Biznet BilişimBiznet Bilişim

By Faruk Ünal

Oracle Sun ZFS Storage XML External Entitiy (XXE) Injection Zafiyeti

Oracle Sun ZFS Storage XML External Entitiy (XXE) Injection Zafiyeti

CVE: CVE-2017-3621

CVSS: 7.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Risk Seviyesi: Kritik

Ürün: Oracle Sun ZFS Storage

Etkilenen Sürümler: AK 2013 ve Öncesi

Yama Tarihi: 18 Nisan 2017

Raporlayan: Faruk Ünal, Can Demirel

Problem Detayları: Oracle Sun ZFS sistemi XML External Entity Injection (XXE) güvenlik probleminden etkilenmektedir. XXE, dinamik olarak XML dokümanlarını dosya sistemi üzerinden veya uzaktan sisteme eklemek için kullanılan XML özelliklerinden kaynaklanan bir problemdir. Saldırganlar bu sorun nedeni ile dosya sistemi üzerindeki önemli dosyalara erişim yapabilirler, harici sistemlere bağlantı kurabilirler ve yerel ağ içindeki sistemlere bağlantı yapmak amaçlı kullanabilirler. Söz konusu problem hedef sistemin tamamen ele geçirilmesi, servis dışı bırakılması ve yerel ağ kaynaklarına sızma girişimlerinde bulunulması için kullanılabilir.

Çözüm/Öneri: Belirtilen problem Oracle tarafından Nisan 2017 tarihinde duyurulan yama paketi ile giderilmiştir.

Referanslar: http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html

By Faruk Ünal

BurpSuite Redirector Extension

BurpSuite, web uygulama kontrollerinde gerekli pek çok kontrolü oldukça rahat bir şekilde gerçekleştirilmesine olanak tanıyan yardımcı bir araçtır. Test edilen uygulamanın teknolojisinden bağımsız olarak istekleri işlemeye ve oluşan çıktıları çeşitli şekillerde incelemeye izin vermesi ek olarak ihtiyaca özel uygulamalar yazmasına olanak tanıması en önemli avantajları arasındadır.

Web uygulama zafiyet tarama araçlarının uygulamaları keşfetmek ve istekleri üretmek için kullandıkları crawler mekanizmaları her zaman yeterli olmayabilmektedir. Özellikle isteklerin scriptler ile üretildiği bazı uygulama framework’leri ve teknolojilerinde scanner araçları scriptleri yorumlamada eksik kalabilmekte ve denetim yapılması gereken tüm istekleri üretemeyebilmektedirler. Bunun dışında bazı alanlara özel veri girilmesi gerektiği durumlarda otomatik form doldurma fonksiyonlarında yetersiz kalabilmektedir. Tüm bunlar uygulamaların tam anlamı ile kontrol edilmesini engellemektedir. Bu eksiklikleri gidermek için genelde manual scan adı verilen özellikler ile uygulamaların ziyaret edilmesini sağlayan ara birimler sağlamaktadırlar.

Ancak bazı durumlarda bu arabirimler üzerinden otomatik tespit edilemeyen veya yollanamayan bu istekleri üretmek de mümkün olmayabilir. Bu gibi durumlarda BurpSuite üzerinden kayıt altına alınan isteklerin, farklı zafiyet araçlarına yönlendirilmesi oldukça faydalı sonuçlar verebilmektedir.

Bunun dışında istenilen uygulamaları hızlı bir şekilde birden fazla araç ile kontrol etmek, login gerektiren veya http isteklerine özel başlıklar eklenmesi gereken durumlarda BurpSuite tarafında bulunan bir isteğin hızlıca farklı tarama yazılımlarına yönlendirilmesi, tarama kalitesini arttırmakta ve aynı anda daha fazla araçla hızlı bir şekilde kontrol imkanı tanımaktadır.

Testlerde bu işlemi hızlıca gerçekleştirmek, istenilen isteği farklı bir tarama aracına yönlendirmek için aşağıdaki linki verilen basit BurpSuite extension’ini hazırladık. Bu extension ile bir yandan BurpSuite üzerinden active scan modülü ile tarama yaparken, istenilen isteği farklı bir zafiyet tarama yazılımına yönlendirmek, dolayısı ile aynı anda farklı iki tarama motorunu kullanarak denetim gerçekleştirmek mümkün olmaktadır.

https://github.com/BiznetLab/BurpRedirector