Websecurity - Веб безпека

03.11.2011

У вересні, 12.09.2011, під час аудиту сайта свого клієнта, я знайшов Content Spoofing та Cross-Site Scripting уразливості в Zeema CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Zeema CMS. Це третя частина з великої кількості уразливостей знайдених в даній CMS. Всім користувачам даної системи вельми рекомендується провести аудит безпеки власних сайтів.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

17.12.2011

Content Spoofing:

У зв’язку з можливістю прямого звертання до скрипта http://site/counter/counter.php з підробкою параметра ref і заголовка Referer, можна маніпулювати статистикою (з метою підробки реферерів, SEO спама, malware спама і засмічення і перекручування статистики).

Причому, якщо модуль статистики був відключений, то для проведення CS та XSS атак це можна обійти через пряме звернення до скрипта counter.php.

XSS (persistent):

При запитах до зовнішніх сторінок сайта в полі Referer недостатньо перевіряються вхідні дані, що дозволяє провести Persistent XSS атаку. Код виконається на різних сторінках статистики.

При відвідуванні будь-якої зовнішньої сторінки сайта відправити наступне значення заголовка Referer:

Referer: http://site.com/?<script>alert(document.cookie)</script>

При запитах до counter.php недостатньо перевіряються вхідні дані (у параметрі ref), що дозволяє провести Persistent XSS атаку. Код виконається на різних сторінках статистики.

http://site/counter/counter.php?site=counter&screen=1024x768&color=32&ref=http://site.com/?%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

З вказанням заголовка Referer (будь-який URL):

Referer: http://site.com

При запитах до counter.php недостатньо перевіряються вхідні дані (у полі Referer), що дозволяє провести Persistent XSS атаку. Код виконається на різних сторінках статистики.

http://site.com/counter/counter.php?site=counter&screen=1024x768&color=32&ref=http://site.com

З вказанням заголовка Referer:

Referer: http://site.com/?<script>alert(document.cookie)</script>

Уразливі всі версії Zeema CMS. В даній системі є багато інших уразливостей, про які розробники були сповіщені ще у вересні, після завершення аудиту.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Alert-before-your-post, Adminimize та ClickDesk Live Support - Live Chat. Для котрих з’явилися експлоіти. Alert-before-your-post - це плагін для підтвердження перед публікацією, Adminimize - це плагін для налаштування інтерфейсу адмінки, ClickDesk Live Support - Live Chat - це плагін для створення створення чату “живої технічної підтримки”.

• Wordpress alert-before-your-post Plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress adminimize Plugin Vulnerabilities (деталі)
• Wordpress clickdesk-live-support-chat plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Cisco TelePresence System Integrator C Series and Cisco TelePresence EX Series Device Default Root Account Manufacturing Error (деталі)
• Mambo CMS 4.6.x (4.6.5) | Multiple Cross Site Scripting Vulnerabilities (деталі)
• Multiple vulnerabilities in Open-Realty (деталі)
• XSS in FlatPress (деталі)
• iGuard Biometric Access Control - Multiple Vulnerabilities (деталі)
• Spring Source OXM Remote OS Command Injection when XStream and IBM JRE are used (деталі)
• Multiple Cross-Site Scripting vulnerabilities in WebCalendar (деталі)
• Cross-Site Scripting vulnerabilities in HP Network Node Manager i 9.10 (деталі)
• Joomla! 1.6.3 and lower | Multiple Cross Site Scripting (XSS) Vulnerabilities (деталі)
• FCKeditor Multiple 0day Vulnerabilities (деталі)

24.08.2010

У березні, 06.03.2010, я знайшов Information Leakage, Cross-Site Scripting та Brute Force уразливості на сайті Укртелекома. В даному випадку це сайт Служби 109 Укртелекома. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.kyiv.ukrtelecom.ua (де мав витік інформації в Службі 109).

Детальна інформація про уразливості з’явиться пізніше.

15.12.2011

Information Leakage:

http://213.179.244.14:8080/status
http://213.179.244.14:8080/status?full=true

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Brute Force:

http://213.179.244.14:8080/jmx-console/
http://213.179.244.14:8080/web-console/
http://213.179.244.14:8080/jbossws/ (пароль не встановлено)

Якщо Information Leakage вже виправлені, то XSS та BF уразливості так досі й не виправлені. При цьому на сайті є ще багато інших уразливостей.

В даній добірці уразливості в веб додатках:

• OpenLDAP vulnerability (деталі)
• Multiple XSS & Local File Inclusion in Free Simple CMS (деталі)
• Multiple XSS & CSRF (Cross-Site Request Forgery) in miniblog (деталі)
• KDC denial of service vulnerabilities (деталі)
• Multiple XSS in N-13 News (деталі)
• Multiple Vulnerabilities in e107 (деталі)
• proftpd-dfsg security update (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in Nagios and Icinga (деталі)
• Cross-site scripting (XSS) vulnerability in Nagios (деталі)
• XSS in FanUpdate (деталі)

29.10.2011

У липні, 30.07.2011, я знайшов Brute Force, Cross-Site Scripting, Insufficient Anti-automation та Cross-Site Request Forgery уразливості в poMMo. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в poMMo.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

13.12.2011

Brute Force:

http://site/pommo/index.php

XSS:

http://site/pommo/index.php?referer=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Insufficient Anti-automation:

Має місце IAA в функції “Forgot your password” на сторінці http://site/pommo/index.php.

Використовується текстова капча (яку легко обійти з використанням відповідного алгоритму, або можна використати значення правильної відповіді в параметрі realdeal, що створюється JS-кодом). А також має місце витік емайла адміна.

CSRF/IAA:

Або можна слати запит на пряму до pending.php:

http://site/pommo/user/pending.php?input=a:2:{s:7:%22adminID%22;b:1;s:5:%22Email%22;s:7:%221@1.com%22;}

Немає захисту від автоматизованих запитів та CSRF (капчі). Що дозволяє автоматизовано розсилати листи з підтвердженням на емайл адміна. А також використовувати дану уразливість для проведення XSS атаки.

Уразливі всі версії poMMo (poMMo Aardvark PR16.1 та попередні версії).

Ще влітку 2007 року, 01.08.2007, я знайшов Cross-Site Scripting уразливість на сайті http://translate.meta.ua (а сьогодні я виявив нові уразливості). Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на meta.ua.

XSS:

POST запит на сторінці http://translate.meta.ua в полі “Исходный текст”.

Якщо раніше в них на сайті я виявив одну дірку, то сьогодні, як я перевірив, вони її вже виправили, але додали натомість багато нових дірок .

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий

Причому дана DOM based XSS має місце на всіх сторінках сайта. Про такі випадки я вже писав в статті Уразливості, що мають місце на всьому сайті.

Дані уразливості так досі й висять на сайті (тривалий час). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

В даній добірці уразливості в веб додатках:

• SAP NetWeaver SPML - XML CSRF user creation (деталі)
• Cross-site scripting (XSS) vulnerability in Webmin (деталі)
• redmine security update (деталі)
• SAP NetWeaver - Authentication bypass (Verb Tampering) (деталі)
• movabletype-opensource security update (деталі)
• myBloggie 2.1.6 SQL-Injection, Advanced INSERT INTO Injection technique (деталі)
• Javascript Injection in Microsoft Lync 4.0.7577.0 (деталі)
• JFreeChart - Path Disclosure vulnerability (деталі)
• EQDKP plus Cross Site Scripting and Bypass file extension (деталі)
• moodle security update (деталі)

19.10.2011

У липні, 11.07.2011, я знайшов Cross-Site Scripting та Brute Force уразливості на http://incom.ua - сайті секюріті компанії Інком. Про що вже попередньо повідомляв представникам компанії (але вони забили на ці дірки) і найближчим часом детально сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Що цікаво, деякий час тому Інком завершив PCI DSS аудит сайта Альфа-Банка. При тому, що я ще торік знайшов численні дірки на www.alfabank.com.ua, про які неодноразово повідомляв представникам банка, але ні в минулому році, ні в цьому, вони так і не спромоглися виправити жодної дірки. Зате знайшли кошти на PCI DSS аудит . Зазначу, що навіть якщо вони виправлять дірки (виявлені в рамках PCI DSS аудиту) в своєму онлайн-банкінгу, все рівно залишиться можливість атак через головний домен, на якому багато уразливостей.

10.12.2011

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Brute Force:

http://incom.ua/administrator/

Дані уразливості досі не виправлені. Використавши Джумлу дирумлу на своєму сайті й при цьому не виправивши дірок в ній, Інком отримав чимало дірок (ці та інші уразливості). І встановлення WAF не виправило ситуації повністю, так як його, при бажанні, можна обійти, що я показав на прикладі цих двох дірок.

У листопаді, 17.11.2011, я виявив численні уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router). Це Predictable Resource Location, Brute Force та Cross-Site Request Forgery уразливості. Це другий advisory з серії записів про уразливості в продуктах D-Link. Попередній був про уразливості в D-Link DSL-500T ADSL Router.

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою.

Predictable Resource Location:

http://192.168.0.50

Адмінка модема розміщується по дефолтному шляху з дефолтним логіном і паролем (admin:admin). Що дозволяє локальним користувачам (що мають доступ до ПК, або по LAN), а також віддаленим користувачам через Інтернет (через CSRF, в тому числі з використанням нищезгаданої CSRF атаки) отримувати доступ до адмінки і змінювати налаштування модема.

Дефолтні вищезгадані налаштування - це звичайна практика у виробників ADSL роутерів та інших мережевих пристроїв, але D-Link в нових своїх пристроях почав змінювати цю ситуацію.

Для захисту від проблем з дефолтним паролем, D-Link зробили в адмінці наступне: при першому заході в адмінку обов’язково потрібно змінити пароль. Тобто перед тим як почати змінювати налаштування, потрібно буде змінити пароль по замовчуванню. І подібний підхід потрібно використовувати всім виробникам мережевих пристроїв. Але Windows-додаток для конфігурування пристрою, що постачається на CD, не змінює пароля, лише змінює інші налаштування точки доступа. Таким чином можна налаштувати пристрій, при цьому залишивши дефолтний пароль, що залишить пристрій вразливим до атак.

Brute Force:

В формі логіна http://192.168.0.50 немає захисту від Brute Force атак. Що дозволить підбирати пароль (якщо він змінений з дефолтного), зокрема при локальній атаці. Наприклад, по LAN зловмисні користувачі або вірус на одному з комп’ютерів може провести атаку для підбору паролю, якщо він був змінений.

CSRF:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF уразливості в панелі керування, про які я розповім згодом.