阿碼外傳-阿碼科技非官方中文 Blog: 12/01/2008 - 01/01/2009

2008年12月15日

開放源碼 World Recipe 2.11 存在多個 XSS 弱點

阿碼科技的資安團隊於本月 12 號發現一套叫作 World Recipe 〈世界食譜〉的開放源碼〈註一〉套件存在有多個跨站腳本攻擊〈Cross-site Scripting, XSS〉問題. 此套件是以 ASP.NET 2.0 C# 所撰寫的, 其具備快速建置, 完整的網站功能頁面與 SQL 資料庫等特色, 獲得不少的口耳相傳與採用.

我們在發現之初即通知原始作者, 並在本月 15 號通知全球弱點公開揭露平台 SecurityFocus, 刊載為 BugTraq 499217: Multiple XSS Vulnerabilities in World Recipe 2.11, 唯目前官方仍沒有針對 2.11 版本的修補程式.

此次揭露的弱點類型都是可利用於跨站腳本攻擊〈XSS〉, 分別是位在建置後網站第一層根目錄

1. emailrecipe.aspx 的參數 n
(譬如http://xxx-website/emailrecipe.aspx?n=XSS)

2. recipedetail.aspx 的參數 id
(譬如http://xxx-website/recipedetail.aspx?id=XSS)

3. validatefieldlength.aspx 的參數 catid
(譬如http://xxx-website/validatefieldlength.aspx?catid=XSS)

等三支的 ASP.NET 網頁. 我們的工具所計算出來的受駭風險指數高達滿分 5 分 (在實務上 3 分以下的攻擊成功機會就非常之低).

validatefieldlength.aspx 這支程式使用到參數 catid, 但沒有正確地驗證與過濾, 因此攻擊方可利用於誤導受駭方執行任意的腳本程式, 請見下圖的概念證明〈Proof of Concept〉:





當然, ASP.NET Framework 不是省油的燈, 在 emailrecipe.aspx 與 recipedetail.aspx 可看到其基本保護, 當嘗試輸入可疑的字串時, 會被 ValidateRequest 攔下. 請見下圖的概念證明:



不過因為 ValidateRequest 是採用黑名單的方式, 多少會有規避的空間. 一旦當攻擊方發現繞過的方式, 剩下的最後一道防線就是瀏覽器本身了. 目前各家的瀏覽器對不同的跨站腳本攻擊〈XSS〉語法有不同的表現, 我們採用了一個對微軟 IE 有效的攻擊語法, 並成功地繞過 ValidateRequest 的攔阻, 目前僅有最新的 IE8 Beta 2 能夠偵測到此跨站腳本攻擊〈XSS〉.
請見下圖的概念證明:



註一: 開放源碼套件以可自由下載, 散佈, 使用, 且多半是免費提供等特色受廣大使用者所喜愛.但開放源碼這種草根性的社群開發模式, 通常沒有強制要求嚴謹的軟體測試或壓力測試, 其軟體品質, 尤其是資安品質, 是否符合使用者的期待, 是有待商榷的. 有一些使用者會認為開放源碼的原始碼是攤在陽光之下, 有比較多的機會被程式高手或資安專家看到錯誤或安全漏洞, 因此其軟體品質或資安風險應該有一定程度的"保證". 很明顯地, 光有這樣的期待是無法有效地量化資安風險, 除非有效地利用源碼檢測等白箱工具來驗證其資安品質, 否則即使諸多使用者或企業樂見開放源碼的多樣化選擇, 也不敢貿然採用.

作者 Dr. Benson Wu 為 阿碼科技 產品經理


繼續閱讀全文...

2008年12月10日

IE 7 零時差攻擊(Zero Day Attack) 重大威脅警訊


重大威脅警訊: 針對IE瀏覽器的零時差攻擊大量出現

12月9日下午,針對微軟IE 7.0的零時差(Zero Day Attack)攻擊程式碼由"知道安全(Knownsec Team)" 團隊成員貼上網,據 Knownsec 團隊表示在最近的網站掛馬案件中開始有此攻擊碼的出現,針對 Internet Explorer 7.0最新版(7.0.5730.13)進行零時差攻擊。目前已經發現針對Windows XP與Windows 2003 環境的攻擊碼,即使用戶已經更新到最新版(微軟本週更新12月9日IE7,版本7.0.5730.13)還是不能倖免,這就是零時差攻擊之所以危險的原因。阿碼科技ASF團隊立即對此一現象進行分析後,執行長黃耀文在接受 IDG 專訪 時表示,此攻擊方式已經出現大量生產的工具,可能會快速地散播再掛馬網站,而造成嚴重的災情。

1. 此 Exploit 的技術摘要
利用JavaScript產生包含攻擊碼的資料陣列,足以讓IE處理XML內嵌img src的資料時產生跳脫原執行路徑,而執行駭客的Downloader Shellcode,進而安裝木馬後門。

2. 修補程式
微軟定期於每月之第二個星期二,發布修補程式,用戶可透過 Windows Update 更新。雖然昨天(12月9日)之更新,各界已知將更新許多嚴重漏洞(包含 IE 7 漏洞),然此更新並不會修復本新聞稿提及之 IE 7 零時差漏洞。此次更新之 IE 7 漏洞請見 MS08-073

3. HackAlert 檢測畫面


4. 被成功攻擊的 demo畫面
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjt_lOncfRAIpv-LkwATzm1VourQ4M-QFIeuDOFYGG4B6ipoVePzM23VqBozClRUrfbiK-DiIiY01tHOOPCEvaKgF2m7-rrLk_APXWtJB63TwvZwtHj_b_PjLs2_2dMdIfLK9YieP8IfBzT/s1600/TESTBED-2008-12-09-21-26-43.png

5. 相關新聞:
IDG: New Web attack exploits unpatched IE flaw

<防範建議>
1. 暫停使用IE 7.0,改用其他瀏覽器上網,如FireFox或 Opera等。
2. 檢查用戶端之惡意程式掃描記錄是否有異常現象。
3. 可採用阿碼科技所提供之Archon Scanner以行為模式檢查電腦中是否入侵且安裝惡意程式。申請信箱: info__at__armorize.com
4. 使用 HackAlert™ 針對企業網站進行安全監控,避免被掛馬植入零時差攻擊碼,損害客戶電腦與資料安全。申請網址: hackalert.armorize.com

繼續閱讀全文...