XSS уразливості в tagcloud.swf на gov та gov.ua
23:54 07.01.2010В своїй статті XSS уразливості в 8 мільйонах флеш файлах я писав, що по даним Гугла в Інтернеті є до 34 мільйонів флешек (tagcloud.swf) потенційно вразливих до XSS атак. Файл tagcloud.swf розроблений автором плагіна WP-Cumulus для WordPress і постачається з даним плагіном для WP, а також з іншими плагінами, зокрема Joomulus для Joomla.
Так як на багатьох державних сайтах використовуються різні движки до яких розроблені плагіни з даним swf-файлом (і відповідно дані сайти можуть бути вразливі до XSS), я приведу вам перелік вразливих державних сайтів різних країн. Наступні державні сайти мають Cross-Site Scripting уразливості у флешці tagcloud.swf.
XSS на gov сайтах (окрім державних сайтів України):
http://gibdd.tambov.gov.ru
http://dpw.ecprov.gov.za
http://media1.aso.gov.au
http://education.gov.lc
http://www.muskegon-mi.gov
На даному сайті використовується пропатчена версія WP-Cumulus, в якій виправлена XSS, але в якій все ще наявна HTML Injection.
XSS на gov.ua сайтах:
http://www.galych-rada.gov.ua
http://www.smida.gov.ua
http://cult.gov.ua
http://spacecenter.gov.ua
http://uit.umvs-kherson.gov.ua
http://letadm.gov.ua
http://old.smida.gov.ua
Субота, 15:12 06.02.2010
Спасибі. http://letadm.gov.ua виправив. а існує нормальний tagcloud.swf без уразливостей? :
Субота, 20:40 06.02.2010
Vetal
Завжди будь ласка.
Як я писав в статті XSS уразливості в 34 мільйонах флеш файлах, в Інтернеті існує до 34 мільйонів файлів tagcloud.swf (і потенційно навіть більше) вразливих до XSS та HTML Injection атак. Тобто це приблизно 34 мільйонів вразливих веб сайтів, з них приблизно 273000 вразливих gov-сайтів.
Це дуже велика кількість сайтів, тому я фізично не взмозі повідомити всім власникам сайтів. Тому я повідомив, ще у листопаді, розробнику tagcloud.swf і автору плагіна WP-Cumulus (з якого і взяли цей файл розробники інших плагінів для різних движків), який вже виправив XSS уразливість. А також окремо повідомив декільком розробникам плагінів, що використовують tagcloud.swf. І опублікував свою вищезгадану статтю в західних секюрити розсилках, щоб привернути увагу громадськості до цієї проблеми.
Далі вже девелопери та адміни сайтів повинні зайнятися виправленням цих дірок на своїх ресурсах. При бажанні ти можеш написати своїм колегам з інших вищезгаданих державних установ та дати їм лінку на цю сторінку, щоб і вони повиправляли дірки в себе на сайтах.
Субота, 20:48 06.02.2010
Так, розробник WP-Cumulus, Рой, виправив XSS дірку, після того як я йому повідомив. Але все ще залишається HTML Injection уразливість, про яку я писав у вищезгаданій статті “XSS уразливості в 34 мільйонах флеш файлах”.
Так що ти можеш взяти пофіксену версію tagcloud.swf з сайта Роя, але вона все ще має HTML Injection. Про це я з ним говорив і надав йому поради, щодо виправленні й цієї дірки. Але враховуючи те, що в тебе на сайті використовується движок, то спочатку потрібно буде перевірити, чи нова версія tagcloud.swf нормально працює з даним плагіном під DLE.
Неділя, 12:02 07.02.2010
MustLive, можливо ви знаєте. На сайт постійно спамлять комментарями. Я провірив уже все. Нічого не знайшов. Що б Ви порадили?
Неділя, 18:18 07.02.2010
Vetal
На відміну від XSS уразливості в плагіні Tagcloud для DLE, про яку йшлося раніше, капча в DLE була достатньо надійна. Без наявності уразливостей (в алгоритмі), що дозволяють її обійти, про які я розповідав в своєму проекті Місяць багів в Капчах. Тому й проблем зі спамом на вашому сайті бути не повинно.
Але раз такі проблеми є, значить капча (що встановлена на сторінці реєстрації та інших сторінках) не справляється зі своєю задачею. Вірогідно DLE-шну капчу обійшли за допомогою OCR. Тому раджу змінити капчу, наприклад, на Рекапчу (може є відповідний плагін для DLE, або власноруч її встановити).