Websecurity - Веб безпека

07.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в TimThumb. Це веб додаток що використовується в темах для WordPress. А по суті дані уразливості я виявив ще 08.12.2008, коли я вперше стикнуся з thumb.php. Про що найближчим часом повідомлю розробникам.

Уразливими є TimThumb та всі веб додатки (зокрема теми для WordPress), що його використовують. Це такі шаблони як Live Wire Edition, The Gazette Edition, Live Wire 2.0 та Live Wire Style.

А також наступні комерційні шаблони: Bookclub, Fresh News, BoldNews, Placeholder, Biznizz, Auld, Listings, Elefolio, Chapters, Continuum, Diner, Skeptical, Caffeinated, Crisp, Sealight, Unite, Estate, The Morning After, Coda, Inspire, Apz, Spectrum, Diarise, Boast, Retreat, City Guide, Cinch, Slanted, Canvas, Postcard, Delegate, MyStream, Optimize, Backstage, SophisticatedFolio, Bueno, Digital Farm, Headlines, f0101, Royalle, Exposure, Therapy, Rockstar, Daily Edition, Object, Antisocial, Coffee Break, Mortar, Big Easy, Mainstream, Groovy Photo, Groovy Blog, Feature Pitch, Suit and Tie, The Journal, myweblog, Aperture, Meta-Morphosis, Bloggingstream, The Station, Groovy Video, Productum, Newsport, Irresistible, Cushy, WooTube, Foreword Thinking, Geometric, Abstract, Busy Bee, BlogTheme, Gotham News, THiCK, Typebased, Over Easy, Ambience, Snapshot, Open Air, Fresh Folio, Papercut, ProudFolio, VibrantCMS, Flash News, NewsPress, The Original Premium News та інші шаблони для WP. Уразливості в даних шаблонах аналогічні діркам в вищеназваних шаблонах.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

13.04.2011

Веб додаток може розміщуватися в файлі thumb.php або timthumb.php.

XSS:

http://site/path/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/path/thumb.php?src=http://
http://site/path/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/path/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality:

http://site/path/thumb.php?src=http://site&h=1&w=1
http://site/path/thumb.php?src=http://site.google.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS:

http://site/path/thumb.php?src=http://site/big_file&h=1&w=1

Уразливі TimThumb 1.24 та попередні версії (та теми для WP з цими версіями). XSS можлива лише в старих версіях програми. В версіях до 1.22 можлива AoF навіть з включеним обмеженням на домени через використання обхідної техніки. Також можна проводити DoS атаки, коли великий файл розміщенний на тому самому сайті, що і php-скрипт, або на дозволеному домені. Або якщо в скрипті дозволені зовнішні сайти, то тоді можна проводити AoF та DoS атаки. В версії TimThumb 1.25 уразливості переважно виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://umvs-kherson.gov.ua - інфікований державний сайт - інфекція була виявлена 03.04.2011. Зараз сайт входить до переліку підозрілих.
• http://ivaadm.gov.ua - інфікований державний сайт - інфекція була виявлена 18.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://ironmensport.com - інфекція була виявлена 21.03.2011. Зараз сайт входить до переліку підозрілих.
• http://nano.com.ua - інфекція була виявлена 02.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://dorama-teens.at.ua - інфекція була виявлена 26.02.2011. Зараз сайт не входить до переліку підозрілих.

05.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress. Це ще дві теми, що разом з Live Wire Edition входять до серії Live Wire. І вони також є комерційними шаблонами для WP від WooThemes. Які я виявив на одному сайті, що їх використовує. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темі The Gazette Edition для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам тем.

12.04.2011

XSS:

http://site/wp-content/themes/livewire/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/wp-content/themes/livewire/thumb.php?src=jpg
http://site/wp-content/themes/livewire/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/livewire/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/livewire/

А також ще 30 php-скриптів шаблону в папці /livewire/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/livewire/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/livewire/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /livewire/, дані теми також можуть розміщуватися в папках /livewire-dev/ та /livewire-package/ (це пакет, що включає всі три теми Live Wire серії).

Уразливі Live Wire 2.0 та Live Wire Style версія 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблонів. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2010 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Збільшилися випадки витоків важливої інформації.
3. Активно знаходилися та використовувалися уразливості в браузерах для атак на користувачів.
4. Фішинги атаки проводилися достатньо активно на протязі минулого року. Що спонукало популярні сервіси почати більш наполегливо боротися проти фішінга та розповсюдження malware.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2010 вже 264 сайти (зростання на 294%).
6. Збільшилися атаки на соціальні мережі, в тому числі на Facebook та Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 460%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2011 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
3. Збільшиться кількість атак на державні сайти України.
4. Розробники браузерів почнуть більш активно впроваджувати секюріті механізми в свої продукти.
5. Зростання кількості заражених вірусами веб сторінок буде більш активним.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

В даній добірці уразливості в веб додатках:

• Novell Sentinel Log Manager Multiple Servlet Remote Code Execution Vulnerabilities (деталі)
• LFI and XSS vulnerability in openEngine (деталі)
• SQL injection in CompactCMS (деталі)
• Baby ASP Web Server DoS (деталі)
• SQL Injection in CLANSPHERE (деталі)
• XSS in CLANSPHERE (деталі)
• Baby FTP Server DoS (деталі)
• Path disclosure in CLANSPHERE (деталі)
• BBcode XSS in CLANSPHERE (деталі)
• Baby POP Server DoS (деталі)

03.02.2011

Учора, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі The Gazette Edition для WordPress. Це комерційний шаблон для WP від WooThemes. Які я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темі Live Wire Edition для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

11.04.2011

XSS:

http://site/wp-content/themes/gazette/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure:

http://site/wp-content/themes/gazette/thumb.php?src=http://site
http://site/wp-content/themes/gazette/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/gazette/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/gazette/

А також ще десятки php-скриптів шаблону в папці /gazette/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/gazette/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/gazette/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /gazette/ в каталозі з темами, дана тема також може розміщуватися в папці /gazette-dev/gazette/.

Уразливі The Gazette Edition 2.9.4 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

В березні, 09.03.2011, через місяць після виходу Google Chrome 9.0, вийшов Google Chrome 10.

Основні нововведення в даній версії:

• Оновлення JavaScript-движка V8, у нову версію якого додана нова підсистема JIT-компіляції.
• Підтримка використання GPU-акселерації при програванні відео.
• У сервісі синхронізації параметрів браузера між комп’ютерами за замовчуванням активована підтримка синхронізації збережених паролів до сайтів.
• Цілком перероблений інтерфейс настроювання параметрів браузера.
• Підтримка фонового виконання web-додатків (Background WebApps).
• Новий API для створення розширень для web-навігації (webNavigation API).
• Посилення безпеки: застарілі плагіни тепер за замовчуванням автоматично блокуються. Розширено можливості по повідомленню користувача про наявність шкідливого коду на сторінках. На платформі Windows Flash-плагін відтепер виконується в ізольованому оточенні.

Також виправлені 23 помилки у безпеці, з яких 15 уразливостей позначені як небезпечні, 3 - помірні і 5 - незначні.

• Релиз web-браузера Chrome 10 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://chaspik.kiev.ua (хакером SHADOWNET)
• http://coralclub.kharkov.ua (хакером Udara)
• http://moybb.com.ua (хакерам PisstoN) - 06.03.2011, зараз сайт вже виправлений адмінами
• http://www.stroyraboti.com (хакерами RKH)
• http://doktor.kiev.ua (хакером dr.net) - причому спочатку сайт був взломаний 27.01.2011 dr.net, а зараз взломаний Houssem jrad. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

14.09.2010

У квітні, 24.04.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://tid.odessa.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на tid.odessa.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.04.2011

XSS:

• alert(document.cookie)
• alert(document.cookie) (виправлена)
• alert(document.cookie) (виправлена)
• alert(document.cookie) (перероблена версія попередньої XSS, що знову працює)
• цікавий
• html включення

Insufficient Anti-automation:

http://opt.tid.odessa.ua/ws/register.php

Brute Force:

http://tid.odessa.ua/?pid=dclogon

http://opt.tid.odessa.ua/ws/login.php

З даних уразливостей більшість досі не виправлена.

Нещодавно, 05.04.2011, вишла нова версія WordPress 3.1.1.

WordPress 3.1.1 це секюріті випуск 3.1 серії. В якому розробники зробили майже тридцять виправлень, в тому числі виправили три уразливості.

Це CSRF уразливість в медіа аплоадері, DoS в деяких середовищах через спеціальні лінки в коментарях та XSS уразливість.