Уразливості в плагіні CapCC для WordPress
23:55 13.12.200809.12.2008
У лютому, 05.02.2008, я знайшов Insufficient Anti-automation уразливість, а сьогодні ще й Cross-Site Request Forgery і SQL Injection в CapCC. Це капча плагін для WordPress. Про що найближчим часом сповіщу розробників плагіна.
Детальна інформація про уразливості з’явиться пізніше.
13.12.2008
Insufficient Anti-automation:
Дана капча вразлива до напіватоматизованого методу.
CapCC CAPTCHA bypass.html - для кожного запиту потрібна нова пара зображення-код капчі.
Cross-Site Request Forgery:
Сторінка опцій плагіна (http://site/wp-admin/plugins.php? page=capcc-config) вразлива для CSRF атак. Що може використовуватися для проведення атак для використання як SQL Injection та Full path disclosure і Cross-Site Scripting уразливостей, так і для створення можливості проведення автоматизованих Insufficient Anti-automation атак.
CSRF + Insufficient Anti-automation:
Враховуючи, що капча вразлива до SQL Injection, яка використовується через CSRF атаку, то це дозволяє створити автоматизований метод обходу капчі. Це відбувається через комбіновану CSRF + Insufficient Anti-automation атаку, що дозволяє використовувати одну пару зображення-код капчі весь час (в опціях капчі задається час життя кожного зображення, по замовчуванню він дорівнює 24 години, але це також може бути змінено через CSRF).
CapCC CSRF.html - спочатку зробити CSRF атаку.
CapCC CAPTCHA bypass.html - потім використовувати одну пару зображення-код капчі для всіх коментарів.
SQL Injection:
Дана SQL Injection уразливість - це приклад Persistent SQL Injection.
DoS атака через SQL ін’єкцію. Атака відбувається при звертанні до самого скрипта чи до сторінки з капчою. Тобто при відвідуванні сайту, він (через капчу) буде сам себе перенавантажувати.
Визначення паролю за допомогою SQL ін’єкції. Це Blind SQL Injection. Якщо скрипт (http://site/wp-content/plugins/capcc/ capcc.php?r) виводить “Expired.”, то false, якщо “Error”, то true. Для визначення паролю необхідно буде зробити численні CSRF запити (атакуючи адміна), тому це надовго затягнеться. І тому виконати першу SQL Injection атаку (за один запит), для проведення DoS атаки, буде набагато простіше.
Уразлива версія CapCC 1.0.