Нові уразливості в CMS WebManager-Pro
15:01 02.09.201020.04.2010
У жовтні, 10.10.2009, я знайшов SQL Injection та Redirector (URL Redirector Abuse) уразливості в CMS WebManager-Pro. Дані уразливості я виявив на webmanager-pro.com - сайті розробників даної CMS. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливість в CMS WebManager-Pro.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
02.09.2010
SQL Injection:
http://site/c.php?id=1%20and%20version()=5
Redirector:
http://site/c.php?id=1&url=http://websecurity.com.ua
Уразливі дві системи CMS WebManager-Pro від двох розробників. Уразливі версії CMS WebManager-Pro до 8.1 (версія від WebManager).
Також SQL Injection (але не Redirector) має місце в версії системи від FGS_Studio. Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.
Розробники з WebManager виправили SQL Injection уразливість (але не виправили Redirector) в версії CMS WebManager-Pro 8.1. Розробники з FGS_Studio не виправили SQL Injection уразливість (дані розробники взагалі проігнорували всі уразливості в їхній CMS, про які я їм повідомив).
Вівторок, 13:16 27.04.2010
Добрый день. Меня зовут Роман Чувилин, я Менеджер проектов компании webmanager. Ваше сообщение нами получено, меры по ликвидации этой уязвимости будут приняты. Спасибо за внимание к наему продукту.
Вівторок, 22:56 27.04.2010
Роман
Всегда пожалуйста.
Помимо моего уведомления об уязвимостях на вашем сайте и в вашей CMS WebManager-Pro (что я оставил у вас на сайте), я вам ещё напишу письма с детальной информацией. Но вначале я вам напишу об уязвимости в отдельной версии CMS WebManager-Pro сделаной другой веб дизайн студией (хотя дыра относится к ним, но используемый ими код базируется на вашей CMS и дыра может совпадать).
И после того как я уведомлю разработчиков той версии CMS WebManager-Pro, и уведомлю об этом вас, я напишу вам о новых уязвимостях.
Вівторок, 23:19 27.04.2010
Поскольку мы являемся разработчиком и владельцем даной ЦМС, а сайты на ней производятся (по крайней мере должы) только нашей студией -список “чужих” сайтов на нашей цмс был бы бля нас весьма полезен.
Четвер, 23:21 29.04.2010
Я так и понимал, что должен быть один разработчик и данная ситуация (с ещё одной версией CMS от другого разработчика) у меня вызвала подозрение. Но, с другой стороны, могло оказаться, что вы дали право другой дизайн студии делать сайты на вашем движке (а я нашёл много дырявых сайтов на их версии движка).
Поэтому в октябре, когда я сделал у себя в новостях анонсы уязвимостей на некоторых сайтах на данном движке (его версии от других разработчиков), я решил найти оригинального разработчика движка. И тогда я нашёл ваш сайт (со своими уязвимостями). В письме, когда я напишу вам детальную информацию об уязвимостях, я также приведу список найденных мною сайтов на “другой” версии вашей CMS WebManager-Pro.
П'ятниця, 21:41 03.09.2010
“http://site/c.php?id=1%20and%20version()=5″
там звичайна інєкція, а не сліпа вивід йде як редиктр )
П'ятниця, 23:30 03.09.2010
Ясна річ, що звичайна, я ж в тексті новини не писав, що сліпа - для blind SQLi я за звичай це вказую, а в інших випадках я пишу саме про звичайні ін’єкції.
Твій комент я підправив, щоб не було SQL запиту з union. Друже, я в себе на сайті в більшості випадків для SQLi публікую саме PoCи (для яких використовую зокрема version()), а не робочі експлоіти . Бо я не наймався полегшувати життя скрипт кідісам. Робочі експлоіти для SQLi уразливостей я залишаю для себе, а публічно розміщую лише PoC. Професіонали зможуть самі собі підібрати кількість колонок, а ті хто цього зробити не можуть, хай шукають собі іншу інформацію.
Субота, 00:04 04.09.2010
мда трохи непобачив 1%20and%20version()=5 зразу асоціації про сліпу) текст не читав перегялнув …
Неділя, 23:49 05.09.2010
Так, з такими PoCами звичайно може виникнути асоціація з сліпою ін’єкцією. Але використовувати логічні вирази (як то 1=1 та інші) можна і зі звичайнийми SQLi . Ось наприклад коли йде мова про використання if з benchmark для створення затримки (для визначення true/false), як у випадку SQL Injection на bezpeka.com, про яку я писав раніше, то тоді одразу можна зрозуміти, що це сліпа ін’єкція (навіть не вказуючи це).
Тим не менш іноді я про це вказую (як стосовно знайдених мною дірок, так і в добірках уразливостей та експлоітів). Сам же я в більшості випадків публікую звичайні SQLi (й з тексту це видно). І переважно з такими PoC, як я вже писав вище.