Websecurity - Веб безпека

У грудні, 10.12.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://iss.incom.ua - сайті секюріті компанії Інком. Я вже писав про аналогічні уразливості на incom.ua та it-consulting.incom.ua, і такі ж уразливості є на iss.incom.ua та на інших доменах (на різних версіях Джумли). Тому виправляти дані уразливості їм потрібно на всіх своїх сайтах.

Після мого повідомлення адміністраціі сайта стосовно дірок на основному сайті, вони також повинні були зрозуміти, що вони відносяться до всіх їхніх сайтів на Joomla (XSS до версій 1.0.х, а BF до всіх версій).

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://iss.incom.ua/administrator/

Дані уразливості досі не виправлені.

14.12.2011

У жовтні, 26.10.2011, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://prom.ua. Про що найближчим часом сповіщу адміністрацію проекту. Prom.ua - це бізнес-каталог компаній України, але врахуючи те, що товари та послуги компаній з каталогу можна замовити на сайті, то цей сайт в тому числі представляє собою онлайн магазин.

Раніше я вже писав про уразливості на платформі prom.ua, знайдених Dementor-ом.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.03.2012

XSS:

• alert(document.cookie)

Redirector (URL Redirector Abuse):

http://prom.ua/redirect?url=websecurity.com.ua

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• IBM WebSphere Application Server ‘help’ Servlet Plug-in Bundle Directory Traversal (деталі)
• CmyDocument Content Management Application - XSS Vulnerabilities (деталі)
• Serendipity Plugin ‘Karma Ranking’ Multiple Cross-Site Scripting (деталі)
• Serendipity ’serendipity[filter][bp.ALT]’ Cross-Site Scripting vulnerability (деталі)
• XSS and SQL Injection Vulnerabilities on Symphony CMS 2.2.3 (деталі)
• Cisco Digital Media Manager Privilege Escalation Vulnerability (деталі)
• XSS Vulnerabilities in eFront (деталі)
• IBSng all version Cross-Site Scripting Vulnerability (деталі)
• eFront <= 3.6.10 (build 11944) Multiple Security Vulnerabilities (деталі)
• SQL injection vulnerability in OneOrZero AIMS (деталі)

В WordPress є чимало уразливостей, які існують з версії 2.0, а то і з 1.х версій, і які не виправлені до сих пір. Ще одна уразливість, про яку мені відомо вже давно (і багато років я планував про неї написати) - це Brute Force через XML-RPC функціонал в WP.

Раніше я вже писав про уразливості в WordPress - це Full path disclosure, Content Spoofing та Cross-Site Scripting уразливості через TinyMCE та flvPlayer.

Brute Force:

http://site/xmlrpc.php

В даному функціоналі немає захисту від Brute Force атак. При відправці відповідних POST-запитів можна виявити пароль.

Уразливі WordPress 3.3.1 і попередні версії.

Зазначу, что починаючи з WordPress 2.6 XML-RPC функціонал відключений за замовчуванням. Розробники WP зробили це в зв’язку з уразливостями (такими як SQL Injection та іншими), що були виявлені в цьому функціоналі, тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак.

І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати XML-RPC, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Раніше в 2008 та 2010 роках я вже писав про Brute Force уразливості в WordPress і це ще одна подібна уразливість. Окрім них також відомою є BF атака не через форму логіна, а з використанням авторизаційного кукіса (коли підсовуючи різні кукіси можна підібрати пароль).

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через XML-RPC та від раніше згаданої атаки на запаролені записи і сторінки.

В даній добірці уразливості в веб додатках:

• Citrix Provisioning Services streamprocess.exe vDisk Name Parsing Remote Code Execution Vulnerability (деталі)
• Site@School 2.4.10 SQL Injection & XSS vulnerabilities (деталі)
• Dolphin <= 7.0.7 (member_menu_queries.php) Remote PHP Code Injection (деталі)
• Yet Another CMS 1.0 SQL Injection & XSS vulnerabilities (деталі)
• Multiple vulnerabilities in Tine 2.0 (деталі)
• (0Day) HP Diagnostics Server magentservice.exe Remote Code Execution Vulnerability (деталі)
• OCS Inventory NG 2.0.1 Persistent XSS (деталі)
• Metasploit 4.1.0 Web UI stored XSS vulnerability (деталі)
• inCommand Technologies, Inc. Cross-site Scripting Vulnerability (деталі)
• mahara security update (деталі)

01.02.2012

У січні, 17.01.2012, під час аудиту сайта свого клієнта, я знайшов численні уразливості в системі Enterprise Java Beans Certificate Authority (EJBCA), зокрема Cross-Site Scripting, Brute Force та Abuse of Functionality. EJBCA - це PKI сервер. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

10.03.2012

XSS:

http://site/ejbca/publicweb/webdist/certdist?cmd=revoked&issuer=%3Cscript%3Ealert(document.cookie)%3C/script%3E&serno=1

Brute Force:

http://site/ejbca/enrol/browser.jsp

http://site/ejbca/enrol/server.jsp

http://site/ejbca/enrol/keystore.jsp

http://site/ejbca/enrol/cvcert.jsp

Abuse of Functionality:

У вищезгаданих чотирьох фунціоналах можливий підбор логінів. В даних формах виводяться різні повідомлення при коректному і некоректному логіні, що дозволяє виявити логіни користувачів.

Уразливі EJBCA 4.0.7 та попередні версії. Розробники виправили дану XSS уразливість в новій версії EJBCA 4.0.8, що вийшла 09.02.2012, але при цьому вони не стали виправляти BF і AoF уразливості, вважаючи, що вони низького ризику. Але я порадив їм виправити їх також.

У лютому, 23.02.2012, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://tools.pingdom.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://tools.pingdom.com/fpt/#!/http://google.com

http://tools.pingdom.com/ping/?target=http://google.com&o=2

Дані функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до першого функціоналу призведе до багатьох запитів до цільового сайта (тому що завантажується сторінка веб сайта і всі ресурси з цієї сторінки), а до другого функціоналу - до п’яти запитів до цільового сервера.

Insufficient Anti-automation:

В даних функціоналах немає захисту від автоматизованих запитів (капчі).

В даній добірці уразливості в веб додатках:

• Citrix Provisioning Services Stream Service 0×40020006 Remote Code Execution Vulnerability (деталі)
• KaiBB 2.0.1 XSS and SQL Injection vulnerabilities (деталі)
• Related POC for JCE Joomla Extension (деталі)
• ZOHO ManageEngine ADSelfService Plus Administrative Access (деталі)
• Google App Enging SDK Code Execution Vulnerability (деталі)
• Citrix Provisioning Services Stream Service 0×40020000 Remote Code Execution Vulnerability (деталі)
• LedgerSMB 1.3.0 released, includes anti-XSRF framework (деталі)
• Multiple vulnerabilities in BugFree (деталі)
• Destination Search Admin Console Access Control Bypass (деталі)
• SQL injection vulnerability in BoonEx Dolphin (деталі)

В даній добірці уразливості в веб додатках:

• HP Business Availability Center (BAC) and Business Service Management (BSM), Remote Unauthorized Access to Sensitive Information (деталі)
• SonicWall Viewpoint v6.0 SP2 - SQL Injection Vulnerability (деталі)
• Phorum 5.2.18 Cross-site scripting vulnerability (деталі)
• Netvolution referer header SQL injection vulnerability (деталі)
• Elastix PBX Extensions Enumeration (деталі)
• EMC SourceOne Web Search Sensitive Information Disclosure Vulnerability (деталі)
• Joomla Component (com_sgicatalog) <= SQL Injection Vulnerability (деталі)
• Active CMS 1.2.0 ‘mod’ Cross-site Scripting Vulnerability (деталі)
• Contao 2.10.1 Cross-site scripting vulnerability (деталі)
• openEngine 2.0 ‘key’ Blind SQL Injection vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• HP StorageWorks Modular Smart Array P2000 G3, Remote Execution of Arbitrary Code (деталі)
• openEngine 2.0 ‘id’ Blind SQL Injection vulnerability (деталі)
• Bitweaver 2.8.1 Multiple Cross-site Scripting Vulnerabilities (деталі)
• European Security Services GPS v1.0 - Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in Traq (деталі)
• (0Day) HP StorageWorks P2000 G3 Directory Traversal and Default Account Vulnerabilities (деталі)
• Joomla! 1.7.0 | Multiple Cross Site Scripting (XSS) Vulnerabilities (деталі)
• SQL injection vulnerability in ATCOM Netvolution (деталі)
• vTiger CRM 5.2.x <= Remote Code Execution Vulnerability (деталі)
• vTiger CRM 5.2.x <= Multiple Cross Site Scripting Vulnerabilities (деталі)