Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Barracuda Spam/Virus WAF 600 - Multiple Web Vulnerabilities (деталі)
• osCSS2 “_ID” parameter Local file inclusion (деталі)
• OrderSys <= 1.6.4 Sql Injection Vulnerabilities (деталі)
• LabStoRe <= 1.5.4 Sql Injection Vulnerabilities (деталі)
• LabWiki <= 1.1 Multiple Vulnerabilities (деталі)
• Численні уразливості безпеки в бібліотеці OpenSSL (деталі)
• Multiple Cross-Site-Scripting vulnerabilities in Dolibarr 3.1.0 (деталі)
• Multiple security vulnerabilities in AShop (деталі)
• Local file inclusion in VtigerCRM (деталі)
• Infoblox NetMRI 6.2.1 Multiple Cross-Site Scripting (XSS) vulnerabilities (деталі)

В WordPress є ще чимало уразливостей, в тому числі тих, які не виправлені до сих пір. І зараз я розповім про три уризливості, дві з яких вже виправлені, а одна має місце навіть в останній версії движка. Це Cross-Site Scripting та Brute Force уразливості WP.

Раніше я вже писав про Brute Force уразливість в WordPress. Нищенаведена BF уразливість є п’ятою Brute Force в WP.

XSS:

В 2007 році я писав про редиректори в WordPress, для яких я випустив патч в MustLive Security Pack v.1.0.5 (і цей патч також захищає від XSS). Тоді дослідники, які знайшли редиректори, не дослідили їх на XSS, тому я вирішив зробити це самостійно.

Через дані редиректори можливі XSS атаки (через data URI):

http://site/wp-login.php?redirect_to=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&action=logout
http://site/wp-pass.php?_wp_http_referer=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location. Розробники виправили редиректори в WP 2.3 (і зробили це приховано, що є типовим для них з 2007 року). Тому Redirector і XSS атаки можливі лише в попередніх версіях.

Brute Force:

Окрім BF через XML-RPC функціонал, також можна підбирати паролі через APP функціонал. На що я звернув увагу, коли 19.03.2012 вирішив оприлюднити BF через XML-RPC і дослідив APP функціонал.

http://site/wp-app.php

Уразливі WordPress 2.3 - 3.3.1.

Починаючи з версії WP 2.3 в движку з’явилася підтримка Atom Publishing Protocol. В даному функціоналі немає захису від BF атак (використовується Basic Authentication). APP функціонал за замовчуванням відключений з версії 2.6, як і XML-RPC.

Розробники WP відключили його разом з XML-RPC (коли відключали останній), тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак. І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати APP, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через APP та від раніше згаданих атак через XML-RPC та на запаролені записи і сторінки.

В даній добірці уразливості в веб додатках:

• Apache mod_authnz_external: SQL injection (деталі)
• Authorization bypass vulnerability in OneOrZero AIMS (деталі)
• simplesamlphp security update (деталі)
• phpLDAPadmin <= 1.2.1.1 (query_engine) Remote PHP Code Injection Exploit (деталі)
• jara 1.6 sql injection vulnerability (деталі)
• Cisco IP Video Phone E20 Default Root Account (деталі)
• Multiple vulnerabilities in Efront (деталі)
• man2html security update (деталі)
• moodle security update (деталі)
• Multiple Vulnerabilities in Merethis Centreon (деталі)

У грудні, 10.12.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://iss.incom.ua - сайті секюріті компанії Інком. Я вже писав про аналогічні уразливості на incom.ua та it-consulting.incom.ua, і такі ж уразливості є на iss.incom.ua та на інших доменах (на різних версіях Джумли). Тому виправляти дані уразливості їм потрібно на всіх своїх сайтах.

Після мого повідомлення адміністраціі сайта стосовно дірок на основному сайті, вони також повинні були зрозуміти, що вони відносяться до всіх їхніх сайтів на Joomla (XSS до версій 1.0.х, а BF до всіх версій).

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://iss.incom.ua/administrator/

Дані уразливості досі не виправлені.

14.12.2011

У жовтні, 26.10.2011, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://prom.ua. Про що найближчим часом сповіщу адміністрацію проекту. Prom.ua - це бізнес-каталог компаній України, але врахуючи те, що товари та послуги компаній з каталогу можна замовити на сайті, то цей сайт в тому числі представляє собою онлайн магазин.

Раніше я вже писав про уразливості на платформі prom.ua, знайдених Dementor-ом.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.03.2012

XSS:

• alert(document.cookie)

Redirector (URL Redirector Abuse):

http://prom.ua/redirect?url=websecurity.com.ua

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• IBM WebSphere Application Server ‘help’ Servlet Plug-in Bundle Directory Traversal (деталі)
• CmyDocument Content Management Application - XSS Vulnerabilities (деталі)
• Serendipity Plugin ‘Karma Ranking’ Multiple Cross-Site Scripting (деталі)
• Serendipity ’serendipity[filter][bp.ALT]’ Cross-Site Scripting vulnerability (деталі)
• XSS and SQL Injection Vulnerabilities on Symphony CMS 2.2.3 (деталі)
• Cisco Digital Media Manager Privilege Escalation Vulnerability (деталі)
• XSS Vulnerabilities in eFront (деталі)
• IBSng all version Cross-Site Scripting Vulnerability (деталі)
• eFront <= 3.6.10 (build 11944) Multiple Security Vulnerabilities (деталі)
• SQL injection vulnerability in OneOrZero AIMS (деталі)

В WordPress є чимало уразливостей, які існують з версії 2.0, а то і з 1.х версій, і які не виправлені до сих пір. Ще одна уразливість, про яку мені відомо вже давно (і багато років я планував про неї написати) - це Brute Force через XML-RPC функціонал в WP.

Раніше я вже писав про уразливості в WordPress - це Full path disclosure, Content Spoofing та Cross-Site Scripting уразливості через TinyMCE та flvPlayer.

Brute Force:

http://site/xmlrpc.php

В даному функціоналі немає захисту від Brute Force атак. При відправці відповідних POST-запитів можна виявити пароль.

Уразливі WordPress 3.3.1 і попередні версії.

Зазначу, что починаючи з WordPress 2.6 XML-RPC функціонал відключений за замовчуванням. Розробники WP зробили це в зв’язку з уразливостями (такими як SQL Injection та іншими), що були виявлені в цьому функціоналі, тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак.

І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати XML-RPC, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Раніше в 2008 та 2010 роках я вже писав про Brute Force уразливості в WordPress і це ще одна подібна уразливість. Окрім них також відомою є BF атака не через форму логіна, а з використанням авторизаційного кукіса (коли підсовуючи різні кукіси можна підібрати пароль).

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через XML-RPC та від раніше згаданої атаки на запаролені записи і сторінки.

В даній добірці уразливості в веб додатках:

• Citrix Provisioning Services streamprocess.exe vDisk Name Parsing Remote Code Execution Vulnerability (деталі)
• Site@School 2.4.10 SQL Injection & XSS vulnerabilities (деталі)
• Dolphin <= 7.0.7 (member_menu_queries.php) Remote PHP Code Injection (деталі)
• Yet Another CMS 1.0 SQL Injection & XSS vulnerabilities (деталі)
• Multiple vulnerabilities in Tine 2.0 (деталі)
• (0Day) HP Diagnostics Server magentservice.exe Remote Code Execution Vulnerability (деталі)
• OCS Inventory NG 2.0.1 Persistent XSS (деталі)
• Metasploit 4.1.0 Web UI stored XSS vulnerability (деталі)
• inCommand Technologies, Inc. Cross-site Scripting Vulnerability (деталі)
• mahara security update (деталі)

01.02.2012

У січні, 17.01.2012, під час аудиту сайта свого клієнта, я знайшов численні уразливості в системі Enterprise Java Beans Certificate Authority (EJBCA), зокрема Cross-Site Scripting, Brute Force та Abuse of Functionality. EJBCA - це PKI сервер. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

10.03.2012

XSS:

http://site/ejbca/publicweb/webdist/certdist?cmd=revoked&issuer=%3Cscript%3Ealert(document.cookie)%3C/script%3E&serno=1

Brute Force:

http://site/ejbca/enrol/browser.jsp

http://site/ejbca/enrol/server.jsp

http://site/ejbca/enrol/keystore.jsp

http://site/ejbca/enrol/cvcert.jsp

Abuse of Functionality:

У вищезгаданих чотирьох фунціоналах можливий підбор логінів. В даних формах виводяться різні повідомлення при коректному і некоректному логіні, що дозволяє виявити логіни користувачів.

Уразливі EJBCA 4.0.7 та попередні версії. Розробники виправили дану XSS уразливість в новій версії EJBCA 4.0.8, що вийшла 09.02.2012, але при цьому вони не стали виправляти BF і AoF уразливості, вважаючи, що вони низького ризику. Але я порадив їм виправити їх також.

У лютому, 23.02.2012, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://tools.pingdom.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://tools.pingdom.com/fpt/#!/http://google.com

http://tools.pingdom.com/ping/?target=http://google.com&o=2

Дані функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до першого функціоналу призведе до багатьох запитів до цільового сайта (тому що завантажується сторінка веб сайта і всі ресурси з цієї сторінки), а до другого функціоналу - до п’яти запитів до цільового сервера.

Insufficient Anti-automation:

В даних функціоналах немає захисту від автоматизованих запитів (капчі).