Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Trend Micro Control Manager CasLogDirectInsertHandler.cs Remote Code Execution Vulnerability (деталі)
• Zones Web Solution (index.php?manufacturers_id) Remote SQL injection Vulnerability (деталі)
• Funnel Web (items.php?&cat_id) Remote SQL injection Vulnerability (деталі)
• pango 1.0 security update (деталі)
• Funnel Web (directory.php?cid) Remote SQL injection Vulnerability (деталі)
• Funnel Web (selected_product.php?t) Remote SQL injection Vulnerability (деталі)
• HP StorageWorks P4000 Virtual SAN Appliance, Execution of Arbitrary Code (деталі)
• iPhotoAlbum v1.1 (header.php) Remote File Include Vulnerability (деталі)
• Softerra Time-Assistant <= 6.2 (inc_dir) Remote File Inclusion Vulnerability (деталі)
• DrakeCMS multiple vulerabilities (деталі)

У листопаді, 28.11.2008, я знайшов Cross-Site Scripting та Redirector уразливості на сайті http://img.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на translate.meta.ua.

XSS (Strictly social XSS):

• alert(document.cookie)

Redirector (URL Redirector Abuse):

http://img.meta.ua/mclick.asp?go=http://websecurity.com.ua

Про цей редиректор я вже писав в 2009 році.

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у листопаді 2008 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

У грудні, 10.12.2011, я знайшов Certificate Spoofing уразливість в браузері Google Chrome для Android. Яку я виявив на своєму планшеті з Android 2.3.3. Про що вже сповістив розробників.

Можна викрадати сертифікати від інших сайтів через iframe. Тому я назвав атаку Certificate Stealing. Причому це можна робити не тільки для https, але й для http сайтів. Як видно з моїх скріншотів, http сайт (мій) отримав сертифікат від https сайта (Google).

PoC скріншоти:

Google Chrome for Android-1.jpg
Google Chrome for Android-2.jpg
Google Chrome for Android-3.jpg
Google Chrome for Android-4.jpg
Google Chrome for Android-5.jpg

№1 - Відкрити веб сайт з iframe, що вказує на інший сайт.
№2 - Вибрати Page info в контекстному меню.
№3 - В вікні буде кнопка “View certificate”, якої там бути не повинно, тому що це http сайт.
№4, №5 - Поточний сайт має валідний сертифікат іншого сайта.

Уразливі Google Chrome для Android 2.3.3 та попередні версії (та потенційно наступні версії).

В даній добірці уразливості в веб додатках:

• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Disclosure of Information (деталі)
• Symantec Web Gateway forget.php SQL Injection Vulnerability (деталі)
• phpMyAdmin 3.x Multiple Remote Code Executions (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• phpMyAdmin 3.x preg_replace RCE POC (деталі)
• Tugux CMS 1.2 Multiple vulnerability (BLIND sql & xss) (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)
• Chyrp input sanitization errors (деталі)
• mapserver security update (деталі)
• PHP-Barcode 0.3pl1 Remote Code Execution (деталі)

Продовжуючи тему уразливостей в D-Link DSL-500T, розповім вам про нові уразливості в даному роутері. На цьому тижні я виявив численні Cross-Site Request Forgery, Directory Traversal та Authentication Bypass уразливості в ADSL модемі D-Link DSL-500T ADSL Router. Це п’ятий advisory з серії записів про уразливості в продуктах D-Link. Попередні були про уразливості в DSL-500T ADSL Router та DAP 1150.

Уразлива версія D-Link DSL-500T, Firmware V1.00B02T02.RU.20050223. Дана модель з іншими прошивками також вразлива, а також можуть бути вразливими інші моделі роутерів від D-Link.

CSRF:

Весь функціонал адмінки роутера має CSRF уразливості. Наприклад, наступний CSRF-запит дозволяє змінити логін і пароль адміністратора.

D-Link DSL-500T CSRF.html

Всі інші функції в панелі адміністратора також уразливості до CSRF. А якщо використати XSS і DT, то можна буде віддалено зчитувати довільні файли з роутера.

Directory Traversal:

В 2006 році в інших моделях роутерів D-Link була знайдена DT уразливість (CVE-2006-2337). Яка також є в цій моделі, як я перевірив (але на відміну від опису DT в інших моделях, в моїй моделі необхідна аутентифікація).

http://192.168.1.1/cgi-bin/webcm?getpage=/etc/passwd
http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow

Можна зчитувати довільні файли роутера. Але працює дана уразливість тільки після аутентифікації.

Authentication Bypass:

В 2005 році в інших моделях роутерів D-Link була знайдена AB уразливість (CVE-2005-1680). Яка також є в цій моделі, як я перевірив.

Можна без аутентифікації посилати команди додатку firmwarecfg. Що дозволить, наприклад, отримати файл конфігурації з логіном і паролем адміністратора. Для отримання доступу до адмінки.

03.11.2011

У вересні, 12.09.2011, під час аудиту сайта свого клієнта, я знайшов Content Spoofing та Cross-Site Scripting уразливості в Zeema CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Zeema CMS. Це третя частина з великої кількості уразливостей знайдених в даній CMS. Всім користувачам даної системи вельми рекомендується провести аудит безпеки власних сайтів.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

17.12.2011

Content Spoofing:

У зв’язку з можливістю прямого звертання до скрипта http://site/counter/counter.php з підробкою параметра ref і заголовка Referer, можна маніпулювати статистикою (з метою підробки реферерів, SEO спама, malware спама і засмічення і перекручування статистики).

Причому, якщо модуль статистики був відключений, то для проведення CS та XSS атак це можна обійти через пряме звернення до скрипта counter.php.

XSS (persistent):

При запитах до зовнішніх сторінок сайта в полі Referer недостатньо перевіряються вхідні дані, що дозволяє провести Persistent XSS атаку. Код виконається на різних сторінках статистики.

При відвідуванні будь-якої зовнішньої сторінки сайта відправити наступне значення заголовка Referer:

Referer: http://site.com/?<script>alert(document.cookie)</script>

При запитах до counter.php недостатньо перевіряються вхідні дані (у параметрі ref), що дозволяє провести Persistent XSS атаку. Код виконається на різних сторінках статистики.

http://site/counter/counter.php?site=counter&screen=1024x768&color=32&ref=http://site.com/?%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

З вказанням заголовка Referer (будь-який URL):

Referer: http://site.com

При запитах до counter.php недостатньо перевіряються вхідні дані (у полі Referer), що дозволяє провести Persistent XSS атаку. Код виконається на різних сторінках статистики.

http://site.com/counter/counter.php?site=counter&screen=1024x768&color=32&ref=http://site.com

З вказанням заголовка Referer:

Referer: http://site.com/?<script>alert(document.cookie)</script>

Уразливі всі версії Zeema CMS. В даній системі є багато інших уразливостей, про які розробники були сповіщені ще у вересні, після завершення аудиту.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Alert-before-your-post, Adminimize та ClickDesk Live Support - Live Chat. Для котрих з’явилися експлоіти. Alert-before-your-post - це плагін для підтвердження перед публікацією, Adminimize - це плагін для налаштування інтерфейсу адмінки, ClickDesk Live Support - Live Chat - це плагін для створення створення чату “живої технічної підтримки”.

• Wordpress alert-before-your-post Plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress adminimize Plugin Vulnerabilities (деталі)
• Wordpress clickdesk-live-support-chat plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Cisco TelePresence System Integrator C Series and Cisco TelePresence EX Series Device Default Root Account Manufacturing Error (деталі)
• Mambo CMS 4.6.x (4.6.5) | Multiple Cross Site Scripting Vulnerabilities (деталі)
• Multiple vulnerabilities in Open-Realty (деталі)
• XSS in FlatPress (деталі)
• iGuard Biometric Access Control - Multiple Vulnerabilities (деталі)
• Spring Source OXM Remote OS Command Injection when XStream and IBM JRE are used (деталі)
• Multiple Cross-Site Scripting vulnerabilities in WebCalendar (деталі)
• Cross-Site Scripting vulnerabilities in HP Network Node Manager i 9.10 (деталі)
• Joomla! 1.6.3 and lower | Multiple Cross Site Scripting (XSS) Vulnerabilities (деталі)
• FCKeditor Multiple 0day Vulnerabilities (деталі)

24.08.2010

У березні, 06.03.2010, я знайшов Information Leakage, Cross-Site Scripting та Brute Force уразливості на сайті Укртелекома. В даному випадку це сайт Служби 109 Укртелекома. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.kyiv.ukrtelecom.ua (де мав витік інформації в Службі 109).

Детальна інформація про уразливості з’явиться пізніше.

15.12.2011

Information Leakage:

http://213.179.244.14:8080/status
http://213.179.244.14:8080/status?full=true

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Brute Force:

http://213.179.244.14:8080/jmx-console/
http://213.179.244.14:8080/web-console/
http://213.179.244.14:8080/jbossws/ (пароль не встановлено)

Якщо Information Leakage вже виправлені, то XSS та BF уразливості так досі й не виправлені. При цьому на сайті є ще багато інших уразливостей.

В даній добірці уразливості в веб додатках:

• OpenLDAP vulnerability (деталі)
• Multiple XSS & Local File Inclusion in Free Simple CMS (деталі)
• Multiple XSS & CSRF (Cross-Site Request Forgery) in miniblog (деталі)
• KDC denial of service vulnerabilities (деталі)
• Multiple XSS in N-13 News (деталі)
• Multiple Vulnerabilities in e107 (деталі)
• proftpd-dfsg security update (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in Nagios and Icinga (деталі)
• Cross-site scripting (XSS) vulnerability in Nagios (деталі)
• XSS in FanUpdate (деталі)