sprzedającego. Schemat działania jest następujący – wystarczy, że zalogujemy się raz na eBay’u i stworzymy listę sprzedaży – potem wystarczy dokonać bezpośrednio ingerencji w kodzie HTML dodając następujący wpis:

 ‚”–></style></script><script>alert(„XSSed by Cyb3R_Shubh4M”)</script>      

Oto przykład zaatakowanej strony (link jest oczywiście bezpieczny dla nas):

http://www.ebay.com/itm/181023275832?ssPageName=STRK:MESELX:IT&_trksid=p3984.m1555.l2649

Naszym oczom ukaże się następny komunikat z domeny vi.raptor.ebadesc.com:

Na portalu XSSED.com jest dostępny także mirror tego przykładu (na wypadek gdyby eBay postanowił coś z tym zrobić ;)

Problem ten jest dość poważny – oczywiście zamiast przykładowego alertu XSSed by Cyb3R_Shubh4M możemy umieścić dowolny kod, który nam się podoba. Oprócz tego w powyższym linku atak został podłączony także bezpośrednio pod opcję wydruku  na stronie (przycisk Print/Wydrukuj)  – poniżej efekt użycia przycisku:

 

Wg odkrywcy, atak ten można także wykonać w domenie cgi.ebay.com – czyli wtedy, kiedy jesteśmy zalogowani na naszym koncie sprzedawcy.

Problem ten został zgłoszony już prawie tydzień temu, ale eBay najwyraźniej się tym nie przejmuje. Nadal można spreparować ataki XSS bezpośrednio na stronie sprzedaży produktu. Jak bardzo jest to groźnie nie trzeba wyjaśniać – wystarczy zrobić superpromocję, która przyciągnie wielu chętnych…

W naszym kraju nie jest to może aż tak duży problem, gdyż u nas w zasadzie króluje firma na „A”, aczkolwiek jest to w końcu serwis aukcyjny dostępny dla całego świata, który nie powinien mieć żadnych odstępstw w kwestii bezpieczeństwa.