http://www.80sec.com Know it then hack it! Mon, 17 Nov 2008 01:36:55 +0000 http://backend.userland.com/rss092 en 漏洞公告：http://www.80sec.com/ 漏洞解析：世界之窗浏览器在处理页面跳转时存在问题，当跳转至about:blank协议时并不会实际处理地址栏里的URL，导致一个严重的地址栏欺骗漏洞，恶意站点可以利用该漏洞对世界之窗浏览器用户进行钓鱼欺骗等等恶意操作。 漏洞证明：80sec在官方修复该漏洞两星期后发布POC，请用非最新版世界之窗浏览器访问以下地址： http://www.80sec.com/release/tw-poc.html 可以看到欺骗效果。 漏洞建议：官方已经在两个星期前发布新版本，并且修复了这个问题，建议用户尽快升级浏览器以避免损失。 http://www.ioage.com/cn/product-log2.htm http://www.80sec.com/the-world-browser-poc.html 产品官方：世界之窗浏览器是一款小巧、快速、安全、功能强大的多窗口浏览器，它是完全免费，没有任何功能限制的绿色软件。世界之窗浏览器兼容微软IE浏览器，可运行于微软windows98/ME/2000/XP/Vista系列操作系统上，它使用IE浏览器相同的内核，因此网页显示效果可以与IE浏览器完全相同，推荐您同时安装IE6.0版或者更高的版本。世界之窗浏览器由凤凰工作室出品，它完全免费，没有任何功能限制，不捆绑任何第三方软件，可以干净卸载，请您放心使用。不同于常见的其它IE内核浏览器，世界之窗浏览器使用C++和Win32 SDK开发，自行针对浏览器开发进行了代码库的封装，具有更扁平更透明的封装特性，功能实现的方法更加灵活快速；世界之窗2.0版本在积累了1.x系列版本的长期开发经验基础上，所有程序架构代码全部重写、所有浏览增强功能代码全部重写以追求更完美更优秀的软件品质。厂商地址为http://www.ioage.com/。 漏洞来源：http://www.80sec.com 漏洞说明：80sec在其产品世界之窗浏览器和360安全浏览器中发现了一个严重的安全问题，由于浏览器在处理某些伪协议时存在安全问题，导致恶意站点可以实现地址栏欺骗，用户可能在毫无知觉的情况下被引导进去一个钓鱼或者欺骗页面，该页面的地址栏是完全正确的地址，内容却可以被随意构造。 漏洞证明：80sec将在厂商修补该问题之后提供漏洞证明代码，请关注http://www.80sec.com/ 漏洞状态：80sec已经及时与厂商取得沟通，厂商将于近期发布补丁。 漏洞建议：建议用户及时关注厂商提供的补丁，在此期间浏览站点的时候不要随便点击不明站点提供的链接，避免遭受损失。 http://www.80sec.com/the-world-browser-security-aler.html 漏洞说明：Google是全球最大的搜索引擎。同时Google拥有其他庞大的WEB应用程序产品线，涉及EMAIL、BLOG、在线文档、个人主页、电子地图、论坛、RSS等互联网几乎所有的应用业务。80sec发现Google提供的图片搜索服务存在安全问题，结合IE浏览器的MS08-058漏洞可以造成整站的跨站脚本漏洞，几乎可以控制所有的Google服务和获得目标用户的认证信息。 漏洞站点：http://www.google.com 漏洞解析：Google提供的图片搜索服务存在网页框架安全问题，恶意攻击者可以指定网页的内嵌框架页指向任意网页。该服务提供的URL地址主域名可以更改成Google的其他业务的子域名，从而造成严重的钓鱼网页攻击隐患。如下：黑客指定imgrefurl参数就可能构造GMAIL相关服务的钓鱼网页。 http://mail.google.com/imgres?imgurl=80sec&imgrefurl=http://www.80sec.com&hl=com 该漏洞结合由80SEC团队成员发现的IE浏览器的MS08-058部分漏洞可以造成GOOGLE整站的跨站脚本XSS漏洞，linx在《利用IE 框架跨域》文档分析了MS08-058涉及网页框架安全问题，子框架网页可以操作主框架的窗口句柄。这种类型的漏洞主要危害是不受IE浏览器同源策略的限制，可以跨域控制其他域的网页，影响所有的WEB应用。微软已经在08年10月提供了MS08-058补丁修复了该漏洞。 测试代码： 将Google的漏洞页指向MS08-058漏洞攻击页 http://mail.google.com/imgres?imgurl=80sec&imgrefurl=http://www.80sec.com/MS08-058.htm&hl=com MS08-058.htm内容 <script> setTimeout ( function(){ parent.location.href = new String("javascript:alert(document.cookie)"); } ,1500); </script> 即可获得GAMIL的Cookie信息 危害提醒： 黑客利用浏览器漏洞可以使这种类型的低风险Web安全漏洞扩大成影响所有Web应用的高风险安全问题，请各大网站及安全管理人员仔细分析评估MS08-058类型的Web安全问题。 参考： http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx http://www.80sec.com/pstzine/0x02/txt/PSTZine_0x02_0x04.txt http://hi.baidu.com/linx2008/blog/item/2872938f9f2811fc503d9258.html http://www.80sec.com/ms08-058-attacks-google.html CSRF with Flash Author: lake2 [80sec] EMail: lake2#80sec.com Site: http://www.80sec.com Date: 2008-10-04 From: http://www.80sec.com/release/csrf-with-flash.txt --------------------------------- [ 目录 ] 0x00 纯属扯淡 0x01 用flash发起CSRF攻击 0x02 超越JavaScript Hijacking 0x03 flash的跨域策略 0x04 绕过flash的跨域策略 0x05 flash的限制措施 0x06 Windows Media Player的隐患 0x07 防范措施 0x08 后记 -------------------------------- 0x00 纯属扯淡 世界变化得太快，一不留神你就落后了。现在看来，CSRF也算老生常谈了，为了有点积极的意义，本文重点介绍一下利用flash进行CSRF攻击的一些手法，希望对你有点启发。 ... http://www.80sec.com/csrf-with-flash.html 漏洞说明：快客电邮（QuarkMail）是北京雄智伟业科技公司推出的电子邮件系统，被广泛用于各个领域的电子邮件解决方案，其webmail部分使用perl cgi编写，但是80sec在其系统中发现一个重大的安全漏洞，导致远程用户可以在邮件系统上以当前进程身份执行任意命令，从而进一步控制主机或者系统。 漏洞厂商：http://www.ipmotor.com/ 漏洞解析：QuarkMail错误地使用perl的open函数以打开文件，实现模板等功能，但是其对用户传入的参数没有做有效的过滤，从而导致一个命令执行漏洞。 漏洞证明：登录进入系统之后访问如下URL http://mail.80sec.com.foo/cgi-bin/get_message.cgi?sk=tERZ6WI1&fd=inbox&p=1&l=10&max=2&lang=gb&tf=../../../../../../../etc/passwd%00&id=2&sort=0&read_flag=yes 即可得到系统账户文件，访问如下URL http://mail.80sec.com.foo/cgi-bin/get_message.cgi?sk=tERZ6WI1&fd=inbox&p=1&l=10&max=2&lang=gb&tf=../../../../../../../usr/bin/id|%00&id=2&sort=0&read_flag=yes 即可以将/usr/bin/id文件打开执行，并且将结果返回，用户就可以利用一序列操作获得系统的完整访问权。 漏洞解决：请等待官方补丁。 http://www.80sec.com/quarkmai-remote-command-execution.html 漏洞说明： php是一款被广泛使用的编程语言，可以被嵌套在html里用做web程序开发。但是在php里使用的某些编码函数在处理畸形的utf8序列时会产生不正确的结果，这样在某些情况下可能会引起应用程序的安全漏洞，绕过某些逻辑过滤等等。 漏洞成因：php在处理utf8编码时，对畸形的序列处理不当，如 ... 0xc0a7 0xe0c0a7 0xf0c0c0a7 ... 均会被错误地解码为一个0x27，这样就导致安全漏洞的产生。譬如utf8_decode函数的源代码如下： PHPAPI char *xml_utf8_decode(const XML_Char *s, int len, int *newlen, const XML_Char *encoding) { int pos = len; char *newbuf = emalloc(len + 1); unsigned short c; char (*decoder)(unsigned short) = NULL; xml_encoding *enc = xml_get_encoding(encoding); ... http://www.80sec.com/php-utf8-decode-vul.html php use create_function function to CREATE an anonymous function like below(stolen from php_manual): -------------------------------------------------- Description string create_function ( string args, string code ) Creates an anonymous function from the parameters passed, and returns a unique name for it. Usually the args will be passed as a single quote delimited string, and this is also ... http://www.80sec.com/php-create_function-commond-injection-vulnerability.html 漏洞起因：百度是国内最大的中文搜索引擎。同时百度也提供了百度空间、百度贴吧等BLOG社区服务，拥有海量的用户群，号称全球最大中文社区。80sec发现过百度产品一系列的安全漏洞，其中一些问题得到了有效的修补，但是百度的产品仍然存在很多严重的安全漏洞，利用这些漏洞黑客可以制作Web蠕虫，影响百度所有的用户。 CSRF worm技术分析： 一. 百度用户中心短消息功能存在CSRF漏洞 百度用户中心短消息功能和百度空间、百度贴吧等产品相互关联，用户可以给指定百度ID用户发送短消息，在百度空间用互为好友的情况下，发送短消息将没有任何限制，同时由于百度程序员在实现短消息功能时使用了$_REQUEST类变量传参，给黑客利用CSRF漏洞进行攻击提供了很大的方便。百度用户中心短消息功能的请求参数能够被完全预测，只需要指定sn参数为发送消息的用户，co参数为消息内容，就可以成功发送短消息，如下： http://msg.baidu.com/?ct=22&cm=MailSend&tn=bmSubmit&sn=用户账号&co=消息内容 该漏洞在07年被应用于80SEC测试的百度XSS WORM中，至今尚未修补。 二. 百度空间好友json数据泄露问题 百度空间的好友功能数据是使用json格式实现的，此接口没有做任何的安全限制，只需将un参数设定为任意用户账号，就可以获得指定用户的百度好友数据，如下 http://frd.baidu.com/?ct=28&un=用户账号&cm=FriList&tn=bmABCFriList&callback=gotfriends 该漏洞可以直接被Javascript劫持技术利用，获取用户的好友信息. 三. 百度认证问题 web攻击不可避免地依赖于系统的认证，而在百度的认证系统里，所有认证基于SESSION，这样在IE里就不会被IE的隐私策略阻止，会话认证信息每次都会被发送出去，为我们蠕虫的传播提供了必要的条件。 四. CSRF + JavaScript_Hijacking + Session Auth= CSRF worm CSRF攻击结合Javascript劫持技术完全可以实现CSRF worm，百度产品的这两个安全问题为实现Web蠕虫提供了所有的条件，80Sec团队已经编写出一只完整的百度csrf蠕虫，这是一只完全由客户端脚本实现的CSRF蠕虫，这只蠕虫实际上只有一条链接，受害者点击这条链接后，将会自动把这条链接通过短消息功能传给受害者所有的好友，因为百度用户基数很大，所以蠕虫的传播速度将会呈几何级成长，下面对csrf蠕虫部分代码进行分析： 1. 模拟服务端取得request的参数 var lsURL=window.location.href; loU = lsURL.split("?"); if (loU.length>1) { var loallPm = loU[1].split("&"); 省略................ 定义蠕虫页面服务器地址，取得?和&符号后的字符串，从URL中提取得感染蠕虫的用户名和感染蠕虫者的好友用户名。 2. 好友json数据的动态获取 var gotfriends = function (x) { for(i=0;i<x[2].length;i++) ... http://www.80sec.com/baidu-hi-scrf-worm-attac.html |=——————————————————————=| |=————–=[ CSRF攻击原理解析 ]=——————=| |=——————————————————————=| |=——————-=[ By rayh4c ]=————————=| |=————-=[ rayh4c@80sec.com ]=——————-=| |=——————————————————————=| Author: rayh4c [80sec] EMail: rayh4c#80sec.com Site: http://www.80sec.com Date: 2008-9-21 0x00. 前言 在Web程序中普通用户一般只在Web界面里完成他想要的操作，Web程序接受的正常客户端请求一般来自用户的点击链接和表单提交等行为，可是恶意攻击者却可以依靠脚本和浏览器的安全缺陷来劫持客户端会话、伪造客户端请求。 0x01. CSRF攻击分类 CSRF是伪造客户端请求的一种攻击，CSRF的英文全称是Cross Site Request Forgery，字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出，国内直到06年初才被关注，早期我们团队的剑心使用过CSRF攻击实现了DVBBS后台的SQL注射，同时网上也出现过动易后台管理员添加的CSRF漏洞等，08年CSRF攻击方式开始在BLOG、SNS等大型社区类网站的脚本蠕虫中使用。 CSRF的定义是强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。CSRF漏洞的攻击一般分为站内和站外两种类型： CSRF站内类型的漏洞在一定程度上是由于程序员滥用$_REQUEST类变量造成的，一些敏感的操作本来是要求用户从表单提交发起POST请求传参给程序，但是由于使用了$_REQUEST等变量，程序也接收GET请求传参，这样就给攻击者使用CSRF攻击创造了条件，一般攻击者只要把预测好的请求参数放在站内一个贴子或者留言的图片链接里，受害者浏览了这样的页面就会被强迫发起请求。 CSRF站外类型的漏洞其实就是传统意义上的外部提交数据问题，一般程序员会考虑给一些留言评论等的表单加上水印以防止SPAM问题，但是为了用户的体验性，一些操作可能没有做任何限制，所以攻击者可以先预测好请求的参数，在站外的Web页面里编写javascript脚本伪造文件请求或和自动提交的表单来实现GET、POST请求，用户在会话状态下点击链接访问站外的Web页面，客户端就被强迫发起请求。 0x02. 浏览器的安全缺陷 现在的Web应用程序几乎都是使用Cookie来识别用户身份以及保存会话状态，但是所有的浏览器在最初加入Cookie功能时并没有考虑安全因素，从WEB页面产生的文件请求都会带上COOKIE，如下图所示，Web页面中的一个正常的图片所产生的请求也会带上COOKIE： <img src="http://website/logo.jpg"> ↓ ... http://www.80sec.com/csrf-securit.html Mysql charset Truncation vulnerability By http://www.80sec.com/ We found that there is a interesting feature in mysql database,when you are using utf8,gbk or other charsets.This feature may make your application unsecure. Stefen Esser shows some attack manners of mysql in his paper[1], in which he issues the SQL Column Truncation vulnerability. The application is a ... http://www.80sec.com/mysql-charset-truncation-vulnerability.html