Websecurity - Веб безпека

У версії WordPress 3.5.2 розробники виправили багато уразливостей. Але є уразливості, що були виправлені в цій версії, про які розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

У липні, 02.07.2013, я дослідив зміни в останній версії движка і виявив Full path disclosure уразливість. Про яку не згадали в описі релізу WP 3.5.2 (при тому, що вони згадали про іншу FPD). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про XXE уразливість в WordPress.

Full path disclosure (WASC-13):

http://site/wp-admin/users.php?s=http://

Має місце FPD при пошуку в розділі Users (коли рядок пошуку починається з http:// або https://).

Уразливі версії WordPress 3.4 - 3.5.1.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про витік httpOnly кукі в Apache. Рекомендую подивитися всім хто цікавиться цією темою.

Exploit: Apache httpOnly Cookie Disclosure (CVE: 2012-0053)

В даному відео ролику демонструється експлоіт для уразливості в веб сервері Apache. Яка дозволяє нападнику отримати httpOnly кукі користувача сайта, що базується на Apache. При тому, що веб сервер не повинен допускати витоку даної інформації.

Атака відбувається при відправленні спеціальних запитів на веб сайт, який міститься на веб сервері з Apache. Рекомендую подивитися дане відео для розуміння векторів атак на веб сервери.

У червні, 25.06.2013, вийшов Mozilla Firefox 22. Нова версія браузера вийшла через півтора місяця після виходу Firefox 21.

Mozilla офіційно випустила реліз веб-браузера Firefox 22, а також мобільну версію Firefox 22 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 23 намічений на 6 серпня, а Firefox 24 на 17 вересня. Також був випущений Seamonkey 2.19.

Одночасно з Firefox 22 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.7 і Thunderbird 17.0.7.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 22.0 усунуто 14 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 22 с поддержкой Asm.js (деталі)

В даній добірці експлоіти в веб додатках:

• Alt-N MDaemon WorldClient 13.0.3 - Multiple Vulnerabilities (деталі)
• Alt-N MDaemon 13.0.3 and 12.5.6 Email Body HTML/JS Injection Vulnerability (деталі)
• Netgear DGN2200B - Multiple Vulnerabilities (деталі)
• PCMan’s FTP Server 2.0 - Remote Buffer Overflow Exploit (деталі)
• Bifrost 1.2d - Remote Buffer Overflow Vulnerability (деталі)

10.05.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Search ‘N Save для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в VideoJS - HTML5 Video Player для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.07.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/SearchNSave/js/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/wp-content/plugins/SearchNSave/js/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/SearchNSave/searchnsave.php

http://site/wp-content/plugins/SearchNSave/error_log (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log)

Уразливі всі версії Search ‘N Save для WordPress.

Звертання до неініціалізованної пам’яті в cURL і libcurl.

Уразливі продукти: cURL 7.24, libcurl 7.24.

Запис неініціалізованної пам’яті в curl_easy_unescape().

• Vulnerability in curl (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ld-invest.rekord.gov.ua (хакером Dr.SHA6H) - 10.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://donmolod.gov.ua (хакером H3ll-dz) - 11.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lita.com.ua (хакерами з Black HaT Group)
• http://otdix.com.ua (хакером Sejeal) - 27.01.2013, зараз сайт вже виправлений адмінами
• http://metizmarket.com (хакерами з BD GREY HAT HACKERS) - 27.03.2013, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in TP-Link TL-WA701N / TL-WA701ND (деталі)
• GnuTLS vulnerability (деталі)
• polarssl security update (деталі)
• Sonicwall Scrutinizer v9.5.2 - SQL Injection Vulnerability (деталі)
• Sonicwall OEM Scrutinizer v9.5.2 - Multiple Vulnerabilities (деталі)

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема XML External Entity Injection (XXE) через oEmbed. У червні, 25.06.2013, я дослідив дану XXE уразливість.

Раніше я вже писав про FPD та XSS уразливості в WordPress.

XML External Entities (WASC-43):

Має місце XXE при включенні ембедів. Уразливість наявна в файлі class-oembed.php.

При доступі до зовнішніх сайтів по протоколу oEmbed, з яких включені ресурси (відео, зображення та інші), в XML відповіді можна вказати зовнішні сутності (через тег ENTITY). Це дозволить читати довільні файли на сайті, а також проводити атаки на інші сайти. Для використання XXE уразливості, нападник повинен контролювати сайт, з якого включені ресурси.

Уразливі версії WordPress 3.5 і 3.5.1.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Software quality assurance
• Software quality management
• Algorithmic complexity attack
• Attack patterns
• Camfecting