XSS і AoF уразливості в Drupal

15:20 24.06.2011

12.04.2011

У серпні, 16.08.2010, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про Abuse of Functionality уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

24.06.2011

XSS:

При доданні або зміні даних в будь-яких внутрішніх формах (додання/зміна поста і т.д.) можна провести persistent XSS атаку. XSS код виконається при відвідуванні сторінки редагування (зміна поста і т.д.). Атака проводиться на будь-які форми з включеним FCKeditor/CKEditor (які дуже поширені на сайтах на Drupal). Подібна атака може бути проведена і на форми з TinyMCE - про подібні уразливості в PHP-Nuke через TinyMCE я вже писав.

Для атаки необхідно в поле форми в режимі “Source” вказатиь:
<img onerror="alert(document.cookie)" src="1" />
Також можна відправити POST запит з токеном і атакуючим кодом в параметрі body.

Атака може бути проведена тільки на залогіненого користувача сайта, який є власником даного акаунта, або адміна сайта. Тобто або користувача сам збереже атакуючий код і заманить на цю сторінку адміна, або, з врахування анти-CSRF захисту, через reflected XSS уразливість буде отриманий токен і на користувача або адміна буде проведена persistent XSS атака.

Abuse of Functionality:

При спеціальному запиту до пошуку по користувачам можна визначити логіни всіх користувачів на сайті.

http://site/search/user/%25
http://site/search/user_search/%25

В rss-фідах сайта, зокрема в основному rss-фиді (http://site/rss.xml) можна визначити логині користувачів на сайті, матеріали яких виводяться в даному фіді.

Уразливі Drupal 6.22 та попереднії версії (перевірено в Drupal 6.17). Враховуючи, що розробники не виправили дані уразливості, то версії 7.x також повинні бути вразливими.


Leave a Reply

You must be logged in to post a comment.