Websecurity - Веб безпека

В червні була оприлюднена Cross-Site Scripting уразливість в WordPress. Дірка в стандартній темі движка (в файлі functions.php).

XSS:

http://site/wp-admin/themes.php?page=functions.php&xss"><script>alert(document.cookie)</script>

Вразлива версія WordPress 2.2 (і потенційно попередні версії). Як я перевірив, дана уразливість може спрацювати в залежності від налаштувань PHP.

• Wordpress default theme XSS (admin) and other problems (деталі)

Нещодавно, 05.12.2007, я знайшов дві Information disclosure уразливості в WordPress. Як раз коли досліджував SQL Injection в WordPress (котра виявилася фейком). Це SQL DB Structure Extraction та Full path disclosure уразливості.

SQL DB Structure Extraction:

http://site/?feed=rss2&p=1

Full path disclosure:

http://site/?feed=rss2&p=1

Де p - це id неіснуючого запису (потрібно вказати номер неіснуючого посту, щоб виникли дані уразливості). Серед сайтів де я виявив ці дірки, SQL DB Structure Extraction траплялася на всіх, а Full path disclosure лише на деяких (це може залежати від налаштувань WP).

Вразливі версії WordPress 2.2.x та 2.3.x. Версії движка 2.0.x та 2.1.x не вразливі (я перевірив декілька версій даних гілок WP).

Інформація отримана за допомогою SQL DB Structure Extraction стане у нагоді при SQL Injection атаці, а інформація отримана за допомогою Full path disclosure - при File Include та Directory Traversal атаках. Тому власникам даних версій движка варто виправити зазначені уразливості власноруч.

На blogsecurity.net існує проект WordPress BlogWatch. Даний проект - це місце, де публікується інформація по останнім уразливостям в Вордпресі. В ньому публікуються дані про відомі дірки в WP, щоб було зручно переглядати останні дірки в движку.

В BlogWatch розміщені уразливості як в самому движку (розділ WordPress Vulnerabilities), так і в його плагінах (розділ WordPress Plugin Vulnerabilities).

Серед останніх дірок в WordPress (що відносяться до версії 2.3):

• XSS injection in edit-post-rows.php, needs register_globals on (деталі), про котру я писав
• Unregistered can add Links to Blogroll (деталі)

Нещодавно, 05.12.2007, ще до SQL Injection уразливості в WordPress, про котру я писав два дні тому, була опублікована SQL ін’єкція в WordPress. До якої вразливий WordPress 2.3.1 (та потенційно попередні версії).

• Sql Injection in wordpress 2.3.1 (деталі)

Як я перевірив на багатьох сайтах одразу коли дізнався про цю дірку, вона не працює. Схоже чи це фейк (обманка), чи це так автор ціє знахідки вирішив пожартувати , чи в нього був специфічний Вордпрес - або він вносив зміни в код, або використовув деякий плагін, що і призвело до того, що в нього дірка працює. Бо на багатьох сайтах на WP 2.3.1 (та інших версіях) вона зовсім не працює. І як повідомив в BugTraq один з користувачів останньої версії WP, вона не вразлива (як і попередні версії).

Цікаво те, що досліджуючи дану уразливість я виявив дві нові уразливості в WordPress, про котрі я повідомлю найближчим часом.

Учора була оприлюднена SQL Injection уразливість в WordPress. Про неї повідомив Abel Cheung, що виявив її в останній версії WP.

Уразливість пов’язана з кодуванням, що використовується в MySQL при роботі з даними та методами обробки даних самим движком (тобто це сharset SQL Injection). Вразливими є версія WordPress 2.3.1 та попередні версії.

• Wordpress <= 2.3.1 Charset Remote SQL Injection Vulnerability (деталі)

Вразливими є блоги на WordPress, що використовують для БД кодування GBK або Big5. У якості захисту від даної атаки рекомендується перевести БД свого сайту на кодування UTF-8, що невразливе для подібної атаки.

Як повідомив RSnake в своєму записі Embed Allowscriptaccess “Never” Subversion існує можливість обходу значення allowscriptaccess=”never” (для тега embed). Це можливо за допомогою XSS в PDF атаки.

Дана особливість може знадобитися для обходу обмежень на сайтах, де автоматично встановлюється ”never” для властивості allowscriptaccess тега embed (наприклад на MySpace). Щоб обмежити атаки за допомогою Flash.

PoC:

<embed src=”http://site/hack.php” allowscriptaccess=”never”>

My project Month of Bugs in Captchas has finished and I’m summing up.

In the project took part 32 CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart): plugins, services, built-in in CMS and individual captchas. The list of project’s participants (in order of appearance): learnwpf.com, craigslist.org, Peter’s Custom Anti-Spam Image, reCaptcha, Blogger, Google, itua.info, mt-scode, wait-till-i.com, shamanomaly.com, opennet.ru, PHP-Nuke, digg.com, Peter’s Random Anti-Spam Image, expert.com.ua, cgisecurity.com, search.live.com, Cryptographp, uaxxi.com, PHP-Fusion, HBH-Fusion, Nucleus CAPTCHA bypass, AIP, peterhost.ru, Math Comment Spam Protection, thepoorhouse.org.uk, Anti Spam Image, Captcha!, internetua.com, IPB, WP-ContactForm, ESP-PIX.

Altogether there were published 75 vulnerabilities in mentioned captchas. Including Insufficient Anti-automation, Cross-Site Scripting (persistent and reflected), SQL Injection and Cross-Site Request Forgery vulnerabilities (and also redirector).

Results of the project: fixed 5 vulnerabilities from 75. It is 6,67% fixed vulnerabilities, which is much lower results of Month of Search Engines Bugs. Captchas developers need to attend more to reliability of their applications. Also there were published many captcha bypass methods (developed by me), which must be taken into account by web developers, for creating more reliable captchas.

Note, that there are not only Insufficient Anti-automation vulnerabilities in captchas, but also others types of vulnerabilities. Such as Redirector (MoBiC-05 Bonus), Cross-Site Scripting (MoBiC-12 Bonus, MoBiC-23 Bonus, MoBiC-26 Bonus, MoBiC-28 Bonus, MoBiC-29 Bonus), SQL Injection (MoBiC-20 Bonus) and Cross-Site Request Forgery (MoBiC-26). So developers of captchas need to improve their security.

Thanks for watching MoBiC project. Best regards. And attend to your security.

Завершився мій проект Місяць багів в Капчах і я підводжу підсумки.

В проекті прийняли участь 32 CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart): плагіни, сервіси, вбудовані в CMS та індивідуальні капчі. Перелік учасників проекту (в порядку появи): learnwpf.com, craigslist.org, Peter’s Custom Anti-Spam Image, reCaptcha, Blogger, Google, itua.info, mt-scode, wait-till-i.com, shamanomaly.com, opennet.ru, PHP-Nuke, digg.com, Peter’s Random Anti-Spam Image, expert.com.ua, cgisecurity.com, search.live.com, Cryptographp, uaxxi.com, PHP-Fusion, HBH-Fusion, Nucleus CAPTCHA bypass, AIP, peterhost.ru, Math Comment Spam Protection, thepoorhouse.org.uk, Anti Spam Image, Captcha!, internetua.com, IPB, WP-ContactForm, ESP-PIX.

Всього оприлюднено 75 уразливостей в зазначених капчах. Включаючи Insufficient Anti-automation, Cross-Site Scripting (активні та пасивні), SQL Injection та Cross-Site Request Forgery уразливості (а також редиректор).

Результати проекту: виправлено 5 уразливостей з 75. Це 6,67% виправлених уразливостей, що значно нижче результатів Місяця багів в Пошукових Системах. Розробникам капч потрібно більше слідкувати за надійністю своїх додатків. Також було оприлюднено багато методів обходу капч (розроблених мною), котрі повинні врахувати веб розробники, для створення більш надійних капч.

Зазначу, що в капчах бувають не тільки Insufficient Anti-automation уразливості, але й інші типи уразливостей. Такі як Redirector (MoBiC-05 Bonus), Cross-Site Scripting (MoBiC-12 Bonus, MoBiC-23 Bonus, MoBiC-26 Bonus, MoBiC-28 Bonus, MoBiC-29 Bonus), SQL Injection (MoBiC-20 Bonus) та Cross-Site Request Forgery (MoBiC-26). Тому розробникам капч потрібно покращувати їх безпеку.

Спасибі, що слідкували за проектом MoBiC. Усього найкращого. І приділяйте увагу своїй безпеці.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На тридцятий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі ESP-PIX (це просунута капча, що використовує розпізнання образів). Дана Капча вразлива до MustLive CAPTCHA bypass method.

• MoBiC-30: ESP-PIX CAPTCHA bypass (деталі)

Завтра я відведу підсумки проекту Month of Bugs in Captchas.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На двадцять дев’ятий день Місяця багів в Капчах я опублікував інформацію про дірки в WP-ContactForm з Капчею (це плагін для WordPress). Дана Капча вразлива до сonstant value bypass method, а також до Cross-Site Scripting уразливостей.

• MoBiC-29: WP-ContactForm CAPTCHA bypass (деталі)
• MoBiC-29 Bonus: XSS in WP-ContactForm (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.