Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• SFCB vulnerabilities (деталі)
• XSS in Squirrelmail plugin ‘Virtual Keyboard’ <= 0.9.1 (деталі)
• XSS vulnerability in Docebo (деталі)
• RSA Key Manager SQL injection Vulnerability (деталі)
• XSS vulnerability in Expression CMS (деталі)
• XSS vulnerability in Lantern CMS (деталі)
• Core FTP mini-sftp-server Several DoS and Directory Traversal Vulnerabilities (деталі)
• Core FTP Server(SFTP module) ‘open’ and ’stat’ Commands Remote Denial of Service Vulnerability (деталі)
• XSS vulnerability in Lantern CMS (деталі)
• Joomla! 1.5.20 <= Cross Site Scripting (XSS) Vulnerability (деталі)

Виявлене переповнення буфера в FTP-сервері Microsoft Internet Information Services.

Уразливі версії: Microsoft IIS 7 та 7.5 під Windows Vista, Windows 2008 Server, Windows 7.

Переповнення буфера динамічної пам’яті.

• Переполнение буфера в FTP-сервере Microsoft IIS (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://lvivrada.gov.ua (хакером KIMLIKSIZ DEVLET) - 22.01.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://vetlabresearch.gov.ua (хакером KIMLIKSIZ DEVLET) - 22.01.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://forum.narabote.com.ua (хакерами з 1923TURK-GRUP)
• http://www.m-sport.com.ua (хакерами з AlbanianHackersGr0up) - 21.12.2010, зараз сайт вже виправлений адмінами
• http://shop.m-sport.com.ua (хакером kaMtiEz) - 21.12.2010, зараз сайт вже виправлений адмінами

27.11.2010

У травні, 24.05.2010, а також додатково 25.11.2010, я знайшов Information Leakage, Brute Force та Cross-Site Scripting уразливості в Firebook. Це гостьова книга. Дані уразливості я виявив на різних сайтах, в тому числі на офіційному сайті firebook.ru. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Firebook.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

10.02.2011

Information Leakage:

http://site/cgi-bin/firebook/firebook.cgi

На сторінці є розділ SystemInfo з Full path disclosure та іменами txt-файлів БД веб додатку.

Brute Force:

http://site/path_to_firebook_admin/ (скрита адмінка)

http://site/admin/index.html?account=in (публічна адмінка)

XSS:

http://site/path_to_firebook_admin/?Name=%3Cscript%3Ealert(document.cookie)%3C/script%3E&Word=1&PutWord=1 (скрита адмінка)
http://site/admin/index.html?NAME=%3Cscript%3Ealert(document.cookie)%3C/script%3E&PASS=1&action=AccountIn (публічна адмінка)

Уразливі Firebook 3.100328 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Conduit Banner, BezahlCode-Generator та WordPress Audio. Для котрих з’явилися експлоіти. Conduit Banner - це плагін для розміщення Conduit банерів, BezahlCode-Generator - це плагін для створення віджета, що генерує коди для оплати, WordPress Audio - це плагін для роміщення аудіо на сайті.

• WordPress Conduit Banner 0.2 Cross Site Scripting (деталі)
• WordPress BezahlCode-Generator 1.0 Cross Site Scripting (деталі)
• WordPress Audio 0.5.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Про безпеку плагінів для WordPress я вже писав, а зараз розповім стосовно безпеки шаблонів для WP.

Так само як і плагіни, шаблони (теми) для WordPress також мають уразливості. І окрім уразливостей в самому WordPress, часто уразливості мають місце в плагінах та темах для WP, про які я писав неодноразово. Тому розробники шаблонів для даного движка (як і розробники плагінів) повинні також слідкувати за безпекою.

Серед знайдених мною уразливостей в шаблонах:

• XSS в темі WordPress Classic 1.5
• XSS в темах Blix та Blix Rus для WordPress
• Уразливості в темі Live Wire Edition для WordPress
• Уразливості в темі The Gazette Edition для WordPress
• Уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress
• Уразливості в багатьох темах для WordPress (з TimThumb) - таких як Bookclub, Fresh News, BoldNews, Placeholder, Biznizz, Auld, Listings, Elefolio, Chapters, Continuum, Diner, Skeptical, Caffeinated, Crisp, Sealight, Unite, Estate, The Morning After, Coda, Inspire, Apz, Spectrum, Diarise, Boast, Retreat, City Guide, Cinch, Slanted, Canvas, Postcard, Delegate, MyStream, Optimize, Backstage, SophisticatedFolio, Bueno, Digital Farm, Headlines, f0101, Royalle, Exposure, Therapy, Rockstar, Daily Edition, Object, Antisocial, Coffee Break, Mortar, Big Easy, Mainstream, Groovy Photo, Groovy Blog, Feature Pitch, Suit and Tie, The Journal, myweblog, Aperture, Meta-Morphosis, Bloggingstream, The Station, Groovy Video, Productum, Newsport, Irresistible, Cushy, WooTube, Foreword Thinking, Geometric, Abstract, Busy Bee, BlogTheme, Gotham News, THiCK, Typebased, Over Easy, Ambience, Snapshot, Open Air, Fresh Folio, Papercut, ProudFolio, VibrantCMS, Flash News, NewsPress та The Original Premium News
• Уразливість в темі Mimbo Pro для WordPress
• Information Leakage та XSS уразливості в багатьох темах для WordPress - таких як Live Wire, Gotham News, Typebased, Blogtheme, VibrantCMS, Fresh News, The Gazette Edition, NewsPress, The Station, The Original Premium News, Flash News, Busy Bee та Geometric
• Уразливості в темі Magazeen
• В TimThumb, що використовується у багатьох темах для WP, також є Arbitrary File Upload уразливість
• Уразливості в темі Affinity BuddyPress
• Численні уразливості в численних темах для WordPress - таких як Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant 2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune та Meridian
• Численні уразливості в нових темах для WordPress - таких як Voxel, Diametric, Ionosphere, Clarion, Halcyon, Visage, Enigma, Momentum, Radiance, Camber, Reflex, Modulus, Nebulae, Entropy, Tachyon, Mercado, Maelstrom, Syndicate, Paradox, Hybrid, Omnicron, Zephyr, Panacea, Somaxiom, Juxta, Quantive, Crystalline, Kinetic, Dominion, Reaction, Akiraka, Novus та Grunge
• IL, XSS, FPD, AoF, DoS і AFU уразливості в темі Daily Edition Mouss для WordPress
• Численні уразливості в темі Chocolate WP для WordPress
• Численні уразливості в темі Flash News для WordPress
• Уразливості в ZeroClipboard в численних темах для WordPress - таких як Montezuma, Striking, Couponpress, Azolla та Black and White
• Уразливості в темі Slash WP для WordPress
• Численні уразливості в темі Colormix для WordPress
• Численні уразливості в численних темах для WordPress з jPlayer - таких як Studiozen, Photocrati, Music, Imperial Fairytale та Feather12
• Уразливості в численних темах для WordPress з VideoJS - таких як Covert VideoPress, Photolio, Source, Smartstart та Crius
• XSS та FPD уразливості в темі I Love It New для WordPress
• XSS, CS та FPD уразливості в темі I Love It для WordPress
• Уразливості в численних темах з CU3ER для WordPress - таких як ShapeShifter, Los Angeles, Themebox, Elite Force, Webfolio
• Численні уразливості в Flexolio для WordPress
• Численні уразливості в темі Refraction для WordPress

В даних 26 описах уразливостей наводяться численні Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service, Information Leakage, Arbitrary File Upload та Content Spoofing уразливості в 173 шаблонах (темах) для WordPress.

28.06.2010

У листопаді, 20.11.2009, я знайшов Full path disclosure, Cross-Site Scripting та SQL Injection уразливості на проекті http://lookmy.info. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.02.2011

Full path disclosure:

http://lookmy.info/portal/modules.php?name=Ads

XSS:

http://lookmy.info/portal/modules.php?name=Web_Links&l_op=search&query=%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20

SQL Injection:

http://site.lookmy.info/print.php?id=1&pid=-1%20or%201=1

Дані уразливості вже виправлені. Але зазначу, що хоча XSS виправлена, але не якісно, тому при виключених mq на сайті (це потрібно для використання лапок) можна провести XSS атаку (для виконання коду або редирекції на інші сайти), зокрема з використанням MouseOverJacking.

У грудні місяці відбувся масовий взлом сайтів на сервері X-HOST. Нещодавно я вже розповідав про два інші масові взломи.

Він відбувся перед згаданими масовоми взломами на сервері HostPro та сервері Hvosting. В цьому випадку булов дефейснуто набагато більше сайтів.

Всього було взломано 227 сайтів на сервері української хостингової компанії X-HOST (IP 193.200.255.10). Це наступні сайти: www.techno-plus.zp.ua, shop.impreza.net.ua, www.vtoytovich.com, www.mirfinance.biz, www.bio-sculpture.com.ua, www.all-ni.com.ua, www.olvia-sad.com.ua, www.akkumulyator.org.ua, www.texas.in.ua, www.restavraciya.dp.ua, www.wm-change.in.ua, www.razmah.in.ua, www.zloeradio.org.ua, www.remservis.com.ua, www.publitec.us, www.grandmafia.org.ua, www.mega-poligraf.kiev.ua, www.progresspk.com.ua, www.cosmo.ivr.com.ua, www.plastilin.in.ua, www.perlyna.org.ua, www.palliativecare.gov.ua, www.l-brus.com.ua, www.compservice.dp.ua, www.zabudoffprofy.com.ua, www.dom-gotov.com.ua, www.waterpark.com.ua, www.melnikovsergey.com, www.whitetig.com.ua, www.rec-studio.com.ua, www.yumina.com.ua, www.alexeymelnik.com, www.warmtech.com.ua, www.aquapark.net.ua, www.santehdom.kiev.ua, www.website-master.com.ua, www.remontdoma.com.ua, www.parus.co.ua, www.tdpolitep.com, www.original.crimea.ua, www.mebeldom.in.ua, www.mebelzakaz.kiev.ua, www.svit-tepla.com.ua, www.taxiboard.com.ua, www.d-v.com.ua, www.easy-www.com.ua, www.it-master.dp.ua, www.bittrade.net.ua, www.detaley.net.ua, www.taxi-kiev.kiev.ua, www.skytek.com.ua, www.f-notebook.com.ua, www.sun-bud.com.ua, www.bbc.in.ua, www.pravda.li, www.skrug.com.ua, www.stargarden.com.ua, www.promza.com, www.urkaina.org.ua, www.pav.zp.ua, www.service-pc.com.ua, www.kravtspost.com, www.berioza.org.ua, www.enterkredit.com.ua, www.swbplaneta.com, www.autowinner.com.ua, www.newcity.com.ua, www.ampvolshebnik.ru, www.flavourart.com.ua, www.asmati.com.ua, www.newsmoking.com.ua, www.ostap.kiev.ua, www.meducation.com.ua, www.obuhiv.com.ua, www.044045.com, www.palliativecare.com.ua, www.goop.com.ua, www.e-smoking.com.ua, www.mykhaylenko.com.ua, www.slobodchuk.com.ua, www.neurosummit.org.ua, www.sunny-tour.com.ua, www.willi.com.ua, www.mysubs.com.ua, www.e-liquid.com.ua, www.dreamday.com.ua, www.damba.com.ua, www.gigasystems.com.ua, www.malen.com.ua, www.soft-alterego.com, www.mag-vmeste.com.ua, www.powerled.com.ua, www.cgfsystems.com, www.hygetropin.com.ua, www.littlelab.com.ua, www.lf-kts.com, www.shokerov.net.ua, www.gmc-med.com.ua, www.eshoker.org.ua, www.prokladka.net.ua, www.zolotyekupola.com.ua, www.advokatua.org.ua, www.weapon-books.com, www.rubilnik.mk.ua, www.sexpotencia.ru, www.k-shara.com.ua, www.kvorum.mk.ua, www.nabor.kiev.ua, www.netprofit.org.ua, www.right-house.com.ua, www.kolotova.kiev.ua, www.kotlyk.com.ua, www.dosyg.mobi, www.kovka2000.com.ua, www.keysolutions.com.ua, www.kab.kiev.ua, www.lr-club.com.ua, www.audit-s.com.ua, www.prydbay.in.ua, www.intermebel.kiev.ua, www.pincode.biz.ua, www.jugglers.com.ua, www.lte.co.ua, www.imeks.com.ua, www.impreza.net.ua, www.e-design.biz.ua, www.blackforum.volyn.net, www.black.volyn.net, www.impexgr.com, www.igorkozak.com.ua, www.kupit.in.ua, www.gooldmobi.com.ua, www.icomicom.org.ua, www.rtm-flowers.com.ua, www.distella-ardens.org.ua, www.samplesland.com, www.flora.zp.ua, www.soundpress.biz, www.generiki.com.ua, www.chernoemore.mk.ua, www.finversion.com, www.chernoemore.com.ua, www.3vyki.ru, www.top100cotton.com.ua, www.epox.com.ua, www.dpm.dp.ua, www.law.odessa.ua, www.dondeluna.com.ua, www.edelweiss.kiev.ua, www.eragorn.com.ua, www.svpodorog.com.ua, www.economy-ukraine.com.ua, www.mikor.com.ua, www.ua-investment.com, www.ua-investment.com.ua, www.stroycentr.net.ua, www.cyprusdom.com, www.stylo.kiev.ua, www.coinsoleg.com, www.chereshenka.com, www.imenaa.com.ua, www.krovlya7.kiev.ua, www.vocabularioingles.10wordsaday.com, www.fermerstvo.in.ua, www.mbk.uz.ua, www.vocabulaireanglais.10wordsaday.com, www.10wordsaday.com, www.englishverbs.10wordsaday.com, www.mosya.kiev.ua, www.dts-kiev.com.ua, www.designworkshop.com.ua, www.sheleljo.com.ua, www.pp-vovk.com.ua, www.pervak.uz.ua, www.avtolab.kiev.ua, www.mosaika.com.ua, www.art-therapy.org.ua, www.angollcoins.com.ua, www.epatag.com, www.kvitkakiev.com.ua, www.artissoft.com.ua, www.angel-studio.com.ua, www.sevshop.ru, www.triamera.net, www.hitechauto.com.ua, www.real-estate.crimea.ua, www.sevrealty.com, www.astar.su, www.asnu.org.ua, www.aja.com.ua, www.sev-shop.com.ua, www.webadviser.info, www.oskar.com.ua, www.adventecjob.com, www.101service.com.ua, www.slotserver.net, www.palexa.com.ua, www.musclub.info, www.it-territory.net.ua, www.deadseacosmetics.com.ua, www.artplus.org.ua, www.112tour-ua.com.ua, www.slotgames.com.ua, www.do-ubleup.com, www.dah-centr.com.ua, www.business-request.com.ua, www.astonfs.com.ua, www.avonkiev.com.ua, www.dekolte.com.ua, www.maximus2003.com.ua, www.archidea.net.ua, www.x-change.in.ua, www.laminatory.org.ua, www.bedzh.org.ua, www.mazanka.net.ua, www.site-design-web.com, www.elitvikna.com.ua, www.svit-eko.com.ua, www.plitka2000.com.ua, www.muscari.ru, www.stw.net.ua, www.machta.com.ua, www.global.zt.ua, www.radiator.in.ua, www.dnk-pit-stop.com, www.tamada.rv.ua, www.ivr.com.ua. Серед них один український державний сайт www.palliativecare.gov.ua.

Зазначені сайти були взломані в період з 6 по 9 грудня 2010 року. Дефейси 225 сайтів проведено хакером GHoST61, 1 сайта хакером iskorpitx та 1 сайта хакером kaMtiEz. Дані сайти використовують різні веб додатки.

Враховуючи факт використання різних движків, велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pixeldesign.com.ua - інфекція була виявлена 30.11.2010. Зараз сайт не входить до переліку підозрілих.
• http://gift-shop.com.ua - інфекція була виявлена 01.02.2011. Зараз сайт входить до переліку підозрілих.
• http://xshop.com.ua - інфекція була виявлена 08.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://bizneswm.com - інфекція була виявлена 06.02.2011. Зараз сайт входить до переліку підозрілих.
• http://marketgid.com - інфекція була виявлена 07.02.2011. Зараз сайт не входить до переліку підозрілих.

27.12.2010

У вересні, 19.09.2010, я знайшов Cross-Site Scripting та Remote HTML Include уразливості в PHPXref. Які я виявив на одному сайті, що використовує даний веб додаток. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

08.02.2011

XSS (RXI):

http://site/nav.html?javascript:alert(document.cookie)

RHI:

http://site/nav.html?http://websecurity.com.ua

Уразливі PHPXref 0.7 та попередні версії. У версії PHPXref 0.7.1 розробник виправив дані уразливості.