80sec » web安全架构

Mysql charset Truncation vulnerability

admin — Fri, 12 Sep 2008 15:50:38 +0000

Mysql charset Truncation vulnerability

By http://www.80sec.com/

We found that there is a interesting feature in mysql database,when you are using utf8,gbk or other charsets.This feature may make your application unsecure.

Stefen Esser shows some attack manners of mysql in his paper[1], in which he issues the SQL Column Truncation vulnerability.

The application is a forum where new users can register
The administrator’s name is known e.g. ‘admin’
MySQL is used in the default mode
There is no application restriction on the length of new user names
The database column username is limited to 16 characters

Although the application restrict the length of the username, we can bypass it in the following example:

<?php $user=$_REQUEST['user']; mysql_connect("localhost", "root", "") or die("Could not connect: " . mysql_error()); mysql_select_db("test"); mysql_query("SET names utf8"); $result = mysql_query("SELECT * from test_user where user='$user'"); if(trim($user)=='' or strlen($user)>20 ){ die("Input user Invalid"); } if(@mysql_fetch_array($result, MYSQL_NUM)) { die("already exist"); } else { $sql="insert test_user values ('$user')"; mysql_query($sql); echo "$user register OK!"; } mysql_free_result($result); ?>

Read the code here:

$result = mysql_query("SELECT * from test_user where user='$user'");

If the attacker input a username ‘admin z’, and the sql will be like this:

SELECT * FROM user WHERE username='admin z'

And the application will check the length of username with the following code:

if(trim($user)=='' or strlen($user)>20 ){ die("Input user Invalid"); }

The attack will failed because the length of the username ‘admin z’ is greater then 20.

But it will not end here, attacker can input username ‘admin0xc1zzz’, and the sql will be like this:

SELECT * FROM user WHERE username='admin0xc1zzz'

This pass the application’s logic,when the insert commond executes:

insert test_user values ('admin0xc1zzz')

because the table is created in charset utf8,the 0xc1 is not a valid utf8 character,it will be striped,also all of the next characters will be striped too.Then the attacker got a user “admin”;

As you see,when mysql works at utf8,the invalid data will be striped ,but the webapplication doesn’t know this,it works at binaray.The difference between webapplication and database make a vulnerability.

Reference:

[1] http://www.suspekt.org/2008/08/18/mysql-and-sql-column-truncation-vulnerabilities/

Dedecms 内置Mysqlids(80sec)

admin — Wed, 03 Sep 2008 05:02:25 +0000

DeDecms是国内采用比较广泛的一款cms软件，在之前的版本中，陆续被披漏存在SQL注射等安全问题，而SQL注射也是其安全问题的主要所在。为了解决SQL注射的问题，DedeCms在其发布的最新版和补丁中包括了80sec的Mysqlids，以用来抵御和检测Sql注射漏洞。
Mysqlids作为一个ids存在于php应用程序和数据库操作之间，完全以Mysql的语法来分析执行的SQL语句，而不是采用传统的关键字检测的方法，经过合适的部署，基本不存在误报问题。对于一些非正常的SQL语句能进行阻止并且记录相关的信息，这样就可以很快地定位程序中存在注射漏洞的地方，为漏洞的及时修复提供必要的信息。Mysqlids的检测工作使用php实现，相对于SQL语句来说消耗的时间非常小，合理地部署Mysqlids可以极大地提高程序的安全性。

DeDecms官方网站：http://www.dedecms.com

有什么问题和建议欢迎与root#80sec.com联系：）

Html富文本过滤

admin — Thu, 28 Aug 2008 05:06:26 +0000

程序背景：80sec注意到很多web应用程序在一些场合需要允许一些Html标签，和一些标签里的一些属性，如一些日志发表的地方，书写文章的地方，但是由于程序员对安全的不太了解，或者在自己进行的安全过滤时考虑不周，都容易带来跨站脚本攻击，在一些web2.0站点甚至引发Xss Worm。常规的一些检测措施包括黑名单，白名单等等，但是都因为过滤得并不全面，很容易被绕过。其实有另外一种过滤相对严格的方法，就是基于Html语法分析的filter，在满足应用的同时可以最大限度保证程序的安全，一些过滤比较严谨的如Yahoo Mail，Gmail等等就是基于该原理进行的过滤。SafeHtml就是其中一款使用Php的开源过滤器。官方站点在：http://pixel-apes.com/safehtml。

原理介绍：这种filter通过对输入的文档进行html解析，去掉不合法的标签和字符，如去掉html标签里的\0，得到一个标准的文档Dom，通过对该Dom的遍历，结合自己的策略就可以抛弃如script，link，style,Xml这种危险的标签，然后再针对标签的属性进行过滤，抛弃如On*这种属性，然后加入对src这种属性的检测，只允许特定的协议，对style属性进行检测，抛弃非法的style属性，最后补齐需要闭合的html标签，实现对整个文档的过滤。

程序优点：可以对整个文档进行非常安全的过滤，完全开源，也可以根据自己的需要进行适当的调整，来实现自己的安全需求。

程序缺点：非常严格的限制了一些标签的使用，对于整个程序的白名单和黑名单可能需要根据自己的需要进行调整，而一些调整可能带来安全问题，而且在过滤的时候并没有完全考虑字符集的因素，可能在GBK，Gb2312等字符集下绕过。

程序下载：80sec提供配置好的样例程序包（包括HTMLSax3类），Planet Chinese Security Community即使用该过滤包。

程序演示：程序测试，如果你有发现程序的问题，也请与root#80sec.com联系：）

MYSQL Injection IDS [ver.1.0][Updated]

admin — Mon, 14 Jul 2008 02:12:55 +0000

MYSQL Injection IDS [ver.1.0]

BY 80sec http://www.80sec.com/

函数严格限制SQL文里出现

###########################################
union查询
select子查询
不常用的注释
文件操作
benchmark等危险函数
###########################################

原始地址: http://www.80sec.com/release/Mysql-injection-ids-1.0.txt

本函数适合一些开放代码的程序(因为这些程序需要考虑到在各种版本的Mysql里运行),但是可能并不适合在你的程序里,你可以通过修改自己的程序或者做合适的配置来适应它另外对于正常的SQL语句，由于本程序使用的是操作相对来说比较快的strpos来实现的，所以效率影响不是很大：）

关于使用:
1 本函数是在MYSQL操作层来检测非法的SQL查询,大部分情况下该查询是由入侵者引起的,您可能也需要调整自己的程序,本程序不能作为过滤函数
2 本函数需要部署在mysql_query函数前面,作为检测即将执行的SQL语句,最好将他部署在你的MYSQL操作类的前面
3 非法操作默认记录在根目录下，名字为站点根目录的md5值

任何建议与部署上的问题欢迎与

root#80sec.com

联系

function check_sql($db_string){


		$clean = '';

		$error='';

		$old_pos = 0;

		$pos = -1;

		$log_file=$_SERVER['DOCUMENT_ROOT'].md5($_SERVER['DOCUMENT_ROOT']).".php";
		while (true)

		{

			$pos = strpos($db_string, '\'', $pos + 1);

			if ($pos === false)

				break;

			$clean .= substr($db_string, $old_pos, $pos - $old_pos);
			while (true)

			{

				$pos1 = strpos($db_string, '\'', $pos + 1);

				$pos2 = strpos($db_string, '\\', $pos + 1);

				if ($pos1 === false)

					break;

				elseif ($pos2 == false || $pos2 > $pos1)

				{

					$pos = $pos1;

					break;

				}
				$pos = $pos2 + 1;

			}

			$clean .= '$s$';
			$old_pos = $pos + 1;

		}
		$clean .= substr($db_string, $old_pos);
		$clean = trim(strtolower(preg_replace(array('~\s+~s' ), array(' '), $clean)));
		//老版本的Mysql并不支持union，常用的程序里也不使用union，但是一些黑客使用它，所以检查它

		if (strpos($clean, 'union') !== false && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != 0){

			$fail = true;

			$error="union detect";

		}

		//发布版本的程序可能比较少包括--,#这样的注释，但是黑客经常使用它们

		elseif (strpos($clean, '/*') > 2 || strpos($clean, '--') !== false || strpos($clean, '#') !== false){

			$fail = true;

			$error="comment detect";

		}

		//这些函数不会被使用，但是黑客会用它来操作文件，down掉数据库

		elseif (strpos($clean, 'sleep') !== false && preg_match('~(^|[^a-z])sleep($|[^[a-z])~s', $clean) != 0){

			$fail = true;

			$error="slown down detect";

		}

		elseif (strpos($clean, 'benchmark') !== false && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~s', $clean) != 0){

			$fail = true;

			$error="slown down detect";

		}

		elseif (strpos($clean, 'load_file') !== false && preg_match('~(^|[^a-z])load_file($|[^[a-z])~s', $clean) != 0){

			$fail = true;

			$error="file fun detect";

		}

		elseif (strpos($clean, 'into outfile') !== false && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~s', $clean) != 0){

			$fail = true;

			$error="file fun detect";

		}

		//老版本的MYSQL不支持子查询，我们的程序里可能也用得少，但是黑客可以使用它来查询数据库敏感信息

		elseif (preg_match('~\([^)]*?select~s', $clean) != 0){

			$fail = true;

			$error="sub select detect";

		}
		if (!empty($fail))

		{
			fputs(fopen($log_file,'a+'),"<?php die();?>||$db_string||$error\r\n");

			die("Hacking Detect<br><a href=http://www.80sec.com/>http://www.80sec.com");

		}
		else {

			return $db_string;

		}

}
/*

$sql="select * from news where id='".$_GET[id]."'";	//程序功能的SQL语句，有用户数据进入，可能存在SQL注射
check_sql($sql);		//用我们的函数检查SQL语句
mysql_query($sql);		//安全的数据库执行

*/

NTFS 数据流和web安全[tips]

admin — Thu, 05 Jun 2008 10:04:03 +0000

|=———————————————————————————————–=|
|=————————–=[ NTFS数据流和web安全 ]=————————-=|
|=———————————————————————————————–=|
|=————————————-=[ By 80sec ]=————————————=|
|=—————-=[ xy7@80sec.com&jianxin@80sec.com ]=—————–=|
|=————————————————————————————————=|

From:http://www.80sec.com/release/ntfs-web-security.txt

NTFS流简单介绍：

NTFS因为它的稳定性强大的功能以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流(ADSs)是为了和Macintosh的HFS文件系统兼容而设计的，它使用资源派生(resource forks)来维持与文件相关的信息，比如说图标及其他的东西。创建ADSs的语法相对比较简单和直接，比如说创建和文件myfile.txt相关联的ADSs，只需简单的用冒号把文件名和ADSs名分开即可如：

D:\ads>echo This is an ADS > myfile.txt:hidden
那么这种问题和脚本安全有什么关系呢？80sec的xy7提供了如下的测试代码：
/*----------------------------------------------------------------------------------------------------------------- <?php $fp = fopen ("$_GET[a].txt", "a"); fwirte($fp,'80sec.com'); ?> -------------------------------------------------------------------------------------------------------------------*/
当提供一个80sec.php?a=x.php:的时候，在windows系统下会发现在当前目录创建了一个x.php文件，但是内容为空：）但是实际上这已经扰乱了程序的逻辑，生成php文件就是不允许的事情。那么到底怎么回事呢？用记事本执行
notepad x.php:.txt
就可以看到真实的文件路径。那么这个路径在其他文件操作函数是否可用呢？经过测试，像file_exists，include都可以使用这个路径，尽管这个路径在文件目录和dir命令下不可见，并且测试发现，在普通文件名里不允许的<>以及”等字符，在这个路径里是允许存在的，而这些字符就可能在文件操作时不注意而引发一些安全问题。

另外可以看到，这种文件可以很容易在windows系统里隐藏自己的某些代码，譬如将自己的后门代码隐藏在某个php文件里，然后可以在另外一个地方include进来执行，并且这种隐藏在脚本级别是无法查看的，必须借助相应的工具才能查看。

由于文件名的特殊性，可能可以bypass一些文件上传的安全检查，但是经过测试，我们发现并不能在apache和iis里对这种类型文件进行访问，所以即使能上传成功也许也并不能直接访问作为代码直接执行：）但是不排除一些windows下的其他http server能正确处理好这种文件名，而不发生问题，这种问题应该是windows的问题，所以在像其他脚本如asp里也应该是一样存在的。