Websecurity - Веб безпека

Нещодавно, 05.12.2007, ще до SQL Injection уразливості в WordPress, про котру я писав два дні тому, була опублікована SQL ін’єкція в WordPress. До якої вразливий WordPress 2.3.1 (та потенційно попередні версії).

• Sql Injection in wordpress 2.3.1 (деталі)

Як я перевірив на багатьох сайтах одразу коли дізнався про цю дірку, вона не працює. Схоже чи це фейк (обманка), чи це так автор ціє знахідки вирішив пожартувати , чи в нього був специфічний Вордпрес - або він вносив зміни в код, або використовув деякий плагін, що і призвело до того, що в нього дірка працює. Бо на багатьох сайтах на WP 2.3.1 (та інших версіях) вона зовсім не працює. І як повідомив в BugTraq один з користувачів останньої версії WP, вона не вразлива (як і попередні версії).

Цікаво те, що досліджуючи дану уразливість я виявив дві нові уразливості в WordPress, про котрі я повідомлю найближчим часом.

Учора була оприлюднена SQL Injection уразливість в WordPress. Про неї повідомив Abel Cheung, що виявив її в останній версії WP.

Уразливість пов’язана з кодуванням, що використовується в MySQL при роботі з даними та методами обробки даних самим движком (тобто це сharset SQL Injection). Вразливими є версія WordPress 2.3.1 та попередні версії.

• Wordpress <= 2.3.1 Charset Remote SQL Injection Vulnerability (деталі)

Вразливими є блоги на WordPress, що використовують для БД кодування GBK або Big5. У якості захисту від даної атаки рекомендується перевести БД свого сайту на кодування UTF-8, що невразливе для подібної атаки.

Як повідомив RSnake в своєму записі Embed Allowscriptaccess “Never” Subversion існує можливість обходу значення allowscriptaccess=”never” (для тега embed). Це можливо за допомогою XSS в PDF атаки.

Дана особливість може знадобитися для обходу обмежень на сайтах, де автоматично встановлюється ”never” для властивості allowscriptaccess тега embed (наприклад на MySpace). Щоб обмежити атаки за допомогою Flash.

PoC:

<embed src=”http://site/hack.php” allowscriptaccess=”never”>

My project Month of Bugs in Captchas has finished and I’m summing up.

In the project took part 32 CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart): plugins, services, built-in in CMS and individual captchas. The list of project’s participants (in order of appearance): learnwpf.com, craigslist.org, Peter’s Custom Anti-Spam Image, reCaptcha, Blogger, Google, itua.info, mt-scode, wait-till-i.com, shamanomaly.com, opennet.ru, PHP-Nuke, digg.com, Peter’s Random Anti-Spam Image, expert.com.ua, cgisecurity.com, search.live.com, Cryptographp, uaxxi.com, PHP-Fusion, HBH-Fusion, Nucleus CAPTCHA bypass, AIP, peterhost.ru, Math Comment Spam Protection, thepoorhouse.org.uk, Anti Spam Image, Captcha!, internetua.com, IPB, WP-ContactForm, ESP-PIX.

Altogether there were published 75 vulnerabilities in mentioned captchas. Including Insufficient Anti-automation, Cross-Site Scripting (persistent and reflected), SQL Injection and Cross-Site Request Forgery vulnerabilities (and also redirector).

Results of the project: fixed 5 vulnerabilities from 75. It is 6,67% fixed vulnerabilities, which is much lower results of Month of Search Engines Bugs. Captchas developers need to attend more to reliability of their applications. Also there were published many captcha bypass methods (developed by me), which must be taken into account by web developers, for creating more reliable captchas.

Note, that there are not only Insufficient Anti-automation vulnerabilities in captchas, but also others types of vulnerabilities. Such as Redirector (MoBiC-05 Bonus), Cross-Site Scripting (MoBiC-12 Bonus, MoBiC-23 Bonus, MoBiC-26 Bonus, MoBiC-28 Bonus, MoBiC-29 Bonus), SQL Injection (MoBiC-20 Bonus) and Cross-Site Request Forgery (MoBiC-26). So developers of captchas need to improve their security.

Thanks for watching MoBiC project. Best regards. And attend to your security.

Завершився мій проект Місяць багів в Капчах і я підводжу підсумки.

В проекті прийняли участь 32 CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart): плагіни, сервіси, вбудовані в CMS та індивідуальні капчі. Перелік учасників проекту (в порядку появи): learnwpf.com, craigslist.org, Peter’s Custom Anti-Spam Image, reCaptcha, Blogger, Google, itua.info, mt-scode, wait-till-i.com, shamanomaly.com, opennet.ru, PHP-Nuke, digg.com, Peter’s Random Anti-Spam Image, expert.com.ua, cgisecurity.com, search.live.com, Cryptographp, uaxxi.com, PHP-Fusion, HBH-Fusion, Nucleus CAPTCHA bypass, AIP, peterhost.ru, Math Comment Spam Protection, thepoorhouse.org.uk, Anti Spam Image, Captcha!, internetua.com, IPB, WP-ContactForm, ESP-PIX.

Всього оприлюднено 75 уразливостей в зазначених капчах. Включаючи Insufficient Anti-automation, Cross-Site Scripting (активні та пасивні), SQL Injection та Cross-Site Request Forgery уразливості (а також редиректор).

Результати проекту: виправлено 5 уразливостей з 75. Це 6,67% виправлених уразливостей, що значно нижче результатів Місяця багів в Пошукових Системах. Розробникам капч потрібно більше слідкувати за надійністю своїх додатків. Також було оприлюднено багато методів обходу капч (розроблених мною), котрі повинні врахувати веб розробники, для створення більш надійних капч.

Зазначу, що в капчах бувають не тільки Insufficient Anti-automation уразливості, але й інші типи уразливостей. Такі як Redirector (MoBiC-05 Bonus), Cross-Site Scripting (MoBiC-12 Bonus, MoBiC-23 Bonus, MoBiC-26 Bonus, MoBiC-28 Bonus, MoBiC-29 Bonus), SQL Injection (MoBiC-20 Bonus) та Cross-Site Request Forgery (MoBiC-26). Тому розробникам капч потрібно покращувати їх безпеку.

Спасибі, що слідкували за проектом MoBiC. Усього найкращого. І приділяйте увагу своїй безпеці.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На тридцятий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі ESP-PIX (це просунута капча, що використовує розпізнання образів). Дана Капча вразлива до MustLive CAPTCHA bypass method.

• MoBiC-30: ESP-PIX CAPTCHA bypass (деталі)

Завтра я відведу підсумки проекту Month of Bugs in Captchas.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На двадцять дев’ятий день Місяця багів в Капчах я опублікував інформацію про дірки в WP-ContactForm з Капчею (це плагін для WordPress). Дана Капча вразлива до сonstant value bypass method, а також до Cross-Site Scripting уразливостей.

• MoBiC-29: WP-ContactForm CAPTCHA bypass (деталі)
• MoBiC-29 Bonus: XSS in WP-ContactForm (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На двадцять восьмий день Місяця багів в Капчах я опублікував інформацію про дірки в Капчах Invision Power Board та Cryptographp (це плагін для WordPress). Капча IPB вразлива до half-automated method, а Капча Cryptographp вразлива до Cross-Site Scripting уразливостей.

• MoBiC-28: IPB CAPTCHA bypass (деталі)
• MoBiC-28 Bonus: XSS in Cryptographp (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На двадцять сьомий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі internetua.com. Дана Капча вразлива до session reusing with null captcha bypass method.

• MoBiC-27: internetua.com CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

Продовжується Місяць багів в Капчах і сьогодні я опублікував нові уразливості.

На двадцять шостий день Місяця багів в Капчах я опублікував інформацію про дірки в Капчі Captcha! (це плагін для WordPress). Дана Капча вразлива до Cross-Site Request Forgery, Insufficient Anti-automation та Cross-Site Scripting уразливостей.

• MoBiC-26: Captcha! CAPTCHA bypass (деталі)
• MoBiC-26 Bonus: XSS in Captcha! (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.