Websecurity - Веб безпека

Ще в червні була виявлена SQL Injection уразливість в WordPress. І до цієї дірки був розроблений експлоіт. Дірка в файлі xmlrpc.php.

• Wordpress 2.2 (xmlrpc.php) Remote SQL Injection Exploit (деталі)

Вразлива версія WordPress 2.2. Ні попередні версії, ні наступні не вразливі до даної SQL ін’єкції.

Нещодавно, 07.12.2007, я знайшов нові Cross-Site Scripting уразливості в WordPress. Дірки в файлах plugins.php та plugin-editor.php. Вразливі WordPress 2.0.7 і попередні версії.

XSS:

http://site/wp-admin/plugins.php?action=activate&plugin=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/plugins.php?action=deactivate&plugin='%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/plugin-editor.php?newcontent=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&action=update&file=akismet/akismet.php

В минулому році я вже писав про подібні уразливості в WordPress. Тому дані уразливості - це доповнення до раніше знайдених мною дір в WP 2.0.x. У версії WordPress 2.0.9 вони вже виправлені.

Ще в минулому році, були оприлюднені SQL Injection та Full path disclosure уразливості в WordPress. Вразливі (до SQL ін’єкцій) версії WordPress 2.0.2 і 2.0.5.

• Sql Injection and Path Disclosoure Wordpress v2.0.5 (деталі)

SQL ін’єкції в файлі index.php (в 2.0.2 та 2.0.5). Більш нові версії WP невразливі до даних SQL Injection.

А ось зазначені Full path disclosure (49 дірок) актуальні й в самих останніх версіях движка - тобто в усіх версіях WordPress 2.x є подібні уразливості (в залежності від версії движка кількість вразливих файлів різниться). Тому що розробники движка досі не виправили і не планують виправляти ці дірки (я сам неодноразово звертав їхню увагу на Full path disclosure в WP, але вони вирішили їх не виправляти).

Продовжуючи тему експлоітів для PHP, пропоную вам наступну добірку.

Цього разу есплоіти в PHP версії до 5.2.0 включно та в розширеннях MySQL/MySQLi та ionCube.

• PHP <= 5.2.0 (php_iisfunc.dll) Local Buffer Overflow PoC (win32) (деталі)
• PHP <= 4.4.7 / 5.2.3 MySQL/MySQLi Safe Mode Bypass Vulnerability (деталі)
• PHP 5.2.4 ionCube extension safe_mode / disable_functions Bypass (деталі)

Два дні тому, 16.12.2007, була оприлюднена Information Leakage уразливість в WordPress. Вразлива версія WordPress 2.3.1 (і потенційно попередні версії).

PoC:

http://site/'wp-admin/

Уразливість в файлі query.php. Вона пов’язана з тим, що WP в деяких випадках перевіряє права користувача на огляд сайту (чи є даний користувач адміном) по URL. І якщо сформувати його відповідним чином (вставити в урл рядок “wp-admin/”), то можна отримати права адміна на огляд деякої інформації. Зокрема чорнеток - постів, що мають статус draft.

• Wordpress - Broken Access Control (деталі)

Я перевірив цю дірку в WP 2.0.x і вона не спрацювала. Можливо вона спрацює на більш нових версіях движка.

У листопаді, 26.11.2007, я знайшов нові Cross-Site Scripting уразливості в плагіні WP-ContactForm. Причому це persistent XSS. Вразлива версія плагіна WP-ContactForm 1.5 alpha (та попередні).

Раніше я вже писав про уразливості в WP-ContactForm (в оригінальній версії) та в новій версії плагіна (зробленій іншим автором) - WP-ContactForm CAPTCHA bypass та XSS in WP-ContactForm. В новій версії плагіна були виправлені деякі дірки попередньої версії, деяки залишились та були додані нові дірки. Зараз розповім про уразливості в оригінальній версії плагіна.

XSS:

POST запит на сторінці http://site/wp-admin/admin.php? page=wp-contact-form/options-contactform.php:

"><script>alert(document.cookie)</script>В полях: E-mail Address, Subject - для атаки тільки на адміна.

<script>alert(document.cookie)</script>В полях: Success Message, Error Message - для атаки на користувачів.

</textarea><script>alert(document.cookie)</script>В полях: Success Message, Error Message - для атаки на адміна та на користувачів.

Розробнику плагіна я повідомлю найближчим часом.

P.S.

Також версія WP-ContactForm 1.5-alpha та попередні версії плагіна вразливі до Insufficient Anti-automation, тому що не мають капчі.

Для WordPress існує велика кількість плагінів. Ще в березні місяці була відкрита Plugin Directory - директорія для Вордпресовських плагінів. Де можна зручно знайти та скачати собі плагіни для сайта.

Плагіни, що збільшуют функціонал сайта - це добре, але потрібно щоб вони були безпечними. А ось з безпекою плагінів для WP не все гаразд. Як я багато разів розповідав, в даних плагінах часто знаходять уразливості. Зокрема я неоднаразово писав про уразливості в плагінах для WordPress. А також писав про чималу кількість дірок, що я сам знаходив в різних плагінах для WP (і ще буду писати). Особливо я згадав про чималу кількість вразливих капча плагінів для даного движка в Місяці багів в Капчах.

Тому за безпекою плагінів потрібно слідкувати.

В червні була оприлюднена Cross-Site Scripting уразливість в WordPress. Дірка в стандартній темі движка (в файлі functions.php).

XSS:

http://site/wp-admin/themes.php?page=functions.php&xss"><script>alert(document.cookie)</script>

Вразлива версія WordPress 2.2 (і потенційно попередні версії). Як я перевірив, дана уразливість може спрацювати в залежності від налаштувань PHP.

• Wordpress default theme XSS (admin) and other problems (деталі)

Нещодавно, 05.12.2007, я знайшов дві Information disclosure уразливості в WordPress. Як раз коли досліджував SQL Injection в WordPress (котра виявилася фейком). Це SQL DB Structure Extraction та Full path disclosure уразливості.

SQL DB Structure Extraction:

http://site/?feed=rss2&p=1

Full path disclosure:

http://site/?feed=rss2&p=1

Де p - це id неіснуючого запису (потрібно вказати номер неіснуючого посту, щоб виникли дані уразливості). Серед сайтів де я виявив ці дірки, SQL DB Structure Extraction траплялася на всіх, а Full path disclosure лише на деяких (це може залежати від налаштувань WP).

Вразливі версії WordPress 2.2.x та 2.3.x. Версії движка 2.0.x та 2.1.x не вразливі (я перевірив декілька версій даних гілок WP).

Інформація отримана за допомогою SQL DB Structure Extraction стане у нагоді при SQL Injection атаці, а інформація отримана за допомогою Full path disclosure - при File Include та Directory Traversal атаках. Тому власникам даних версій движка варто виправити зазначені уразливості власноруч.

На blogsecurity.net існує проект WordPress BlogWatch. Даний проект - це місце, де публікується інформація по останнім уразливостям в Вордпресі. В ньому публікуються дані про відомі дірки в WP, щоб було зручно переглядати останні дірки в движку.

В BlogWatch розміщені уразливості як в самому движку (розділ WordPress Vulnerabilities), так і в його плагінах (розділ WordPress Plugin Vulnerabilities).

Серед останніх дірок в WordPress (що відносяться до версії 2.3):

• XSS injection in edit-post-rows.php, needs register_globals on (деталі), про котру я писав
• Unregistered can add Links to Blogroll (деталі)