Le insidie di WordPress.com : Link Injection

[English Version: here]

Chi di voi , come il sottoscritto, fosse un affezionato utente della piattaforma wordpress.com credo sarebbe d’accordo con me sull’utilità e la praticità della voce “statistiche” nella gestione dei nostri blog. Essa infatti ci riporta diversi dati relativi alle visite al nostro blog: Visite giornaliere, notorietà dei nostri articoli, commenti, parole cercate nei motori di ricerca ma soprattutto i referer: ovvero da quale url gli utenti sono giunti nel nostro blog.

Questa funzionalità ci aiuta a capire se i nostri articoli vengono linkati dall’esterno e in tal caso ci permette di scoprire cosa si dice a proposito di quanto abbiamo scritto.

La pagina delle statistiche di questo Blog

Alcuni di voi avranno già capito dove voglio andare a parare: Il referer è un campo dell’header della request HTTP che il browser dell’utente che raggiunge il nostro blog, scambia con il server in cui il nostro blog è hostato. In particolare, questo campo indica qual’è l’url che conduce l’utente all’elemento corrente, in questo caso al nostro blog.
Come si potrebbe utilizzare questo referer per compiere un attacco al gestore di un blog WordPress.com?

L’hacker potrebbe modificare il campo referer dell’header HTTP e così pubblicare un qualsiasi link nella pagina di amministrazione del blog. Inoltre, l’hacker potrebbe creare diverse richieste http con il campo referer modificato così che la vittima, incuriosita da questa discreta “fonte di visite”, segua il link. A questo punto la vittima si ritroverebbe a scaricare la pagina indicata dall’hacker, esponendosi a diversi potenziali rischi (per l’hacker, il più è fatto).

La prima riflessione su quanto esposto riguarda la pericolosità di questo tipo di attacchi, infatti la piattaforma wordpress.com (come altre piattaforme esistenti e gratuite) risulta essere molto user friendly e non sempre chi ne fa uso possiede conoscenze in ambito di web security.

A questo bisogna aggiungere la semplicità dell’attacco : basta essere in grado di modificare un campo dell’header della richiesta http cosa realizzabile in modo estremamente semplice grazie all’estensione per firefox: modify headers, reperebile Qui

La finestra principale di Modify Headers

anche se personalmente preferisco utilizzare un tool avanzato come Webscarab, che mette a disposizione sotto un’unica interfaccia una miriade di funzionalità per l’analisi delle comunicazioni HTTP/S. Webscarab è un progetto parte dell’OWASP (Open Web Application Security Project).

Un aspetto molto importante riguarda la possibilità di inserire codice javascript nel referer, poiché nella pagina delle statistiche, viene stampato un input utente, l’applicazione è potenzialmente esposta al Cross Site Scripting (sono già alla ricerca di un possibile vettore javascript 😉 )

Concludo dicendo che l’utilizzo di questa tecnica per portare la vittima nella pagina web infetta è molto efficiente, in quanto non richiede un contatto diretto con la vittima (irc, mail , msn ecc).

Annunci

Advisory: ESL.eu profiles vulnerability

EDIT: Ho ricevuto immediatamente una risposta dagli admin, pubblicherò la vulnerabilità solamente una volta che sarà stata fixata.

Il sito http://www.esl.eu è vulnerabile, in particolare la gestione delle informazioni degli utenti può essere facilmente utilizzato contro la volontà degli utenti stessi, ho contattato gli admin ed attendo una risposta.

Esl

In caso la risposta non dovesse arrivare entro il 18 gennaio 2010 la vulnerabilità sarà pubblicata

Vulnerabilità modulo News v1.63 per Xoops

Vulnerabilità Modulo News per Xoops

Vulnerabilità Xoops modulo news

Il modulo news (La versione più aggiornata è la 1.63) per la gestione dei contenuti in Xoops è vulnerabile a XSS e CSRF.

Il modulo news, mette a disposizione un form per l’invio di nuovi post e di nuovi topic di sezione; sono entrambi vulnerabili a CSRF in quanto non protetti da alcun token di sessione.

Inoltre, il modulo news non effettua nessun escaping con l’editor DHTML ed è possibile inserire tag html, compreso <script>, <link> ecc.., quindi è possibile fare in modo che venga postato del codice javascript ad insaputa dell’autore e questo ha miliardi di applicazioni. Impostare un editor diverso da DHTML non servirebbe a molto in quanto è possibile modificare il tipo di editor con una semplce richiesta cross site.

PoC

Scaricate ed installate l’ultima versione di Xoops e del suddetto modulo News

http://localhost/xoops-2.3.3/htdocs/modules/news/admin/index.php?op=newarticle è l’url che vi fa raggiungere direttamente il form in questione, vi basta copiare l’html del form e correggere il tag <textarea> che viene espresso come <textarea />, questo comporta che il restante codice html che includerete sarà interpretato come testo della <textarea>, mentre utilizzando <textarea></textarea> ciò non accade. Salvate il form che avete copiato , oppure prendete il mio e apritelo con il browser.

Sarete persino in grado di fare l’upload di un file che volete voi (sempre che sia tra i tipi MIME accettati dal server e da xoops).

Per metterci una pezza, installate il modulo protector, che trovate anche nel sito di xoops e magari provate qualche altro modulo per la gestione dei contenuti (se proprio non potete fare a meno di utilizzare xoops, che dopotutto è un buon cms)

Netlog vulnerabile a CSRF

netlog

Proprio di recente mi sono rimesso sui libri, non quelli dell’università perchè quelli non li ho mai lasciati e non lascerò per parecchio tempo,  ma quelli che leggo di notte davanti al pc.

Ho ricominciato la mia serie di pubblicazioni proprio parlando di CSRF e facendo una piccola pausa, ho loggato in Netlog, un social di cui sono membro da ormai più di un anno.

In questo periodo,la mia installazione di firefox è praticamente inutilizzabile per navigare, a causa delle estensioni installate, ma spinto dall’abitudine , ho aperto nelog proprio con firefox  nel quale erano attive Firebug e Webdeveloper.

Dopo poco tempo sono venuto a capo della questione, scoprendo che quella sezione del sito è vulnerabile ad attacchi di tipo CSRF e poichè si tratta di un sito con tantissimi utenti, la faccenda sembra seria. :/

Non posso aggiungere altri dettagli finchè alla Netlog inc (xD) non avranno messo una toppa o finchè non sarà passato troppo tempo.