« Уразливості на websiteoptimization.com
Цікаве чтиво на тему web security »

Численні уразливості в AWStats

16:02 22.09.2011

У вересні, 02.09.2011, я знайшов Cross-Site Scripting, Redirector, SQL Injection, HTTP Response Splitting та CRLF Injection уразливості в AWStats (в awredir). Про що я вже повідомив розробнику на минулому тижні (але він так і не виправив їх).

З AWStats постачається скрипт Advanced Web Redirector (awredir.pl), який має численні уразливості. В 2008 році trev та tx вже виявили в ньому XSS і Redirector уразливості.

Як я виявив, версія awredir 1.1 (build 1.5) була не вразлива до XSS, зато версія 1.1 (build 1.6) вже була вразлива.

В версії 1.1 та попередніх версіях скрипта є XSS, Redirector та SQL Injection уразливості. А в версії 1.2 додали захист - параметр key, що повинен бути рівний md5($KEYFORMD5.$UrlParam), де $KEYFORMD5 - це секретне слово, а $UrlParam - це параметр url. Який може і не використовуватися в скрипті (якщо $KEYFORMD5 пустий), а також його можна виявити підбором (знаючи робочу пару параметрів url та key). Параметр key буде необхідний для версії 1.2 скрипта для проведення Redirector, SQL Injection, HTTP Response Splitting і CRLF Injection атак.

В версії 1.2 виправили XSS, але Redirector і SQLi дірки залишилися та додали HTTPRS, CRLF Injection і дві нові XSS.

XSS (в версіях <=1.1):

http://site/awredir.pl?url=javascript:alert(document.cookie)

Redirector:

http://site/awredir.pl?url=http://websecurity.com.ua

В версії 1.2:

http://site/awredir.pl?key=0f3830803a70cc1636af3548b66ed978&url=http://websecurity.com.ua

SQL Injection:

http://site/awredir.pl?url=’%20and%20benchmark(10000,md5(now()))/*

В версії 1.2:

http://site/awredir.pl?key=f38ed1cdb04c8bda5386f7755a4e1d3e&url='%20and%20benchmark(10000,md5(now()))/*

SQL Injection атака можлива, якщо включений запис в БД ($TRACEBASE) та підключений DBI.

XSS (в версії 1.2):

http://site/awredir.pl?url=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/awredir.pl?key=%3Cscript%3Ealert(document.cookie)%3C/script%3E

HTTP Response Splitting:

http://site/awredir.pl?key=04ed5362e853c72ca275818a7c0c5857&url=%0AHeader:1

Що може використовуватися для включення хедерів, в тому числі для XSS і Redirection атак.

CRLF Injection:

http://site/awredir.pl?key=4b9faa91e2529400c4f3c70833b4e4a5&url=%0AText

CRLF Injection в логи можлива при включеному $DEBUG і/або $TRACEFILE.

Уразливі всі версії AWStats (6.0, 7.0 та попередні версії).


This entry was posted on 16:02 22.09.2011 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply

You must be logged in to post a comment.