Websecurity - Веб безпека

14.09.2006

Сьогодні встановив плагін Subscribe to Comments для WordPress і знайшов в ньому декілька уразливостей.

Це Cross-Site Scripting уразливості в Subscribe To Comments 2.0.4 WordPress plugin (в wp-subscription-manager.php та subscribe-to-comments.php).

Про дані уразливості я напишу додаткову інформацію після того як повідомлю розробників плагінів і розробників движка WordPress.

До речі, я вже раніше писав про уразливість в одному Wordpress плагіні - уразливість в Wordpress WP-DB Backup Plugin.

16.09.2006

Уразливість в плагіні Subscribe To Comments 2.0.4 (в wp-subscription-manager.php та subscribe-to-comments.php).

XSS:

Уразливість в параметрах ref та email в скриптах wp-subscription-manager.php та subscribe-to-comments.php.

http://host/blog_path/wp-subscription-manager.php?ref=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://host/blog_path/wp-admin/edit.php?page=subscribe-to-comments.php&ref=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://host/blog_path/wp-subscription-manager.php?email=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://host/blog_path/wp-admin/edit.php?page=subscribe-to-comments.php&email=%3Cscript%3Ealert(document.cookie)%3C/script%3E

В мене на сайті ці уразливості вже виправлені . Це я зробив одразу як знайшов їх.

P.S.

До речі, як щойно повідомив мені розробник плагіна, він найближчим часом випустить нову версію плагіна Subscribe To Comments 2.0.8, з виправленням даних уразливостей.

Зі своєї сторони я планую випустити Subscribe To Comments 2.0.5 MustLive Edition. Де будуть виправлені дані уразливості, а також опишу методику виправлення уразливостей (необхідний php код). Це все планується в рамках нової версії мого Security Pack.

Щойно встановив плагін Subscribe to Comments - для підписки на коментарі.

Раніше відвідувачі сайту могли лише підписатися на коментарі за допомогою загальної Стрічки коментарів (RSS), а також на персональні стрічки до кожного повідомлення (наприклад, Стрічка коментарів повідомлення “Добірка уразливостей”). І все. Тепер же, відвідувачі можуть підписуватися на коментарі до потрібних їм повідомлень, під час відправки коментарю (для цього є відповідний чекбокс). Цією роботою і займається плагін Subscribe to Comments.

Так що удачних підписок

До речі, з цим плагіном пов’язані деякі курйози (я знайшов в ньому ряд уразливостей). З приводу чого я висловлюсь в наступному повідомленні.

Чимала частина власників сайтів, яким я повідомляю про уразливості на їх веб сайтах, та взагалі велика частина усіх власників сайтів, в наш час мало обізнані стосовно такої проблеми як Cross Site Scripting. І навіть якщо чули про наявність даної загрози і зокрема про наявність XSS на власному сайті (по інформації від мене), дані власники сайтів не переймаються цією проблемою - або не виправляють уразливості зовсім, або виправляють неякісно, або відповідають, що мовляв це не серйозна проблема і вони не бачать ніяких ризиків пов’язаних з даними уразливостями (і що адмінів навряд чи похакають, а стосовно юзерів їх сайтів їм байдуже).

Причому подібне відношення до уразливостей (і зокрема до XSS) існує давно - нагадаю, що Cross Site Scripting уразливості як окремий напрямок веб безпеки існує вже багато років (з 2000 року). І кількість похаканих сайтів щоденно зростає, але їх власники так і не почали замислюватися над проблемами безпеки своїх веб сайтів. В результаті своєї дослідницької діяльності стосовно уразливостей, я регулярно стикаюся з подібним відношенням власників до своїх сайтів, до їх безпеки і до XSS уразливостей.

Стосовно останніх, то зазначу, що окрім безпосереднього ризику для адмінів і користувачів даних веб сайтів (на яких знайдені XSS уразливості), уразливі сайти також небезпечні для будь-яких інших інтернет користувачів, навіть тих, хто про ці сайти і не чув взагалі. Це явище я називаю сайти зомбі.

Сайти, які мають XSS уразливості, і котрі я називаю сайтами зомбі - це сайти, котрі завдяки своїй уразливості можуть бути використані зловмисниками для своєї зловмисної діяльності. Використані як зомбі, котрі будуть виконувати роботу (команди), які дасть зловмисник, і завдяки чому жертва попаде у підготовлену пастку. Сайти зомбі можуть використовуватися для обдурення інтернет користувачів, фішингу та інших діянь, зокрема для редирекції на нехороший веб сайт (зі зловмисним кодом) або на інший уразливий сайт.

Я вже писав про фішинг за допомогою Yahoo та Google і таких прикладів можна привести чимало. І з кожним днем ситуація погіршується і небезпека зростає, що або власний сайт користувача, або відомий сайт, може бути використаний проти самого ж інтернет користувача.

P.S.

Вже в 2010 році я створив програму DDoS attacks via other sites execution tool (DAVOSET) для використання сайтів зомбі. DAVOSET - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Плагін WP-DB Backup в Wordpress уразливий до directory traversal атаки (обходу директорій). Потрібно мати адмінські права в wordpress, щоб експлуатувати дану уразливість. Це можна або свого хостера похакати (де знаходиться твій сайт на цьому движку, і ти маєш адмінскькі права), або можна заманити адміна у пастку, і за його допомогою, похакати сервер.

Таким чином, через дану уразливість можна отримати будь-які файли в системі. Наприклад прочитати паролі сервера (/etc/passwd):

http://path-to-wordpress/wp-admin/edit.php?page=wp-db-backup.php&backup=../../../../../etc/passwd

Дана уразливість працює і на моєму сайті - тому уразливими є сайти на Wordpress <= 2.0.3 (поки ще не оновив движок до 2.0.4).

• Wordpress WP-DB Backup Plugin Directory Traversal Vulnerability (деталі)

P.S.

До речі, в кінці минулого місяця і на початку поточного, я знайшов чимало уразливостей в Wordpress (до версії 2.0.3 включно). Про що я ще окремо напишу, після того як повідомлю розробникам движка.

Вчора відкрив цікавий метод експлуатації уразливостей на сайтах (навіть на статичних сторінках, без використання динаміки!), там де цих уразливостей і не було. Методика полягає в експлуатації уразливостей в коді (в JS-коді) зовнішніх систем - в моєму випадку в коді баннерної системи, котра знаходиться на відповідній сторінці сайту (котрий є цілью нашого хакінгу). Відповідно експлуатація уразливості (виконання довільного коду) відбувається в браузері жертви в контексті безпеки поточного сайту.

Тому можу заявити про можливість хакінга сайту (в даному випадку через XSS), через уразливості в коді зовнішніх систем (в коді баннерних систем і т.д.). Методика дозволяє (при наявності уразливого коду зовнішньої системи на сторінці) проводити атаки на користувачів відповідних сайтів (з числа користувачів даної системи), навіть без наявності уразливостей (XSS) безпосередньо на даних сайтах.

Зараз провожу додаткові дослідження з цього приводу (вивчаю коди різних систем).

По інформації від www.acunetix.com, статистика веб атак за їх частотою (за WASC класифікацією атак) має наступний вигляд:

SQL Injection - 9%
Insufficient Authorisation & Authentification - 16%
Credential / Session Prediction - 9%
Cross Site Scripting - 27%
Other / Unknown - 39%

Тому варто всім приділяти увагу безпеці власних сайтів.

Сьогодні в мене день народження, з чим вас і себе поздоровляю

Додаткову інформацію про мене ви можете прочитати на моєму домашньому сайті http://mlbpg.narod.ru.

З приводу цієї важливої події, на сайті очікується багато нової і цікавої інформації про веб безпеку вцілому і про уразливості на веб сайтах зокрема - тому слідкуйте за новинами

В розділі MustLive Security Pack розмістив усі випуски мого Security Pack (які також доступні в мене на форумі).

Ви можете зкачати випуски MustLive Security Pack v.1.0.1, MustLive Security Pack v.1.0.2 та MustLive Security Pack v.1.0.3.

В браузерах існують помилки і уразливості, як вам відомо. Тому їх потрібно тестувати на наявність серьёзних помилок, щоб вчасно обновляти браузер на більш нову версію.

В мене на mlfun.org.ua розміщена добірка тестів різних браузерів - Гумор браузерів.

• js.joke.blinker_ie - Тест для Internet Explorer (Mozilla і Firefox ведуть себе больш розумно в даному тесті, тому їм нашкодити не вийде).
• mozilla_die1 - Тест №1 для Mozilla (а також Firefox та інших браузерів на движку Мозіли).
• mozilla_die2 - Тест №2 для Mozilla.
• opera_die1 - Тест для Opera.

Найближчим часом я планую викласти нові тести браузерів

Відкрив новий розділ Онлайн інструменти, в якому вашій увазі пропонуються мої веб-проекти - онлайн інструменти, що можуть стати в нагоді відвідувачам мого веб сайта.

Серед інструментів: MustLive Perl Pascal Programs Interpreter - онлайн-інтерпретатор мови Паскаль та MustLive CLX Monitor - система моніторингу за добовими програмами в CLX.