[資訊安全]FCKEditor攻擊手法說明與防護建議

前言

近年來發生多件起因為網站使用第三方元件而導致資安事件，其中又以FCKEditor所導致之資安事件最多，最有名的案例為2010年燦坤遭受之攻擊事件最為嚴重，造成個資外洩與網站被竄改等後果。由於第三方元件套件眾多，無法一一列舉，本文件將以FCKEidtor為例，簡述FCKEditor之攻擊原理，並對於自我檢查與防範此類攻擊提供建議，至於其它未提到之套件，建議客戶請程式開發廠商自行確認，謹守套件最小安裝原則，沒用到的元件不要安裝，若有檔案或帳號管理功能，務必做到存取控管或認證管理，以防止駭客利用Google Hacking收集資訊並進行後續攻擊。

FCKEditor簡介

FCKEditor（現已改版為CKEditor），為一網頁版之所見即所得編輯器，可在多數瀏覽器（Internet Explorer、Firefox、Safari、Chrome and Opera）上啟動類似Office Word的文件編輯環境，可進行線上文書編輯，廣為多種網站套件所使用。

FCKEditor除了強大的所見即所得網頁編輯器以外，為了提供更豐富的圖文體驗，也加入了檔案上傳的功能，方便使用者將圖片或Flash等檔案上傳至伺服器，豐富文件內容，不過資安問題也由此而生。單純的所見即所得編輯器是靠JavaScript運作於客戶端，弱點與臭蟲僅會影響於客戶端，資安風險較小；但是在加入了檔案上傳功能後，駭客就有機會將惡意檔案上傳於伺服器，並透過網頁伺服器的弱點加以執行。倘若駭客成功上傳並執行惡意程式，可能造成網站頁面遭受塗改、網頁掛馬、個資外洩、系統停止服務等後果，影響巨大。由於FCKEditor已經停止維護，建議停止使用，或升級為新版的CKEditor以確保弱點的修補。

正常之FCKEditor連線流程

駭客利用FCKEditor進行攻擊

相關新聞

原文網址: 燦坤資料外洩: IIS6漏洞加FCKeditor惹禍，Information Security 資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=5790

FCKEditor可利用弱點

許多駭客會藉由網站的上傳功能將惡意程式上傳至網站，再加以執行以取得系統權限。這個兩個階段分別可以由以下步驟達成：

• 上傳階段：
   FCKEditor內建檔案上傳工具，並內建一測試頁面（fckeditor/editor/filemanager/connectors/test.html）提供管理者進行上傳測試之用，同樣駭客亦可利用該工具上傳惡意程式。由於上傳檔案本身的風險較大，FCKEditor本身預設是禁止使用者上傳檔案的，並且在fckeditor\editor\filemanager\connectors\aspx\ config.ascx（此路徑因伺服器而異）下設置了驗證用的Hook function。倘若管理者疏忽在未妥善驗證的情況下開放了檔案上傳功能，駭客即有機會將惡意程式上傳至伺服器。
• 執行階段：
  FCKEditor提供的檔案系統模組可以直接操縱檔案系統，進行如列出檔案列表、探查真實路徑、建立資料夾等行為 （fckeditor/editor /filemanager/browser/default/browser.html?typeall&connector=connectors/asp/connector.asp），駭客利用此弱點或手動找尋上傳之後門程式位址，並藉由網頁伺服器之弱點執行後門程式，如IIS6副檔名解析弱點可以無視副檔名執行任意檔案。

自我檢測

您可藉由以下方式發現貴單位網站上是否有使用FCKEditor：

1. 打開瀏覽器。
2. 前往www.google.com。
3. 搜尋「fckeditor site:單位FQDN」。
4. 若有發現則請廠商確認是否存在問題並修補。

建議處置

由於FCKEditor潛在操作上之安全漏洞，建議可依下列方法強化：

一、 FCKEditor移除或套件刪除

若網站已經沒有使用到FCKEditor功能，建議將FCKEditor全部移除；若需要使用到FCKEditor功能，但不需要使用檔案上傳功能，建議將檔案上傳功能之套件移除，檔案上傳功能移除方式如下：

• 移除目錄fckeditor\editor\filemanager
• 修改fckconfig.js以下設定為false
• • FCKConfig.LinkUpload
  • FCKConfig.ImageUpload
  • FCKConfig.FlashUpload
• 移除以下範例檔案
• • fckeditor\_samples
  • fckeditor\editor\filemanager\connectors\uploadtest.html
  • fckeditor\editor\filemanager\connectors\test.html 

• 移除fckeditor\editor\filemanager\connectors中不用的語言目錄。

二、 FCKEditor安全性補強

若需要使用到FCKEditor之所有功能，建議升級至最新版CKEditor，以避開舊版本之弱點。

並設定fckconfig.js以下參數限制上傳之副檔名。

• FCKConfig.LinkUploadAllowedExtensions
• FCKConfig.ImageUploadAllowedExtensions
• FCKConfig.FlashUploadAllowedExtensions 

若使用語言為asp.net，請修改fckeditor\editor\filemanager\ connectors\aspx\config.ascx中CheckAuthentication（）函數進行適當驗證，避免駭客未經驗證即可進行攻擊。

三、 IIS伺服器安全性強化

IIS伺服器建議將不需使用之執行副檔名移除，如asa、cer、cdx等，避免因疏於過濾遭駭客利用。

關閉上傳資料夾與靜態目錄之執行權限，若為IIS伺服器，請於IIS管理員中右擊該目錄選擇"屬性＂＞"目錄＂＞"執行權限＂，改為無即可。

網站目錄必須明確拒絕匿名登入帳號的寫入權限，包括 NETWORK SERVICE 與 IUSR_MachineName 兩個預設的群組，僅於特定上傳目錄開放。若上傳之檔案不須開放公開存取，最好儲存於網站根目錄之外。

四、 WAF防護設定

若網站已經沒有使用到FCKEditor功能，但已經沒人可以進行FCKEditor維護，可由WAF設定FCKEditor關鍵字來進行阻擋。

五、 限制搜尋引擎收集資訊

可於網站根目錄放置robots.txt來限制Google或Yahoo等搜尋引擎收集敏感資訊，如FCKEditor等重要目錄，設定方式可參考Microsoft等各大網站之設定或http://zh.wikipedia.org/wiki/Robots.txt

Read More

[資訊安全]如何避免或破解Netcut網路剪刀手(ARP Spoofing)造成的斷線情形

要破解使用Netcut造成的斷線問題，必須先了解Netcut的運作原理。由於Netcut使用的是ARP spoofing封包造成目標主機ARP table記錄錯誤來達成斷線目的，因此必須先由ARP協議開始說明。

在乙太網路上僅僅知道某台主機的IP address，並不能立即將封包傳送過去，必須先查明該主機的實體位址(Physical address / MAC address)才能真正發送出去，而ARP協議的功用就是在於將IP address轉換成實體位址。

網路上每一台主機都有一個ARP table，此table中記錄了最近一段時間裡其它IP address及其MAC address的對應關係。如果本機想跟某一台主機通信，則會先在ARP table中查尋對應目的主機IP address的MAC address，如果該對應記錄存在，則直接將目的主機的MAC address填入Data Link層的封包表頭中，然後將封包發送出去；如果該對應記錄不存在，則會向本網段廣播一個ARP請求封包，當目的主機聽見該請求封包後，會將本身的 MAC address填入封包並用廣播方式回送出去，本機收到此回應封包後，就會將相關訊息記錄在ARP table中，然後將目的主機的MAC address填入Data Link層的封包表頭裡。

由於ARP請求封包發送端只管接收回應訊息，卻無法分辨訊息的真偽，因此第三方主機只要建構一個ARP spoofing封包，就可以造成請求端的ARP table資訊錯誤。由於MAC address不正確，所以封包就再也無法傳送到目的主機上，這就是Netcut造成連線中斷的原因。

舉例來說，裝有Netcut的A主機向受害B主機發送假的ARP訊息，使得B主機上ARP table中對應到閘道器IP address的MAC address，更新成錯誤的MAC address。由於B主機上網必須透過閘道器傳送，閘道器的MAC address資訊錯誤，當然會造成B主機的封包再也無法傳送到閘道器上，原本建立好的連線也會因為timeout而導致斷線的情形發生。

知道Netcut的運作原理了，可是要怎樣才能預防或解決被Netcut斷線的問題呢？其實只要下達一個小小的指令就可以對Netcut完全免疫了~~方法很簡單，由於Netcut的工作原理是透過假造ARP封包，造成你主機上的ARP table記錄到錯誤的閘道器MAC address，藉此讓你的主機跟目地主機間的往來封包發生中斷，所以你只要將正確的對應位址設定成static記錄就可以避免狀況發生。

設定指令如下：

arp -s 閘道器IP address 閘道器MAC address

舉例來說，假設閘道器的IP address是192.168.88.254，打開命令提示字元，執行ping 192.168.88.254，只要ping得通就可以得到正確的閘道器MAC address。這時執行 arp -a 就可以查出192.168.88.254的對應MAC address(就是Physical Address)。例如192.168.88.254的MAC address是00-90-cc-4f-db-18，那麼只要執行 arp -s 192.168.88.254 00-90-cc-4f-db-18 就搞定了。

假如你的主機已經被斷線，這時該怎麼辦呢？很簡單，你只要借用同網段的其他主機查詢閘道器的MAC address，然後用上述方法將正確的對應資訊加入到你的主機上就行了。

注意：如果主機的閘道器IP address改變，MAC address通常也會跟著變動，這時只要下達 arp -d 就可以將原先設定的ARP table對應資訊清除掉。

網智數位-軟體開發（軟件開發） 
針對各特殊產業都可以量身定做符合貴公司的需求，別人無法克服的就是我們的挑戰  
業務合作、軟體委外開發  
業務窗口：allen@netqna.com  
聯繫電話：0920-883-870  
skype： netqna  
line：netqna  
微信：netqna  
黃先生 Allen

Read More

5個自我檢視資料庫之安全性的方法

資料竊取越來越普遍，黑市裡信用卡資料的價錢從2006年一筆10元變成2009年幾毛錢。客戶對於電子商務、網路銀行與其他電子商業活動失去信心。同時駭客竊取資料的方法也越來越聰明，造成越來越多企業成為他們的犧牲品。至2009年時法令與法規以更嚴格地保護消費者，但仍不斷發生新的事件。在Verizon Business Data Breach Investigations Report報告中，研究過去五年內的600個事件，其中SQL Injection是單一攻擊中獲取大量資料的手法。

這個結果並不令人驚訝!若設計網站應用程式的成員不瞭解SQL Injection攻擊時，是很容易發生的。

何謂SQL Injection?

SQL Injection 應稱為SQL 指令植入式攻擊，主要是屬於 Input Validation 的問題。中文翻譯為『資料隱碼』攻擊。SQL Injection 攻擊法並非植入電腦病毒，它是描述一個利用寫入特殊 SQL 程式碼攻擊應用程式的動作。換言之，只要提供給使用者輸入的介面，又沒有做到相當嚴密的輸入資料型態管制，就有可能會遭受這種行為的攻擊。

SQL Injection攻擊可能會對企業造成重大與昂貴的損失。攻擊的目標是資料庫，其中儲存了員工、客戶的資料。這類型的攻擊利用應用程式中的漏洞，操作從瀏覽器輸入的SQL查詢。 在SQL Injection攻擊中，惡意使用者可發送任意輸入至伺服器且假冒web應用程式產生與原先不同的SQL描述。

因此資料庫伺服器會執行並取得與原先不同的結果。SQL Injection攻擊是最常對資料庫獲得未經授權的存取與資料操作。

如果不確定自己的資料庫安不安全或有沒有被入侵成功建議可以按照以下的五個作法自行檢視。

1.查詢SQL Server系統內帳號資訊

如果不幸被SQL Injection 很有可能會被駭客偷偷新增一個sa權限的帳號，即便未來SQL Injection漏洞被修復了，駭客可能還是可以透過其他管道連到資料庫，等於變相開了一個洞給駭客使用，所以我們先來查詢資料庫裡的所有使用者，是否有異常帳號存在。

select * from sysusers

可在結果欄位按滑鼠右鍵選擇「儲存結果」，將檔案匯出進行分析。

2.檢視交易紀錄檔

Transaction 一觸發會建立一個暫時性 Log ，暫存性Log會記錄交易中，修改資料的過程和內容，在自我檢查時建議也可以利用 Transaction Log Viewer 工具看看交易記錄檔中是不是有些惡意的SQL 語法，去Google就可以找到類似的工具，不過都是要錢的，備份方式如下。

—UI資料庫備份

BACKUP DATABASE [Arcsight] TO  DISK = N'D:\Arcsight.bak' 

(請自行修改資料庫名稱及備份路徑)

—UI交易記錄檔備份

BACKUP LOG [Arcsight] TO DISK = N'D:\Arcsight.bak' WITH NO_TRUNCATE

(請自行修改資料庫名稱及備份路徑)

或可以使用SQL Server Management Studio 圖形介面中設定備份

選擇完整備份

備份完整備份後在選擇交易記錄備份

3.停用系統擴充預存程序

檢查是否有啟用xp_cmdshell

系統延伸預存程序是存儲在SQLServer中的預先寫好的SQL語句集合， 其中危險性最高的程序就是xp_cmdshell了，它可以執行操作系統的任何指令，如果被 SQL Injection 駭客就可透過 xp_cmdshell 取得整台電腦的控制權。

檢測語法：

SELECT * FROM sys.configurations WHERE [name]='xp_cmdshell' ORDER BY name 

如果value = 1代表有啟用

 -- 建議關閉 xp_cmdshell

    EXEC sp_configure 'show advanced options', 1;

    RECONFIGURE;

    EXEC sp_configure 'xp_cmdshell', 0;

    RECONFIGURE;

如果系統為SQL Server 2000

可將有安全性考量的SQL SP (shell、regtree、COM＋)刪除

use master

EXEC sp_dropextendedproc 'xp_cmdshell'

EXEC sp_dropextendedproc 'Sp_OACreate'

EXEC sp_dropextendedproc 'Sp_OADestroy'

EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'

EXEC sp_dropextendedproc 'Sp_OAGetProperty'

EXEC sp_dropextendedproc 'Sp_OAMethod'

EXEC sp_dropextendedproc 'Sp_OASetProperty'

EXEC sp_dropextendedproc 'Sp_OAStop'

EXEC sp_dropextendedproc 'Xp_regaddmultistring'

EXEC sp_dropextendedproc 'Xp_regdeletekey'

EXEC sp_dropextendedproc 'Xp_regdeletevalue'

EXEC sp_dropextendedproc 'Xp_regenumvalues'

EXEC sp_dropextendedproc 'Xp_regread'

EXEC sp_dropextendedproc 'Xp_regremovemultistring'

EXEC sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

在 SQL Server 2008 和 SQL Server 2005 中，sp_dropextendedproc 不會卸除系統擴充預存程序。應該由系統管理員拒絕將擴充預存程序的 EXECUTE 權限授與 public 角色。但在 SQL Server 2000 中，您可以使用 sp_dropextendedproc 來卸除任何擴充預存程序。

如果不確定自己是使用什麼SQL Server 版本，可以使用以下語法可以查詢資料庫版本

select @@VERSION

--查詢系統資訊

select * from sys.dm_os_sys_info

4.使用SQL Server Profiler檢視和分析追蹤

當我們想知道誰對SQL Server 做了甚麼事時，就可以使用 SQL Server Profiler 來建立追蹤紀錄，記錄的內容包含所下的SQL語法、Lock狀態、登入的狀況或可用來監視 Database Engine 或 SQL Server Analysis Services 的執行個體....等，可以看到的資訊非常的多，所以您可以擷取每一個事件的相關資料，並將資料儲存至檔案或資料表，以供稍後分析。但也因為這樣SQL Server Profiler使用上多少會影響效能，慎用。

SQL Server Management Studio的「工具」中找到「SQL Server Profiler」

勾選「儲存至檔案」，設定此檔案存放到磁碟C或D

在「設定檔案大小上限(MB)」，輸入 20，表示每個「SQL 追蹤」的檔案大小為 20 MB，每20MB會切割一個檔案。

勾選「啟用檔案換用」

勾選「伺服器處理追蹤資料」

「啟用追蹤停止時間」的意思是，當你開始追蹤後，到所設定的時間系統會自動停止追蹤，這個選項請依實際狀況調整。

點選「執行」

程式執行時，就可以在SQL Profiler中抓到對SQL Server所下達的指令

其中包含「事件類別」、「SQL語法」、「使用者」、「CPU」、「讀取」、「寫入」、「開始時間」與「結束時間」等重要資訊

追蹤結束後到【檔案】->【匯出】 ->【擷取 SQL Server 事件(S) 】->【擷取 Transact-SQL事件(T)】

儲存D:\DBAudit.trc ，就可以先針對敏感的資料表或已知異常語法進行分析與篩選。

5.SQL Server 安全性更新

到Windows 控制台\所有控制台項目\Windows Update\檢視更新記錄

查看是否有更新 SQL Server 2008 Service Pack 3

如果沒有請到下面網址下載

http://support.microsoft.com/kb/2546951/zh-tw

Read More