XSS-Bug in Serendipity

02 01 2008 19:21
In Serendipity existiert eine Schwachstelle, die sich für XSS-Angriffe nutzen lässt.

Ganz so dramatisch, wie dies jetzt klingt, ist sie allerdings nicht und dürfte wahrscheinlich auch nur wenige Serendipity-User betreffen, da hier auf mehrere Autoren im System gesetzt wird von denen mindestens ein Autor böswillige Absichten hat.
Die Schwachstelle resultiert aus einer fehlenden Bereinigung der Titel-Zeile eines entsprechend präparierten Eintrags, wenn darauf mit einem (un)moderierten Kommentar geantwortet wurde.

Da in Serendipity generell HTML- und auch JavaScript-Code erlaubt ist, ist dies eigentlich keinen Blog-Eintrag wert, da dies by design erlaubt ist und somit als Feature und nicht als Bug verstanden werden soll.

Wer aber zusammen mit anderen Autoren in einem Blog Einträge verfasst (egal ob in diesem Blog zur Sicherheit das Event-Plugin "XSSTrust" eingesetzt wird oder nicht), kann auf diese Weise an gültige Cookies anderer Autoren oder gar des Administrators gelangen.

Ein böswilliger Autor erstellt einen neuen Eintrag mit bspw. dem folgenden Titel:

<script>alert(document.cookie)</script>

Wenn dieser Autor danach einen Kommentar zu seinem Eintrag verfasst und später ein anderer Autor oder gar ein Administrator auf die "Kommentare"-Seite in der Serendipity-Verwaltungsoberfläche geht, so wird dessen Cookie in einer Dialogbox des Webbrowsers angezeigt. (Natürlich ließe sich der Cookie auch an der Angreifer hinschicken o.ä. ...)


"XSS-Bug in Serendipity" vollständig lesen


Twitter Bookmark XSS-Bug in Serendipity  at del.icio.us Facebook Google Bookmarks FriendFeed Digg XSS-Bug in Serendipity Mixx XSS-Bug in Serendipity Bloglines XSS-Bug in Serendipity Technorati XSS-Bug in Serendipity Fark this: XSS-Bug in Serendipity Bookmark XSS-Bug in Serendipity  at YahooMyWeb Bookmark XSS-Bug in Serendipity  at Furl.net Bookmark XSS-Bug in Serendipity  at reddit.com Bookmark XSS-Bug in Serendipity  at blinklist.com Bookmark XSS-Bug in Serendipity  at Spurl.net Bookmark XSS-Bug in Serendipity  at NewsVine Bookmark XSS-Bug in Serendipity  at Simpy.com Bookmark XSS-Bug in Serendipity  at blogmarks Bookmark XSS-Bug in Serendipity  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

DNS Rebinding and more packet tricks

28 12 2007 00:26
Genialer Vortrag von Dan Kaminsky auf dem 24C3.
Lustiger Mensch mit absolut krassen Ideen (TCP over JSON / IP over Spam / etc.). Respekt !
(Er wäre auch ein prima Entertainer.)

Twitter Bookmark DNS Rebinding and more packet tricks  at del.icio.us Facebook Google Bookmarks FriendFeed Digg DNS Rebinding and more packet tricks Mixx DNS Rebinding and more packet tricks Bloglines DNS Rebinding and more packet tricks Technorati DNS Rebinding and more packet tricks Fark this: DNS Rebinding and more packet tricks Bookmark DNS Rebinding and more packet tricks  at YahooMyWeb Bookmark DNS Rebinding and more packet tricks  at Furl.net Bookmark DNS Rebinding and more packet tricks  at reddit.com Bookmark DNS Rebinding and more packet tricks  at blinklist.com Bookmark DNS Rebinding and more packet tricks  at Spurl.net Bookmark DNS Rebinding and more packet tricks  at NewsVine Bookmark DNS Rebinding and more packet tricks  at Simpy.com Bookmark DNS Rebinding and more packet tricks  at blogmarks Bookmark DNS Rebinding and more packet tricks  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Firefox-Extension: InFormEnter

11 12 2007 23:36
Eben bin ich über die Firefox-Extension "InFormEnter" gestolpert, welche eigentlich die Aufgabe hat vordefinierte Zeichenketten per Mausklick in jedes Formularfeld einfügen zu können. Dazu befindet sich neben jedem Feld ein Symbol über dieses dann die gewünschte Zeichenkette eingefügt werden kann. So lässt sich bequem die eigene Adresse oder Telefonnummer mittels Mausklick einfügen.

Jedoch kann man dieses Tool auch etwas zweckentfremden und Injection-Zeichenketten (SQL, JavaScript, etc.) abspeichern. So fällt das lästige Copy & Paste aus den eigenen Cheatsheets weg.

Meinen Blog-Eintrag "Hacken von Web-Applikationen mit Firefox-Extensions" habe ich dazu passend aktualisiert.


Twitter Bookmark Firefox-Extension: InFormEnter  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Firefox-Extension: InFormEnter Mixx Firefox-Extension: InFormEnter Bloglines Firefox-Extension: InFormEnter Technorati Firefox-Extension: InFormEnter Fark this: Firefox-Extension: InFormEnter Bookmark Firefox-Extension: InFormEnter  at YahooMyWeb Bookmark Firefox-Extension: InFormEnter  at Furl.net Bookmark Firefox-Extension: InFormEnter  at reddit.com Bookmark Firefox-Extension: InFormEnter  at blinklist.com Bookmark Firefox-Extension: InFormEnter  at Spurl.net Bookmark Firefox-Extension: InFormEnter  at NewsVine Bookmark Firefox-Extension: InFormEnter  at Simpy.com Bookmark Firefox-Extension: InFormEnter  at blogmarks Bookmark Firefox-Extension: InFormEnter  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Vulnerable Adobe Acrobat plugin detection for UXSS

01 06 2007 22:03
Ich habe mich heute ein wenig mit Ronald van den Heetkamp, wahrscheinlich besser bekannt als jungsonn, über UXSS (Universal XSS) unterhalten.

Die Frage war, ob sich schon jemand mit der Detektion von anfälligen Adobe Acrobat Reader Installationen beschäftigt hat. Es schien nicht so.

Daher ist ein JavaScript herausgekommen, welches zuerst auf einen installiertes Adobe Acrobat Plugin prüft und wenn vorhanden, dann die Version ermittelt, um letztendlich sagen zu können, ob man ein Problem hat oder nicht.

Weil Ronald wesentlich schneller als ich darüber gebloggt hat, siehe auch sein Blog-Eintrag hier (inkl. Skript).

Wenn man ein Problem hat, dann ist man anfällig für XSS-Angriffe, die sich des Vorhandenseins eines beliebigen PDF-Dokuments bedienen, um ausgeführt werden zu können. Bei den (definitiv) verwundbaren Versionen 6.x und 7.x (außer 7.9) muss JavaScript im Acrobat aktiviert sein, was allerdings die Standardeinstellung ist, um einem UXSS-Angriff erliegen zu können.

Das Skript prüft momentan noch nicht auf Versionen kleiner 6.x, weil dort erst noch geklärt werden muss, ob UXSS-Angriffe funktionieren. Angeblich ist seit Version 3.x von ungefähr 1996 JavaScript in PDF-Dokumenten möglich. Version 7.9 ist laut Christ1an bereits auch nicht mehr verwundbar. Version 8.x bekannterweise auch nicht.

Diese Erkennungs- und warnroutine kann zum Beispiel in die Projekte "Black Dragon" (von Ronald van den Heetkamp) und in Robert Hansens (besser bekannt als RSnake) "Master Recon-Tool" (kurz: "Mr. T"). integriert werden.

Update: Auf einer alten CD habe ich noch einen Adobe Acrobat Reader 5 gefunden und auch gleich mal installiert, um testen zu können, ob die Version überhaupt für UXSS anfällig ist und ob man dementsprechend davor warnen müsste und somit das Skript abgeändert werden sollte.
Aus einem mir bislang unerfindlichen Grund mag der Acrobat 5.01.x aber nicht starten. Sei es drum. Aber das Plugin im Firefox funktioniert - also zumindest ist es korrekt installiert - und der daraus ausgelesene String passt vom Schema her zu den Versionen 6.x - 7.x. Nachdem ich dann ein wenig im Internet gesucht habe, ist mir ein Kommentar in Jeremiah Grossmans Blog aufgefallen, der aussagt, dass der IE 6.0 mit SP2 und Acrobat 5.x anfällig für UXSS ist. Wenn man ausgeht, dass dieser Kommentar von einer anonymen Person (ich kann also nicht nachfragen) stimmt, dann sollte man das JavaScript zwecks Benutzerwarnung nun minimal abändern. (Wegen Trivialität gibt es hier dazu keinen Quellcode.)
Fraglich sind also weiterhin Versionen vor 5.x.


Twitter Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Vulnerable Adobe Acrobat plugin detection for UXSS Mixx Vulnerable Adobe Acrobat plugin detection for UXSS Bloglines Vulnerable Adobe Acrobat plugin detection for UXSS Technorati Vulnerable Adobe Acrobat plugin detection for UXSS Fark this: Vulnerable Adobe Acrobat plugin detection for UXSS Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  at YahooMyWeb Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  at Furl.net Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  at reddit.com Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  at blinklist.com Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  at Spurl.net Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  at NewsVine Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  at Simpy.com Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  at blogmarks Bookmark Vulnerable Adobe Acrobat plugin detection for UXSS  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Wie man Firefox Daten entlockt

17 05 2007 13:53
Bislang funktioniert es leider nur lokal, aber dies lässt sich vielleicht noch abändern.
So wäre zumindest unter Windows möglich die Benutzernamen auszulesen und ein Fingerprinting der installierten Software vorzunehmen.

PoC:

<link rel="stylesheet" href="res%6Furce://..%5C" type="text/css" id="path">
<script>
alert(document.getElementById("path").sheet.href);
</script>

Update: So wie es aussieht wird der dieser Bug in Firefox 2.0.0.4 und 1.5.0.12 behoben sein.

Update 2: So funktioniert es auch von extern, anstatt nur lokal. Allerdings kann nur auf vorher bekannte Benutzernamen getestet werden, anstatt nur die vorhandenen auszulesen.


Twitter Bookmark Wie man Firefox Daten entlockt  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Wie man Firefox Daten entlockt Mixx Wie man Firefox Daten entlockt Bloglines Wie man Firefox Daten entlockt Technorati Wie man Firefox Daten entlockt Fark this: Wie man Firefox Daten entlockt Bookmark Wie man Firefox Daten entlockt  at YahooMyWeb Bookmark Wie man Firefox Daten entlockt  at Furl.net Bookmark Wie man Firefox Daten entlockt  at reddit.com Bookmark Wie man Firefox Daten entlockt  at blinklist.com Bookmark Wie man Firefox Daten entlockt  at Spurl.net Bookmark Wie man Firefox Daten entlockt  at NewsVine Bookmark Wie man Firefox Daten entlockt  at Simpy.com Bookmark Wie man Firefox Daten entlockt  at blogmarks Bookmark Wie man Firefox Daten entlockt  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS

11 05 2007 04:39
In Zeiten von XSS sieht man häufiger Beispiele, die Cookies an Angreifer verschicken. Das XSS weitaus mächtiger ist braucht wohl kaum erwähnt werden.

Dies klappt deshalb, weil Skript-Code (z.B. JavaScript) auf Cookies im eigenen Seitenkontext beliebig zugreifen darf. In der Spezifikation für Cookies gibt es noch einige Attribute, die man ihnen bei der Erstellung auf den Weg geben kann wie "secure" und die (sinnvolle) Erweiterung von Microsoft namens "HttpOnly".

Das Attribut "HttpOnly" bedeutet, dass Cookies nicht mehr länger über clientseitigen Skript-Code angetastet werden kann. Sonst bleibt alles beim Alten. (Der Vollständigkeit halber will ich das Attribut "secure" hier nicht unterschlagen: Es bedeutet, dass der Cookie nur über SSL- / TLS-gesicherte Verbindungen vom Browser verschickt werden darf.)

Gesetzt müssen die Attribute von der jeweiligen Web-Applikation werden und der Browser hat sich danach zu richten, sofern er damit umzugehen weiß.

Z.B. ist der Mozilla Firefox 2.x bislang nicht in der Lage HttpOnly-Cookies richtig zu behandeln. Die ersten Alpha-Versionen der Version 3.0 beherrschen dies aber endlich. Microsoft hat seit dem SP1 für den Internet Explorer 6.0 HttpOnly-Cookie-Behandlung in seinen Browser integriert.
Stefan Esser hat für den Firefox 2.x eine Extension namens httpOnly herausgebracht, die den Skript-Zugriff von Seiten des Browsers her unterbinden soll. (Tests von meiner Seite her stehen noch aus.)

Momentan beschäftige ich mich mit der Frage, wie man an solche Cookies dennoch herankommt.
ActiveX, JScript und Flash habe ich mir bislang nicht angeschaut, wobei ich auch vermute, dass zumindest JScript keinen Zugriff auf HttpOnly-Cookies bekommen sollte. Java-Applets dürfen von ihren Sicherheitsrichtlinien her nicht auf Cookies zugreifen, so dass man einer für XSS anfälligen Web-Applikation kein Java-Applet unterschieben zu braucht.
Über ein spezielles Package von Netscape (netscape.javascript.*) kann man aber von Java aus auf JavaScript-Objekte zugreifen. Im Moment bin ich dabei ein Java-Applet zu schreiben, welches über diese Art und Weise versucht die zuvor abgespeicherten Cookies auszulesen und auf dem Server abzulegen. Inwieweit diese alten Netscape-Klassen in neuen Browsern (außer Netscape und vielleicht Mozilla) noch funktionieren, wird sich zeigen. Unklar ist bislang auch noch, ob sich so der (angebliche) Schutz der Cookies aushebeln lässt, da sich letztendlich eigentlich doch nur wieder JavaScript an den Cookies vergreift.

Als Ergänzung zu dieser Sache ein Überblick über die verschiedenen Cookie-Varianten (siehe Titel).


"Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS" vollständig lesen


Twitter Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  at del.icio.us Facebook Google Bookmarks FriendFeed Digg Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS Mixx Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS Bloglines Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS Technorati Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS Fark this: Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  at YahooMyWeb Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  at Furl.net Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  at reddit.com Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  at blinklist.com Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  at Spurl.net Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  at NewsVine Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  at Simpy.com Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  at blogmarks Bookmark Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca

JavaScript ist böse

29 04 2007 19:32
... und wird uns in den nächsten Jahren im IT-Security Bereich noch ganz besonders große Kopfschmerzen bereiten.

Ich bin da momentan auch an einer interessanten Arbeit dran. Mehr dazu zu gegebener Zeit hier im Blog.


Twitter Bookmark JavaScript ist böse  at del.icio.us Facebook Google Bookmarks FriendFeed Digg JavaScript ist böse Mixx JavaScript ist böse Bloglines JavaScript ist böse Technorati JavaScript ist böse Fark this: JavaScript ist böse Bookmark JavaScript ist böse  at YahooMyWeb Bookmark JavaScript ist böse  at Furl.net Bookmark JavaScript ist böse  at reddit.com Bookmark JavaScript ist böse  at blinklist.com Bookmark JavaScript ist böse  at Spurl.net Bookmark JavaScript ist böse  at NewsVine Bookmark JavaScript ist böse  at Simpy.com Bookmark JavaScript ist böse  at blogmarks Bookmark JavaScript ist böse  with wists wong it! Bookmark using any bookmark manager! Stumble It! Print this article! E-mail this story to a friend! Identi.ca