AoF, IAA, XML Injection і XSS уразливості в MyBB
15:24 01.04.201112.02.2011
У січні, 03.01.2011, я знайшов Abuse of Functionality, Insufficient Anti-automation, XML Injection та Cross-Site Scripting уразливості в форумному движку MyBB. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливості в MyBB.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
01.04.2011
Abuse of Functionality:
Через даний функціонал можна виявляти логіни в системі.
http://site/xmlhttp.php?action=username_availability&value=test
http://site/xmlhttp.php?action=username_exists&value=test
Також можна через віправку POST запиту до сторінки http://site/member.php?action=register з вказаним Username або Referrer визначати логіни.
Insufficient Anti-automation:
Враховучи, що в даному функціоналі немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.
XML Injection:
http://site/xmlhttp.php?action=username_exists&value=%3Cxml/%3E
XSS через XML Injection:
http://site/xmlhttp.php?action=username_exists&value=%3Cdiv%20xmlns=%22http://www.w3.org/1999/xhtml%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%3C/div%3E
Уразливі MyBB 1.6.1 та попередні версії.
В версіях MyBB 1.6.2 та 1.4.15 XML Injection та XSS уразливості були виправлені. Abuse of Functionality та Insufficient Anti-automation уразливості виправлені не були. Лише розробники спробували виправити IAA, додавши новий параметр my_post_key до запиту, але це не допоможе проти IAA, тому що достатньо взяти значення цього параметру зі сторінки форуму (що може бути зроблено програмою) і в подальшому проводити автоматизовану атаку для визначення логінів.