hari

vbSEO are vulnerabilitati serioase (nu xss-uri), uita-te mai bine prin cod.

articolul e din 25 februarie 2008. foarte inteligent

@vini4p, daca tot pui un fisier rar cu parola pune si parola. Altfel de ce il mai pui?

Salut! M-am gandit sa fac si eu un challenge pentru ca pare a fi amuzant. Se da urmatoarea bucata de cod. <?php # filtreaza aberatia de "magic_quotes" if (get_magic_quotes_gpc()) $input = stripslashes($_GET[input]); else $input = $_GET[input]; # input-ul trebuie sa aiba un anumit format $pattern = '#^\s*\'[^\']*\'\s*\=\>\s*\'[^\']*\'\s*$#'; # daca formatul corespunde atunci executa codul if(preg_match($pattern, $input)) { print "ok"; @eval($q="\$arr = array(\n" . $input . "\n);"); } ?>Se cere sa se treaca de preg_match si sa se poata executa cod PHP. Desi pare putin complex, regex-ul este destul de simplu de inteles. Executia codului PHP este putin mai complexa. Codul este luat din context si adaptat dar exista intr-o aplicatie reala care este vulnerabila la PHP code execution. Aplicatia este foarte folosita, si daca cineva rezolva chalenge-ul o sa-i zic despre ce aplicatie este vorba. Exista mai multe rezolvari, eu stiu cel putin 2 rezolvari la acest challenge. Noroc si va rog sa-mi trimiteti PM-uri daca stiti cum se rezolva!

Nu va luati dupa toate stirile de la toti fraierii. In zece secunde a dat copy&paste la un link pe care l-a pregatit de inainte. De fapt bug-ul a fost gasit anul trecut la competitia anterioara si nu l-a folosit pana acum. Deci, de fapt poti sa zici ca i-a luat un an sa sparga Mac-ul. Nu vreau sa zic ca Mac-urile sunt safe, sunt varza dar ma enerveaza "ziaristii" astia cu senzationalismele lor de doi bani. Ryan Naraine: So, what can you tell us about the vulnerability? Charlie Miller: Not much. As part of the contest rules, I’m under NDA about the technical details. I can tell you the computer (MacBook Air) was fully patched. It was an exploit against Safari 4 and it also works on Safari 3. I actually found this bug before last year’s Pwn2Own but, at the time, it was harder to exploit. I came to CanSecWest last year with two bugs but only one exploit. Last year, you could only win once so I saved the second bug. Turns out, it was still there this year so I wrote another exploit and used it this year.

Cea mai tare vulnerabilitate de mult timp. Pur si simplu introduci ' pentru token si poti sa schimbi parola de administrator in Joomla. http://www.milw0rm.com/exploits/6234

Nu sunt vulnerabile site-urile, sunt vulnerabile serverele de DNS Si nu sunt vulnerabile foarte multe, sunt vulnerabile toate. Si o sa mai fie, pentru ca problema este ca protocolul nu a fost gandit pentru faza asta. Idea de baza e ca pana acum serverele DNS trimiteau raspunsuri de pe un port sursa fix. Singura chestie pe care trebuia s-o ghiceasca un atacator era Transaction ID (16 biti). Asta se poate sparge cam intr-un minut trimitand TXID aleatoare. Fixul lor a fost sa faca si portul sursa random ca sa trebuiasca sa-l ghicesti si pe asta. Asa ca acum sunt 32 biti pe care trebuie sa-i ghicesti. Deci nu s-a corectat problema doar s-a facut mult mai greu de realizat practic. Rusul asta a aratat ca el a putut sa exploateze un server de DNS chiar si cu portul sursa random dar: - dureaza cel putin 10 ore (original cam 1 minut) - merge pe GigE LAN - a folosit 2 calculatoare care trimit consecutiv pachete. Deci cine are rabdare poate in orice moment sa exploateze orice server de DNS indiferent daca e patch-uit sau nu. E doar chestie de timp.

A aparut si functioneaza bine (cel putin din testele mele). 1-2 minute de packeting si "we have a winner!". http://milw0rm.com/exploits/6122

Un prieten de-al meu a publicat zilele astea un paper interesant intitulat "The Extended HTML Form attack". Il gasiti aici http://resources.enablesecurity.com/resources/the%20extended%20html%20form%20attack%20revisited.pdf Idea de baza este sa faci XSS (cross site scripting) folosind alte protocoale decat HTTP. De exemplu IMAP, daca nu intelege o comanda face echo la gresela si este perfect pt. XSS. Este destul de interesant paper-ul si are si un exemplu de XSS pentru Yahoo. Nu stiu cat o sa mai functioneze, functiona cand am testat eu.

Da, eu am vazut spam din asta de vreo 3-4 ani de zile. Mergea bine pe vremuri. Cum ai zis, se bazeaza pe serviciul Messenger (net send). Dar acum nu mai prea functioneaza, Messenger a fost dezactivat in XP SP2.

Ce chestie. Nu am observat Dar programul chiar e vulnerabil, am downloadat astazi ultima versiune de pe site. Nu am folosit link-ul lui rapidshare.

Trebuie sa te inregistrezi pe site-ul Maltego si sa activezi transformariile. Imi aduc aminte ca Maltego/Paterva a fost free la inceput dar nu mai este mai nou. Pe aici pe undeva te inregistrezi http://www.paterva.com/web2/Maltego/maltego.html

zbeng, PHPizabi e varza. Am downloadat ultima versiune de pe www.phpizabi.net si l-am instalat local. Am reusit sa gasesc cam intr-o jumatate de ora 3 SQL injection-uri valabile. Una dintre ele chiar foarte simplu de exploatat, poti sa devii admin/superadmin rapid. De acolo incolo e game over. E 0day, n-am raportat niciunde, se pare ca aplicatia e destul de folosita. Pot sa public pe "Exploituri si POCs" pe seara sau daca vrei sa ramana private, ma contactezi direct. Update: Are si XSS-uri. Uite un XSS (mai sunt si altele) http://gopala/PHPizabi/index.php/%3E%22%3E%3CScRiPt%3Ealert('xss')%3C/ScRiPt%3E LOL

Merita citit, zic eu: http://blog.wired.com/27bstroke6/2008/05/comcast-hijacke.html

da, pe hosting e cam nashpa. depinzi de provider la greu. pe hosting s-ar putea face cam 1,2,6,7,9. tot mai bine decat nimic. si doar setarile de php.ini + mod_security daca s-ar face s-ar imbunatati securitatea serverului substantial.

Salut, Povesteam cu cineva despre securizarea unui server de web si am pregatit o lista de sugestii. Daca ar fi serverul meu, as face urmatoarele lucruri: 1. m-as uita saptamanal daca nu au aparut versiuni noi la aplicatiile pe care le-am instalat (cpanel, phpbb, wordpress...) cel mai bine este sa te inscrii la mailinglist-urile proiectelor respective si sa fii anuntat instant cand a aparut un security fix. 2. as pune o parola puternica la toate serviciile de administrare (cpanel, mysqladmin, ...) http://strongpasswordgenerator.com/ 3. mai bune, as restrictiona accesul la aceste servicii doar pentru anumite adrese de IP (din firewall, e simplu). sa am access numai de pe IP-urile folosite de mine. 4. as muta ssh pe un alt port. daca ramane pe portul 22 toate lumea il ataca si la un moment dat poate au noroc. 5. as inchide toate porturile care nu sunt necesare. Pentru un server de web sunt necesare doar 80, 443 (eventual 53 - DNS si 25 - SMTP - mail) Eventual, daca am porturi pe care vreau sa le folosesc din cand in cand de pe alte ip-uri: folosesc port knocking http://www.portknocking.org/ pentru porturile alea. idea de baza aici este ca se definesc niste secvente de event-uri in urma carora se deschid/inchid porturi. eventurile pot sa fie knock-uri in firewall (de ex. trimiti un pachet pe portul 3 pe urma pe 5 pe urma, ...) cand seventa corespunde, deschid portul. cand nu mai am nevoie de el, il inchid. 6. configureaza apache sa nu arate continutul directoarelor http://www.ducea.com/2006/06/26/apache-tips-tricks-disable-directory-indexes/ incredibil de multe probleme apar din chestia asta. 7. as instala mod_security si l-as configura sa logheze post-urile. asta poate sa ocupe mult loc dar merita. daca ai probleme vezi tot ce a facut atacatorul. http://www.modsecurity.org/ - mod_security este un foarte bun application firewall si chiar daca ai aplicatii vulnerabile face sa fie foarte greu de exploatat vulnerabilitatiile. (chiar imposibil in unele cazuri) 8. as instala php cu patch-ul Suhosin http://www.hardened-php.net/ 9. as configura php.ini-ul (chestiile de baza) http://www.conftool.net/en/technical_documentation/security_hints.html http://www.php.net/magic_quotes magic_quotes_gpc = On register_globals = Off disable_functions = show_source, system, shell_exec, passthru, phpinfo, proc_open, proc_nice allow_url_fopen = Off allow_url_include = Off display_errors = Off open_basedir = "/var/www" 10. as folosi un Host-based intrusion detection system (gen tripwire, samhain, aide) http://en.wikipedia.org/wiki/Host-based_intrusion_detection_system http://sourceforge.net/projects/tripwire/ http://sourceforge.net/projects/aide astea sunt simplu de folosit. la configurezi sa indexeze un director si pe urma regulat sa verifice daca sunt schimbari in structura (a aparut un fisier nou, s-a modificat continutul la alt fisier). poti sa prinzi instant deface-uri, cand cineva uploadeaza un shell, ... se pot configura sa-ti trimita email cand apar modificari. foarte folositoare. 11. as activa selinux poate sa te salveze intr-o multime de cazuri de 0day-uri https://wiki.ubuntu.com/SELinux 12. si in final si as folosi AppArmor https://wiki.ubuntu.com/AppArmor sau systrace (pentru OpenBSD) http://www.citi.umich.edu/u/provos/systrace/ AppArmor e o chestie super geniala. Idea originala a pornit din OpenBSD de la systrace. Se defineste un fisier/profil pentru fiecare aplicatie, unde se specifica exact ce poate sa faca aplicatia respectiva (scrie in fisierul asta, deschide portul asta, ...) Pentru aplicatiile de baza (apache, ssh) sunt deja definite profile care pot fi refolosite. Daca apare un 0day, exploit-ul nu poate sa faca nimic pentru ca este restrictionat. Cam atat pentru moment.

da, in romania nu prea ai ce sa-i faci (cu loguri sau fara). poto1831, ti-am trimis un mesaj cu cateva sugestii.

Kenpachi, lucrurile sunt mult mai complicate. El are foarte multe site-uri pe serverul ala, deci sunt foarte multe puncte de intrare posibile. Pe langa asta serverul are o multime de porturi deschise, porturi care fiecare in parte trebuie auditat. Nu pot sa stii sigur ca a intrat prin web, poate ca a intrat printr-o parola slaba la ssh sau printr-o alta exploatare si si-a uploadat un shell ca sa poata sa lucreze mai usor (gen dump-uit baze de date, faze ...). Si are foarte multa logica sa te uiti dupa fisierele accesate imediat inainte de shell dar ce faci daca vulnerabilitatea este pe POST. Apache nu logheaza POST-urile. Imi aduc aminte ca a ramas odata o vulnerabilitate importanta necorectata pentru vreo luna, ca nimeni nu-si dadea seama cum se intra pe servere pentru ca era pe POST. Chiar voi logati POST-urile? Daca da, cum? Stiu de mod_security. In afara de asta daca folositi ceva.

Faza nashpa cu phpBB. Incercam sa postez chestia asta find /var/wwv/ -perm /o+w -ls Si tot imi zicea ca trebuie sa am trei posturi ca sa postez link. Ce link ? Pana la urma mi-am dat seama ca se uita dupa trei de w si daca aveai asa ceva te bloca. Cam lame.

Daca nu e secret, posteaza adresa site-ului. Ne uitam noi daca sunt ceva vulnerabilitati. Dar in orice caz, cum a zis moubik, daca site-ul este safe, se mai poate intra si prin site-uri hostuite pe acelasi server. La asta e cam greu sa te protejezi, in mare e vorba de permisiuni. Uita-te dupa directoare care sunt writable de everyone. O comanda de genul asta find /var/ -perm /o+w -ls Cauta in directorul /var/ toate fisierele care sunt writable de others. Dar si daca ai permisiuniile bune, daca cineva sparge un site host-uit pe serverul tau si are un exploit local, devine root si e game over. Sau chiar daca nu are root, poate accesa directorul temporar unde se stocheaza informatiile de sesiune php si poate sa-ti fure cookie-urile. Nashpa de protejat. Poti sa vezi ce vecini ai cu un site gen myipneighbors. Sau cauti adresa de ip pe live (fostul msn) Cauti dupa ip:72.167.1.223 Daca ti-ai dat seama cum a intrat, publica pe aici sa stim si noi.