Уразливості в плагіні CapCC для WordPress

23:55 13.12.2008

09.12.2008

У лютому, 05.02.2008, я знайшов Insufficient Anti-automation уразливість, а сьогодні ще й Cross-Site Request Forgery і SQL Injection в CapCC. Це капча плагін для WordPress. Про що найближчим часом сповіщу розробників плагіна.

Детальна інформація про уразливості з’явиться пізніше.

13.12.2008

Insufficient Anti-automation:

Дана капча вразлива до напіватоматизованого методу.

CapCC CAPTCHA bypass.html - для кожного запиту потрібна нова пара зображення-код капчі.

Cross-Site Request Forgery:

Сторінка опцій плагіна (http://site/wp-admin/plugins.php? page=capcc-config) вразлива для CSRF атак. Що може використовуватися для проведення атак для використання як SQL Injection та Full path disclosure і Cross-Site Scripting уразливостей, так і для створення можливості проведення автоматизованих Insufficient Anti-automation атак.

CSRF + Insufficient Anti-automation:

Враховуючи, що капча вразлива до SQL Injection, яка використовується через CSRF атаку, то це дозволяє створити автоматизований метод обходу капчі. Це відбувається через комбіновану CSRF + Insufficient Anti-automation атаку, що дозволяє використовувати одну пару зображення-код капчі весь час (в опціях капчі задається час життя кожного зображення, по замовчуванню він дорівнює 24 години, але це також може бути змінено через CSRF).

CapCC CSRF.html - спочатку зробити CSRF атаку.

CapCC CAPTCHA bypass.html - потім використовувати одну пару зображення-код капчі для всіх коментарів.

SQL Injection:

Дана SQL Injection уразливість - це приклад Persistent SQL Injection.

CapCC SQL Injection.html

DoS атака через SQL ін’єкцію. Атака відбувається при звертанні до самого скрипта чи до сторінки з капчою. Тобто при відвідуванні сайту, він (через капчу) буде сам себе перенавантажувати.

CapCC SQL Injection2.html

Визначення паролю за допомогою SQL ін’єкції. Це Blind SQL Injection. Якщо скрипт (http://site/wp-content/plugins/capcc/ capcc.php?r) виводить “Expired.”, то false, якщо “Error”, то true. Для визначення паролю необхідно буде зробити численні CSRF запити (атакуючи адміна), тому це надовго затягнеться. І тому виконати першу SQL Injection атаку (за один запит), для проведення DoS атаки, буде набагато простіше.

Уразлива версія CapCC 1.0.


Leave a Reply

You must be logged in to post a comment.