Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• IBM WebSphere Application Server ‘help’ Servlet Plug-in Bundle Directory Traversal (деталі)
• CmyDocument Content Management Application - XSS Vulnerabilities (деталі)
• Serendipity Plugin ‘Karma Ranking’ Multiple Cross-Site Scripting (деталі)
• Serendipity ’serendipity[filter][bp.ALT]’ Cross-Site Scripting vulnerability (деталі)
• XSS and SQL Injection Vulnerabilities on Symphony CMS 2.2.3 (деталі)
• Cisco Digital Media Manager Privilege Escalation Vulnerability (деталі)
• XSS Vulnerabilities in eFront (деталі)
• IBSng all version Cross-Site Scripting Vulnerability (деталі)
• eFront <= 3.6.10 (build 11944) Multiple Security Vulnerabilities (деталі)
• SQL injection vulnerability in OneOrZero AIMS (деталі)

В WordPress є чимало уразливостей, які існують з версії 2.0, а то і з 1.х версій, і які не виправлені до сих пір. Ще одна уразливість, про яку мені відомо вже давно (і багато років я планував про неї написати) - це Brute Force через XML-RPC функціонал в WP.

Раніше я вже писав про уразливості в WordPress - це Full path disclosure, Content Spoofing та Cross-Site Scripting уразливості через TinyMCE та flvPlayer.

Brute Force:

http://site/xmlrpc.php

В даному функціоналі немає захисту від Brute Force атак. При відправці відповідних POST-запитів можна виявити пароль.

Уразливі WordPress 3.3.1 і попередні версії.

Зазначу, что починаючи з WordPress 2.6 XML-RPC функціонал відключений за замовчуванням. Розробники WP зробили це в зв’язку з уразливостями (такими як SQL Injection та іншими), що були виявлені в цьому функціоналі, тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак.

І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати XML-RPC, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Раніше в 2008 та 2010 роках я вже писав про Brute Force уразливості в WordPress і це ще одна подібна уразливість. Окрім них також відомою є BF атака не через форму логіна, а з використанням авторизаційного кукіса (коли підсовуючи різні кукіси можна підібрати пароль).

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через XML-RPC та від раніше згаданої атаки на запаролені записи і сторінки.

В даній добірці уразливості в веб додатках:

• Citrix Provisioning Services streamprocess.exe vDisk Name Parsing Remote Code Execution Vulnerability (деталі)
• Site@School 2.4.10 SQL Injection & XSS vulnerabilities (деталі)
• Dolphin <= 7.0.7 (member_menu_queries.php) Remote PHP Code Injection (деталі)
• Yet Another CMS 1.0 SQL Injection & XSS vulnerabilities (деталі)
• Multiple vulnerabilities in Tine 2.0 (деталі)
• (0Day) HP Diagnostics Server magentservice.exe Remote Code Execution Vulnerability (деталі)
• OCS Inventory NG 2.0.1 Persistent XSS (деталі)
• Metasploit 4.1.0 Web UI stored XSS vulnerability (деталі)
• inCommand Technologies, Inc. Cross-site Scripting Vulnerability (деталі)
• mahara security update (деталі)

01.02.2012

У січні, 17.01.2012, під час аудиту сайта свого клієнта, я знайшов численні уразливості в системі Enterprise Java Beans Certificate Authority (EJBCA), зокрема Cross-Site Scripting, Brute Force та Abuse of Functionality. EJBCA - це PKI сервер. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

10.03.2012

XSS:

http://site/ejbca/publicweb/webdist/certdist?cmd=revoked&issuer=%3Cscript%3Ealert(document.cookie)%3C/script%3E&serno=1

Brute Force:

http://site/ejbca/enrol/browser.jsp

http://site/ejbca/enrol/server.jsp

http://site/ejbca/enrol/keystore.jsp

http://site/ejbca/enrol/cvcert.jsp

Abuse of Functionality:

У вищезгаданих чотирьох фунціоналах можливий підбор логінів. В даних формах виводяться різні повідомлення при коректному і некоректному логіні, що дозволяє виявити логіни користувачів.

Уразливі EJBCA 4.0.7 та попередні версії. Розробники виправили дану XSS уразливість в новій версії EJBCA 4.0.8, що вийшла 09.02.2012, але при цьому вони не стали виправляти BF і AoF уразливості, вважаючи, що вони низького ризику. Але я порадив їм виправити їх також.

У лютому, 23.02.2012, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://tools.pingdom.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://tools.pingdom.com/fpt/#!/http://google.com

http://tools.pingdom.com/ping/?target=http://google.com&o=2

Дані функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до першого функціоналу призведе до багатьох запитів до цільового сайта (тому що завантажується сторінка веб сайта і всі ресурси з цієї сторінки), а до другого функціоналу - до п’яти запитів до цільового сервера.

Insufficient Anti-automation:

В даних функціоналах немає захисту від автоматизованих запитів (капчі).

В даній добірці уразливості в веб додатках:

• Citrix Provisioning Services Stream Service 0×40020006 Remote Code Execution Vulnerability (деталі)
• KaiBB 2.0.1 XSS and SQL Injection vulnerabilities (деталі)
• Related POC for JCE Joomla Extension (деталі)
• ZOHO ManageEngine ADSelfService Plus Administrative Access (деталі)
• Google App Enging SDK Code Execution Vulnerability (деталі)
• Citrix Provisioning Services Stream Service 0×40020000 Remote Code Execution Vulnerability (деталі)
• LedgerSMB 1.3.0 released, includes anti-XSRF framework (деталі)
• Multiple vulnerabilities in BugFree (деталі)
• Destination Search Admin Console Access Control Bypass (деталі)
• SQL injection vulnerability in BoonEx Dolphin (деталі)

В даній добірці уразливості в веб додатках:

• HP Business Availability Center (BAC) and Business Service Management (BSM), Remote Unauthorized Access to Sensitive Information (деталі)
• SonicWall Viewpoint v6.0 SP2 - SQL Injection Vulnerability (деталі)
• Phorum 5.2.18 Cross-site scripting vulnerability (деталі)
• Netvolution referer header SQL injection vulnerability (деталі)
• Elastix PBX Extensions Enumeration (деталі)
• EMC SourceOne Web Search Sensitive Information Disclosure Vulnerability (деталі)
• Joomla Component (com_sgicatalog) <= SQL Injection Vulnerability (деталі)
• Active CMS 1.2.0 ‘mod’ Cross-site Scripting Vulnerability (деталі)
• Contao 2.10.1 Cross-site scripting vulnerability (деталі)
• openEngine 2.0 ‘key’ Blind SQL Injection vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• HP StorageWorks Modular Smart Array P2000 G3, Remote Execution of Arbitrary Code (деталі)
• openEngine 2.0 ‘id’ Blind SQL Injection vulnerability (деталі)
• Bitweaver 2.8.1 Multiple Cross-site Scripting Vulnerabilities (деталі)
• European Security Services GPS v1.0 - Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in Traq (деталі)
• (0Day) HP StorageWorks P2000 G3 Directory Traversal and Default Account Vulnerabilities (деталі)
• Joomla! 1.7.0 | Multiple Cross Site Scripting (XSS) Vulnerabilities (деталі)
• SQL injection vulnerability in ATCOM Netvolution (деталі)
• vTiger CRM 5.2.x <= Remote Code Execution Vulnerability (деталі)
• vTiger CRM 5.2.x <= Multiple Cross Site Scripting Vulnerabilities (деталі)

27.04.2009

У листопаді, 19.11.2008, після попередніх уразливостей Webglimpse, я знайшов Brute Force та Cross-Site Scripting уразливості в Webglimpse. Це локальна пошукова система. Дірки виявив на офіційному сайті системи http://webglimpse.net.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.02.2012

Brute Force:

http://site/wgarcmin.cgi

Відсутність захисту від Brute Force атак може використовуватися для отримання доступу до адмінки. Причому можна підібрати логін і пароль до акаунту гостя (якщо вони не оприлюднені публічно), що може бути легше, ніж до акаунту адміна, а потім використати раніше згадані Directory Traversal і Authorization bypass уразливості, щоб отримати доступ до акаунту адміна.

XSS:

http://site/wgarcmin.cgi?URL2FIL=URL+2+File+--%3E&URL=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&NEXTPAGE=T
http://site/wgarcmin.cgi?FIL2URL=%3C--+File+2+URL&FILE=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&NEXTPAGE=T
http://site/wgarcmin.cgi?DOMAIN=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&NEXTPAGE=T

Уразливі Webglimpse 2.18.8 та попередні версії. Перевірялося в Webglimpse 2.18.7 та 2.18.8, остання версія 2.20.0 також повинна бути вразлива.

В даній добірці уразливості в веб додатках:

• MailEnable webmail cross-site scripting vulnerability (деталі)
• Serendipity freetag plugin ’serendipity[tagview]’ Cross-Site Scripting vulnerability (деталі)
• AdaptCMS 2.0.1 Multiple security vulnerabilities (деталі)
• SQL injection vulnerability in Flynax Classifieds products (деталі)
• Multiple vulnerability in “Omnidocs” (деталі)
• Пошкодження пам’яти в win32k.sys Microsoft Windows (через Safari) (деталі)
• Advanced Electron Forums (AEF) 1.0.9 <= Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• XSS Vulnerabilities in TWiki < 5.1.0 (деталі)
• Multiple vulnerabilities in Help Desk Software (деталі)
• Patch Notification: ImpressPages CMS Remote code execution (деталі)