Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Rosszul implementált Ruby on Rails függvények

2007.08.17. 14:17 | buherator | Szólj hozzá!

Az egyre népszerűbb Ruby on Rails több szövegmanipuláló függvénye alkalmatlannak bizonyult a bemenetek megfelelő szűrésére. Ezek közül a legfontosabbak a strip_tags, strip_links és sanitize függvények, melyek gyakran szolgálják a felhasználói bemenetek szűrését. A függvények a következő módon játszhatók ki:

strip_tags("sdfasdf<<b>script>alert('hello')<</b>/script>")
Visszatérési érték:
"sdfasdf<script>alert('hello')</script>"

strip_links("<a xhref='http://www.holy-angel.com/'><a xhref='http://www.attacker.com/'>Test</a></a>")
Visszatérési érték:
"<a xhref='http://www.attacker.com/'>Test</a>"

Címkék: programozás ruby

Yahoo Messenger 0-day sebezhetőség

2007.08.17. 14:08 | buherator | 1 komment

Heap overflow sebezhetőséget találtak a Yahoo Messenger 8.1.0.413-as változatában. A hiba lehetőve teszi, hogy egy támadó speciális webkamerás meghívók segítségével kódot futtasson az áldozat gépén. Mivel a részletek egy kínai fórumon jelentek meg, több információval sajnos nem szolgálhatok, minden esetre mostanában ne nagyon fogadjatok el webkamerás beszélgetésekre meghívókat, a McAffee ezen kívül az 5100-as TCP port becsukását ajánlja a tűzfalon!

Címkék: yahoo messenger

A Whitedust megszűnt, Németország ellehetetleníti a hackelést

2007.08.16. 00:00 | buherator | Szólj hozzá!

Tegnap éjszaka megszűnt a Whitedust, vele együtt pedig a Blackdust proxy és a Hakspace hackereknek szóló közösségi hálózat is, miután a ZF0 csapat finoman szólva tönkrecrackelte az oldalt néhány másikkal egyetemben, valószínűleg egy 0-day exploit segítségével. Gratulálok...

A németeknél a törvényhozás lehetetleníti el az IT biztonságtechnikai kutatást: Múlt hét óta több oldal is beszűntette németországi működését, a megmaradtak nagy része pedig eltávolította azokat a kódokat, amelyek az ún. 202(c) törvény hatálya alá eshetnek. A törvény ugyanis büntetéssel fenyegeti többek között azokat, akik olyan programkódot birtokolnak, hoznak létre vagy nyilvánosságra, amely alkalmas lehet egy számítógépes rendszerbe történő illetéktelen behatolásra. Megoldásként a kutatók nagyrészt Hollandiába helyezik át szervereiket.



Címkék: jog incidens hacksite

Egy Explorer, két Firefox

2007.08.15. 20:50 | buherator | Szólj hozzá!

Úgy látszik a lelkes buherátorok az utolsó bitig feltérképezik szeretett böngészőinket, távollétemben a következő bugokat találták a két legnépszerűbb alkalmazásban:

Internet Explorer gyilok 6 szóban
<style>*{position:relative}</style><table><input /></table>
E a kód elsőre nem csinál semmi különöset, de ha a lefutása után pl. új tabot nyitunk, a böngésző lefagy. A 7-es is.

Az alábbi kettő pedig Firefoxhoz van, ezek nem igazi bugok, de elég veszélyesek lehetnek:

Firefox távoli változó szivárgás (Remote Variable Leakage)
Ronald egy érdekes lehetőségre lett figyelmes a Firefoxban, melynek segítségével kilistázható (és pl. egy AJAX alkalmazással el is menthető) a böngészőben beállított összes (JavaScript fileok, chrome://, kiterjesztések, plug-inok) változó és regisztrált objektum, valamint a kiterjesztések és a plug-inok esetében nem regisztrált belső függvények meghívására is lehetőség van. A Mozilla szerint ugyan ez nem hiba, a szerző azonban rámutat, hogy ezek a lehetőségek DoS támadásokhoz és információszivárgáshoz vezethetnek, nem beszélve az esetelegesen megjelenő új támadási formákról, a "javítás" viszont akadályokba ütközhet, hiszen a belső függvényeknek szükségük van rá, hogy a chrome-on keresztül kommunikáljanak. A PoC kód itt található.

Furcsa JavaScript futtatás Firefox alatt
Gareth Heyes írt egy posztot RSnake egy felfedezéséről, melynek segítségével elég elvetemült módon lehet JavaScriptet futtatni:
  • Először is a http:// előtag kiváltható a // jellel:
    <a href=”//buhera.blog.hu/”>Teszt</a>
  • Ezen kívül a / jellel ki lehet váltani egy szóközt. Az alábbi kód annak ellenére lefut, hogy nincs bezárva a tag, és nem használunk szóközt:
    <body/s/onload=x={doc:parent.document};x.doc.writeln(1)
Nálam ez még gondolkodóba is ejtette a rókát, lehet hogy DoS-re is használható...

Gereth a posztban még egy kódot említ, de ezt eddig nem sikerült működésre bírnom:
<body/””$/onload=x={doc:parent[’document’]};x.doc.writeln(1)

Címkék: firefox bug internet explorer

Re

2007.08.15. 20:37 | buherator | Szólj hozzá!

Visszatértem, így egy kis koplalás után ismét kapjátok a napi betevő információadagot :)

Címkék: buherablog

Sziget

2007.08.13. 16:39 | buherator | Szólj hozzá!

Ezt is meghackeltük :)

Címkék: móka

Pwnie díj - nyertesek

2007.08.06. 14:08 | buherator | Szólj hozzá!

Jobb később mint soha, íme a Pwnie díj idei nyerteseinek listája:

Ez a szekció teljesen kimaradt az előző posztból, bocs! Ez a hiba valójában egy "sajátosság" (feature) volt, a díjat egyértelműsége és komoly hatása miatt kapta.
  • Leginnovatívabb kutatás: Temporális visszatérési címek
  • Legbénább gyártói reakció: OpenBSD IPv6 mbuf kernel buffertúlcsordulás
  • Leginkább túllihegett hiba: MacBook WiFi sebezhetőség
  • Legjobb dal: Symantec Revolution

Címkék: pwnie awards

Mindenkit lehallgathatnak az USA-ban

2007.08.06. 09:27 | buherator | Szólj hozzá!

"A terrorizmus elleni harc jegyében ezentúl bírósági végzés nélkül is lehallgathatják a telefonhívásokat és elolvashatják az e-maileket az Egyesült Államokban. A most elfogadott törvény az egyik legvitatottabb terrorellenes intézkedés, és az amerikaiak millióit érinti közvetlenül."
Index
Erről Tóta W. jut eszembe:
"Guantanamo és az ahhoz hasonló jogsértések fölött szokos arról mélázni, ahogy a terroristák, ha nem is pont a terveik szerint, de célt érnek. A demokráciákba beszivárog a diktatúra, és az apróbb-nagyobb részletekből kirajzolódik egy épp olyan igazságtalan és brutális rendszer, mint amilyet a demokrácia ellenségei hirdetnek."

Szegény jenki barátainknak tudom ajánlani a már sokat emlegetett Tort, a XeroBank Browsert (ex Torpark) és a Scatter Chatet

Címkék: privacy

Áramszünet

2007.08.06. 08:57 | buherator | Szólj hozzá!

Szerdától a Szigeten fogom pusztítani magam, ezért ez alatt a bő egy hét alatt az új posztok száma 0 körül lesz, hacsak nem találok valakit aki átveszi tőlem a stafétát erre az időre. Ha valaki elég affinitást érez, hogy távollétemben (vagy akár utána) is segítsen a blog naprakészen tartásában, az dobjon egy levelet a buherator kukac gmail komra!

Címkék: buherablog

Orosz phisherek - 2 év alatt fél millió dollár

2007.08.03. 20:04 | buherator | Szólj hozzá!

Két orosz phisher több mint fél millió dollárt lopott török bankszámlákról egy két évig tartó támadássorozat alatt, amely az egyik leghosszabb ilyen jellegű akciónak számít.

A támadók egy amerikai távoli elérésű munkaállomást béreltek, majd egy saját készítésű trójaival fertőzték meg a török gépeket, a program segítségével pedig megszerezték a a banki belépéshez szükséges információkat. Miután elég pénzt gyűjtottek, közvetítőket toboroztak, akik 2005 februárja és 2007 áprilisa között 265 átutalással eljuttatták a lopott pénzt a csalókhoz, cserébe pedig részesedést kaptak a pénzből.

Címkék: hírek incidens phishing trojan

Elérhető a BluePill rootkit forráskódja

2007.08.03. 19:46 | buherator | Szólj hozzá!

Joanna Rutkowska nyilvánoságra hozta a BluePill virtualizációs rootkit atdolgozott forráskódját. Rutkowska a program eredeti változatát a 2006-os BlackHat-en mutatta be, és azt állította, hogy a rootkit detektálása lehetetlen, mivel az a processzorok beépített virtualizációs képességét használja ki, és a felhasználótól teljesen rejtetten, újraindítás nélkül hoz létre egy virtuális környezetet (egyenlőre csak az AMD-k és az SVM/Pacifia gyártmányok támogatottak).

Ennek ellenére három biztonságtechnikai szakember - Thomas Ptacek (Matasano Security), Nate Lawson (Root Labs) és Peter Ferrie (Symantec) - kritikával illették az első verziót, és kihívták Rutkovskat, hogy megmutassák,  a BluePill észlelhető, a feltaláló azonban erről nem vett tudomást. Minden esetre az első csatát így is a triumvirátus nyerte: az új BluePill változat alatt pl. a Microsoft Virtual PC 2007 összeomlik.

A program ettől függetlenül azonban mindenképpen izgalmas megoldásokat mutat be: a már említett észrevétlen környezetváltáson kívül a készítők más trükköket is bevetettek az észevétlenség érdekében, a BluePill állításuk szerint pl. kezdetleges módon ugyan, de képes módosítani a Time Stamp Clock Registert, és ezzel megakadályozza az ellopott óraciklusok észlelését.

Címkék: bluepill

Microsoft UK Events deface

2007.08.03. 09:02 | buherator | Szólj hozzá!

Deface-elték a Microsoft Egyesült Királysághoz tartozó weboldalának a partnerek eseményeinek regisztrációjára szolgáló oldalát.

A magát rEmOtEr-nek nevező támadó a

http://www.microsoft.co.uk/events/net/PreRegister.aspx

helyen található webalkalmazás v2 paramáteráben talált SQL injection lehetőséget, amelyet ki is használt. A szerver megjelenítette a hibaüzeneteket az alkalmazás pedig nem gondoskodott a felhasználóktól érkező bemenetek megfelelő szűréséről, ezért a támadónak könnyű dolga volt.

Először egy UPDATE kéréssel rövid üzenetet helyezett el az oldalon, majd kilistázta a regisztrált felhasználókaz, illetve azoknak titkosítatlanul tárolt jelszavait. Miután végzett, egy egyszerű HTML kód beszúrásával betöltött egy távoli gépen található CSS fájlt, ami Szaud-Arábiát illetve a támadót dicsőítő képeket és üzeneteket jelenített meg az eredeti oldal helyén.

Részletekbe menő, színes-szagos leírás itt olvasható. A cikkeben egyébként azt írják, hogy az rosszul szűrt bemeneten kívűl a látható hibaüzenetek voltak a támadás kiváltó okai. Ez természetesen tévedés, hibaüzenetek nélkül is vígan kivitelezhető lett volna egy vak SQL Injection támadás.

Címkék: microsoft incidens sql injection

AJAX féreg patcheli a sebezhető Wordpress blogokat

2007.08.02. 09:22 | buherator | Szólj hozzá!

beNi több, eddig javítatlan hibát - többek között perzisztens XSS-t és SQL injectiont - fedezett fel a Wordpress blogmotorban, amelyek lehetővé teszik, hogy átvegyük az uralmat a sebezhető blogok felett.

beNi rögtön írt is egy férget amely kihasználja ezeket hibákat, de sérült lelkivilágú kollegáival ellentétben úgy alkotta meg a kis programot, hogy az ne kárt okozzon, hanem javítsa ki az említett sebezhetőségeket!

A felfedező ezzel valószínűleg blogok százait (ezreit?) mentette meg a rosszindulatú támadásoktól, mivel a féreg még az előtt elterjedt, hogy rossz indulatú "testvérei" megjelenhettek volna.

 

Címkék: worm wordpress sql injection xss

DefCon túlélési tippek

2007.08.01. 20:12 | buherator | 1 komment

Bár azt hiszem idén a BlackHat nagyobb durranás lesz, azért a DefCon még mindig a bolygó legnagyobb szabású, és bátran írhatom hogy legendás hírű hackertalálkozója. A TheRegister cikke néhány jótanáccsal szolgál azoknak, akik nem akarnak a homlokukra tetovált "h4cked 0wned defaced" felirattal hazaérkezni a mulattságról:

Címkék: móka defcon

Security-Freak.net - wannabe hacker tanoda

2007.08.01. 12:06 | buherator | Szólj hozzá!

A security-freak.net arra vállalkozott, hogy megkönnyítse az IT biztonsággal foglalkozni kívánók kezdeti lépéseit. Feltöltés alatt álló oldalukon eddig kb. 7 és fél órányi oktató videóanyag található, különböző témákban.

Címkék: video hacksite

Az első iPhone patch

2007.08.01. 08:59 | buherator | Szólj hozzá!

Az Apple tegnap javításokat adott ki a Mac OS X operációs rendszerhez, a Safari böngésző Windowsos, valamint iPhone-on futó változatához. A foltok összesen legalább ötven hibát javítanak a különböző termékekben, többek között a holnap bemutatásra kerülő iPhone sebezhetőséget is.

Címkék: hírek safari iphone os x

Pwnie díj - jelöltek

2007.07.31. 21:58 | buherator | Szólj hozzá!

Nyilvánosságra hozták a Pwnie díj jelöltjeit:

Címkék: firefox safari java iphone móka internet explorer worm solaris pwnie awards quicktime openssl openbsd

Firefox - bezárhatatlan Java popup

2007.07.29. 12:19 | buherator | Szólj hozzá!

A kötekező nyalánkságot Ronald találta. Egyszerűen arról van szó, hogy a Firefox nem szűri úgy a beágyazott Java kódot mint a Javascriptet, ezért lehetőség nyílik "popup" ablakokat megjeleníteni a felhasználó beleegyezése nélkül. Valójában azonban ezek nem is hagyományos popupok, hanem AWT-vel generált Java frame-ek, amiket be sem lehet zárni, ha nincs hozzájuk megfelelő event listener definiálva.

A futtatáshoz elvileg csak jól beállított Java+Firefox kombináció szükséges, a kommentezők eddig csak Windows alatt tudták futtatni a kódot:

<script>
function newpopup() {
var p = new java.awt.Frame("My Crappy Popup");
with (p)
{
stuff = new java.awt.TextArea("My crappy corporate message with annoying products which no one buys!", 10,100);
setLayout(new java.awt.BorderLayout());
p.add("Center", stuff);
p.pack();
p.show();
p.setLocation(200,200);
p.setVisible(true);
}
}
</script>

Címkék: firefox java popup

Storm

2007.07.27. 14:49 | buherator | Szólj hozzá!

"Kevesebb mint egy hét alatt 200 millió spam csalogatta a felhasználókat a Storm vírussal fertőzött oldalakra. Szakértők sosem látott méretű zombipécé-hálózatokat vizionálnak."
A Storm azért keltette fel a szakemberek figyelmét, mivel több százezer spam segítségével terjedt el, ami jelentősen növelhette a fertőzött gépek számát, és ezáltal egy igen nagy botnet kialakulására van esély. A féreg ugyanakkor csa a felhasználó közreműködésével fertőz, így azok, akik nem nyitnak meg minden szemetet ami a potaládájukban landol, nincsenek veszélyben.

Néhány technikai részlet a trójairól:
A spamhez csatolt .exe fájl megnyitásakor a program létrehozza a wincom32.sys filet, ami rejtett szálakat hoz létre a services.exe-ben. Ez után a kártevő megpróbál kapcsolatot létesíteni más fertőzött számítógépekkel a 4000-es UDP porton keresztül, Ha sikerrel jár, más veszélyes kódokat tölt le (mail proxkat, és e-mail harvestereket), és elkéri a másik gép által ismert zombik listáját, ezzel egy elosztott hálózatot épít ki, amely akkor is működőképes marad, ha a központi gép elérhetetlenné válik.

Gonosz kis dög, de a tűzfalak és a friss vírusírtók megfogják.

Címkék: spam worm botnet

Blackdust - anonim Google proxy

2007.07.26. 20:43 | buherator | 1 komment

A Whitedust.net biztonságtechnikai portál legújabb szolgáltatása a Blackdust Google proxy, ami - készítői állítása szerint - lekövethetetlenné teszi kereséseinket a Google számára, ezzel is fokozva személyes adataink védettségét.

A szolgáltatás működése igen egyszerű: az oldal gyakorlatilag proxy szerverként működik a felhasználó és a keresőóriás között, a válaszból eltávolítja a reklámokat és az egyéb felesleges részeket, valamint csinosít kicsit a megjelenésen. És remélhetőleg nem tárolja el keresési szokásainkat ;)

További részleteket, és a forráskódot itt találjátok.

Címkék: google privacy

Firefox távoli parancsfuttatás

2007.07.25. 09:12 | buherator | Szólj hozzá!

Billy Rios és Nate McFaters olyan módszert dolgozott ki, amely távoli parancsfuttatásra ad lehetőséget a Firefox 2.0.0.5, Netscape Navigator 9 és Mozilla böngészőkön keresztül Windows XP SP2-es operációs rendszereken. A szerzők már korábban előálltak egy hasonló hibával, de annak kihasználásához még jelentős felhasználói közreműködésre volt szükség. A mostaniak azonban (az utolsó kivételével) nem igyényelnek ilyet, bár alkalmazhatóságukat nehezíti, hogy külső levelezőprogram megléte esetén nagyrészt nem működnek, mivel ezek megváltoztatják az alapértelmezett URI kezelést, amelyben a hibát találták.

Mailto 0-day

nntp 0-day
news 0-day
snews 0-day

Ez felhasználói beavatkozást igényel:

telnet 0-day

Más böngészők is érintettek lehetnek. Szakértők mostanában az Operat ajánlják.

Címkék: firefox bug netscape mozilla

Új design

2007.07.24. 19:50 | buherator | 1 komment

Ne csináltam új designt, betyárosat, mert az magyaros is meg betyáros is, meg nem olyan unalmas mint sok hexa/bináris számjegy amit már megszokhattunk. Finomulni még fog, vélemények jöhetnek kommentbe ;)

Címkék: buherablog

Firefox - tárolt jelszó kiolvasása

2007.07.24. 18:06 | buherator | 2 komment

Úgy tűnik ez egy termékeny nap (vagy csak kevés a munka...). Éppen azon gondolkoztam, hogy a Firefoxot mintha hanyagolnám bugreportok tekintetében, hát íme:

"A Full Disclosure listára küldött egyik levél szerint a Firefox legújabb verziójának jelszókezelője hibás. Ennek következtében rosszindulatú weboldalak ellophatják a felhasználó elmentett jelszavait. Azok a felhasználók vannak veszélyben, akiknél engedélyezve van a JavaScript és engedélyezve van a Firefox jelszavakra emlékezés szolgáltatása. A levél szerint az Apple Safari böngészője szintén sebezhető. Tesztoldal itt. A Linux.com cikke itt."
by trey @ HUP

Éredemes a kommenteket is olvasgatni, amit kiemelnék az a következő: A módszer segítségével csak az aktuális oldalhoz tartozó mentett jelszavakat lehet kiolvasni, de egy permanens XSS keretében alkalmazva a jelszavunk illetéktelen kezekbe kerülhet - ami még akkor is aggályos, ha az oldal üzemeltetőjéről feltezzük, hogy nem hobbija a felhasználók jelszavainak végigpróbálgatása a regisztrált e-mail címeken.

Címkék: firefox bug xss

Pwnie díj

2007.07.24. 14:02 | buherator | Szólj hozzá!

Még négy napotok van szavazni a biztonsági szakértők legnagyobb eredményeit és hibát méltatni hivatott Pwnie díj jelöltjeire. Hét kategóriában osztanak díjat:

  • A legjobb szerver-oldali hiba
  • A legjobb kliens-oldali hiba
  • A legjobb tömeges törés (mass 0wnage)
  • A leginnovatívabb kutatás
  • A legbénább gyártói reakció
  • A leginkább túllihegett hiba
  • A legjobb dal
Ezek közül szeritnem csak az utolsó szorul magyarázatra: A legjobb dalt fogják játszani a díjátadó alatt. Miután a jelölések lezárultak, a 7 tagú zsűri választja ki a győzteseket. A jelölés lezárulta után minden kategória legtöbb szavazatot kapott öt jelöltjét közzé teszik az oldalon, majd augusztus 2-án következik a díjátadó. A fejleményekről folyamatos tájékoztatást adunk ;)

Címkék: móka pwnie awards

Safarin keresztül törhető az iPhone

2007.07.24. 12:35 | buherator | Szólj hozzá!

Az Independent Security Evaluators csapata olyan hibát talált az Apple MobileSafari browserében, amely lehetővé teszi, hogy olyan kódot installáljunk iPhone-okra, melynek segítségével a telefonon tárolt összes információ megszerezhető. A csapat állítása szerint  exploitjuk egy sor biztonsági gyengeséget kihasznál, melyek közül a legveszélyesebb, hogy az iPhone összes folyamata adminisztrátori privilégiummal fut. A veszélyes kód alapvetően egy speciálisan megírt weboldal segítségével juttatható be a rendszerbe, ez viszont több támadási felületet is biztosít:

  • Egy speciális vezetéknélküli Access-Piont segítségével man-in-the-middle támadással a felhasználó a veszélyes oldalra irányítható.
  • Egy rosszul konfigurált fórumba is beszúrható az ártalmas kód, így a fórumot megtekintve az exploit letöltődik.
  • A támadó ráveheti a felhasználót, hogy egy e-mailben vagy SMS-ben küldött linkre kattintva nyissa meg az oldalt
Az Apple-t értesítették az esetről, a módszert Dr. Charlie Miller fogja bemutatni a BlackHat 2007 konferencián.

Címkék: hírek safari iphone

süti beállítások módosítása