Ivan Buetler - Web Application Security category

OWASP Guide Online

Fri, 02 Jul 2010 12:22:00 GMT

Ever wanted to know how to defeat web hacking attacks - what to do with the identified OWASP TOP 10 vulnerabilities? I really much appreciate the OWASP TOP 10 papers, but when it comes to mitigation and remediation, everything is deeply hidden somewhere.

That's why I like the following OWASP page - clear and simple to use
http://code.google.com/p/owasp-development-guide/wiki/Guide

Cheers
Ivan

Apache ORG hacked - Good Incident Response

Thu, 15 Apr 2010 08:17:00 GMT

APACHE ORG wurde am 6. April über eine XSS Sicherheitslücke kompromittiert. Dabei konnte eine ADMIN Session übernommen werden (Session Hijacking) und über Brute Force Methoden weitere gültige Login Daten geknackt werden.

Ich finde die Apache hat sehr gut und seriös reagiert. Entsprechend liest sich deren Incident Report vorbildlich - ich empfehle das Studium der Lektüre um vielleicht bei einem Incident auf die eigene Webseite vorbereitet zu sein.

https://blogs.apache.org/infra/entry/apache_org_04_09_2010

Grüsse
Ivan

Cross Site Scripting Problem in Microsoft Sharepoint

Tue, 23 Feb 2010 15:42:00 GMT

Wenn man Sharepoint als CMS (Content Management System) versteht, dann ist es mehr als logisch, dass man auch HTML und Java Scripts Dateien verwalten und hochladen kann. Die Hacktics Security Gruppe macht in ihrem Advisory auf eine persistente XSS Sicherheitslücke aufmerksam, die gemäss den Nachforschungen von Hacktics von Microsoft nicht gepatcht werden kann. Es gibt jedoch einen Workaround...

Wer sich mit Sharepoint beschäftigt, dem empfehle ich das Mail an Bugtraq zu lesen. Habe es als PDF abgelegt.

http://www.hacking-lab.com/misc/downloads/xss_sharepoint.pdf

Grüsse aus Bern
Ivan

Second Order Injection - Terminal Breakout

Tue, 12 Jan 2010 07:28:00 GMT

What is Second Order Injection? In some cases the attackers are able to store their malicious code into a storage area of a web application that may be executed at later time or date. Some smart "hackers" change the Browsers "User Agent" into a Cross Site Scripting pattern and when the log is analyzed at later time, a successful cross site scripting exploitation could be executed.

This is all known - but one could insert special characters that have a special meaning in your shell (bash/csh/ksh/..) to exploit a "grep" or "tail" command once the log is analyzed manually with a terminal.

The authors name it as "log escape sequence injection". A large list of web application servers are vulnerable! (not Apache)

Please review the alert message from the authors.

Have a safe day

Ivan

XSS vulnerabilities in 34 millions flash files

Mon, 11 Jan 2010 06:23:00 GMT

Shortly, Compass Security found out some cross site scripting vulnerabilities in Camtasia generated flash applications. This vulnerability is the basis of a new Hacking Lab Challenge, especially for the audience of the next Swiss Cyber Storm III Challenge.

Nevertheless, this morning I was made aware of another Flash vulnerability in tagcloud.swf, potentially available in more than 34 million flash files world wide. In the last couple of weeks Compass is being asked about the security implications of adding a flash application to the secure web container like e-banking, online trading or the secure portal area. Compass highly recommends analyzing your flash files for cross site and similar, especially when they are generated out of tool than written manually by your professionals.

Have a safe day
Ivan

Tomcat Server Banner Hiding Technique

Wed, 02 Dec 2009 21:18:00 GMT

I am not a big fan of security by obscurity. But if this helps to stop automated scanners from attacking our servers day and night, I am more than willing to change the server banner of my web server. This is an easy task for Apache web servers, but how to change the banner in your Tomcat application server?

Use the "server" directive in your web.xml!

<!-- Entry for intranet.csnc.ch -->
  <Connector port="8081" maxHttpHeaderSize="8192"
     maxThreads="150" server="Compass-Coyote" 
	 minSpareThreads="25" maxSpareThreads="75"
     enableLookups="false" redirectPort="8443" 
	 acceptCount="100"
     proxyName="www.mypage.com" proxyPort="80"
     connectionTimeout="20000" disableUploadTimeout="true" />

Thanks to Daniel Stirnimann for sharing this tipp.
E1

STRATO Provider Deutschland überfordert

Fri, 06 Nov 2009 08:18:00 GMT

Java Script Malware
In der Zeit vom 20-26. Oktober 2009 wurde die Webseite einer Schweizer Firma gehackt und jeweils folgende <SCRIPT SRC=...> Anweisung in die Webseite hinterlegt: http://dobrodeya.com/cgi-bin/Archiv.php

Same Origin Bypass
Die Anweisung <SCRIPT SRC=...> bedeutet, dass die JavaScripts von obiger URL im gleichen Context wie die Webseite der Schweizer Firma ausgeführt wird und ist der Bypass für die Same Origin Policy. Der Host "dobrodeya.com" wird vom deutschen Provider STRATO gehostet. Die Malware hat Sicherheitslücken in den
Browsern ausgenützt und Trojaner im Browser installiert. Eine ziemlich gefährliche Sache also....wie hat die Zusammenarbeit mit STRATO funktioniert? Was macht die Malware? Lesen Sie weiter als PDF unter http://www.hacking-lab.com/download/

Grüsse
E1

Bypassing Same Origin Policy mit XDR

Tue, 03 Nov 2009 15:22:00 GMT

Die Same Origin Policy (SOP) die sicherstellt, dass ein Java Script keine Cross Talks zu anderen Domains macht ist eines der Eckpfeiler für Web App Security. Doch die SOP ist auch ein Problem für Mash-Ups und Portalseiten, die von überall her guten Content zu einer neuen Seite aggregieren möchten.

var xdr = new XDomainRequest();
Microsoft hat ein Konzept namens XDomainRequest (XDR), wodurch die Same Origin Policy aufgeweicht wird, ähnlich wie man das bei der crossdomain.xml von Flash her kennt. Das neue Konzept heisst XDR und steht für Cross Domain Requests. Die Idee ist dabei, dass der Server über einen speziellen HTTP Response Header dem Browser mitteilt, dass ein Cross Domain Talk möglich ist.

http://msdn.microsoft.com/en-us/library/dd573303(VS.85).aspx

Der Internet Explorer 8 unterstützt XDR bereits. Die anderen Browser werden nachziehen müssen, weil sonst coole Seiten "nur" noch mit dem IE anschaubar sind.

SANS schreibt über XDR:
Initially proposed by Microsoft, and so far only implemented in Internet Explorer 8, XDomainRequest (XDR) is removing the same-origin policy from XHR. In return, to improve security, XDR is more limited in what headers it can set, and how the origin information is applied to access control. Currently, there is no open standard defining XDR.

Speziell mit AJAX entsteht das Bedürfnis nach Cross Talks. Siehe auch folgende AJAX Library

http://www.ajax-cross-domain.com/

Wie man sieht, werden die Header von HTTP laufend erweitert, um die neuen Anforderungen an Mash-Up, Streaming etc. gerecht zu werden. Sozusagen ein Standard in Entwicklung.

Have a save day

e1

Sichere Browser - Anti XSS Blueprint

Wed, 20 May 2009 09:20:00 GMT

Wie soll man sich effizient gegen XSS (Cross Site Scripting) schützen? Was muss man als Entwickler von Browsern oder Web Anwendungen beachten? Falls Sie das interessiert, sollten Sie den Blueprint durchgehen, der diese Woche veröffentlicht wurde.

http://alcazar.sisl.rites.uic.edu/wiki/pub/Main/LibraryPublicationOakland09Blueprint/blueprint-oakland-final.pdf

Gruss
E1

Microsoft IIS Unicode Sicherheitslücke in WebDAV

Tue, 19 May 2009 07:07:00 GMT

Vor ein paar Jahren wurde bereits eine Unicode Sicherheitslücke beim IIS bekannt, mit welcher man auf das System zugreifen konnte. Viele Hacker Script Kiddies Tools haben danach gesucht und ausgenützt. Heute ist grundsätzlich das gleiche Problem im IIS Web DAV Handler publiziert worden. Ein Zusatz zum IIS der das gleiche Sicherheitsproblem hat wodurch man via Web DAV auf passwort geschützte Inhalte ohne Angabe von Passwörtern zugreifen kann (Bypass Authentication).

Info bei Microsoft

Info bei Security Focus (Exploit)

Gruss Ivan