Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP Business Service Automation (BSA) Essentials, Remote Execution of Arbitrary Code (деталі)
• Path disclosure in Plogger (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Denial of Service (DoS), Unauthorized Disclosure of Information, Unauthorized Modification (деталі)
• Multiple Path disclosure in WebsiteBaker (деталі)
• Vulnerabilities in Sunway ForceControl 6.1 sp3 (SCADA) (деталі)
• Multiple SQL Injections in WebsiteBaker (деталі)
• Opera Mobile Cache Poisoning XAS (деталі)
• XSS vulnerabilities in phpAlbum.net (деталі)
• Dolphin Browser HD Cross-Application Scripting (деталі)
• XSRF (CSRF) in phpAlbum.net (деталі)

17.08.2011

У липні, 30.07.2011, я знайшов Information Leakage, Insufficient Anti-automation та Abuse of Functionality уразливості в poMMo. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в poMMo.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

04.11.2011

Information Leakage:

Після введення емайлу на subscribe.php, на сторінці http://site/pommo/user/process.php виводиться pending_code (в якості дебаг інформації), який висилається на емайл і який потрібно вказати на confirm.php, що дозволяє пройти підтвердження реєстрації. Що може бути використано для підписки довільних емайлів.

Insufficient Anti-automation:

http://site/pommo/user/confirm.php?code=32456bdc42bf333c7cf842924aabeba8

Із-за відсутності захисту від автоматизованих запитів (капчі) на даній сторінці, з врахуванням IAA на subscribe.php та IL на process.php, можна автоматизовано підписувати людей на розсилку.

Abuse of Functionality:

За допомогою даних уразливостей можна проводити e-mail (login) enumeration атаку, при цьому для аутентифікації користувачів використовується лише логін (без пароля). А також використовувати емайли для спам-цілей.

http://site/pommo/user/update.php?email=1@1.com

При вказанні емайла (що є логіном), який не є в базі підписчиків, відбувається редирект, а якщо він є в базі, то виводиться повідомлення про невірний код.

http://site/pommo/user/activate.php?email=1@1.com

При вказанні емайла (що є логіном), який не є в базі підписчиків, відбувається редирект, а якщо він є в базі, то виводиться повідомлення, що на даний емайл вже висланий лист.

Уразливі всі версії poMMo (poMMo Aardvark PR16.1 та попередні версії).

В даній добірці уразливості в веб додатках:

• KnFTPd v1.0.0 Multiple Command Remote Buffer Overflow (деталі)
• Arbitary File Upload Vulnerability in Elxis CMS component eForum v1.1 (деталі)
• Open Query Interface in Cisco Unified Communications Manager and Cisco Unified Presence Server (деталі)
• ikiwiki security update (деталі)
• Gadu-Gadu 0-Day Remote Code Execution (деталі)
• CSRF (Cross-Site Request Forgery) in Webjaxe (деталі)
• Useless OpenSSH resources exhausion bug via GSSAPI (деталі)
• Multiple XSS in WebCalendar (деталі)
• XSS vulnerability in FortiMail Messaging Security Appliance (деталі)
• XSS vulnerability in Plogger (деталі)

В даній добірці уразливості в веб додатках:

• RSA, The Security Division of EMC, announces security fixes for RSA enVision (деталі)
• Directory Traversal Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Complete-Modules Package) (деталі)
• NetSaro Enterprise Messenger Server Administration Console Source Code Disclosure (деталі)
• XSS Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Master-cPanel Package) (деталі)
• Pidgin IM Insecure URL Handling Remote Code Execution (деталі)
• LFI Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Master-cPanel Package) (деталі)
• RealNetworks Realplayer QCP Parsing Remote Code Execution Vulnerability (деталі)
• joomlacontenteditor (com_jce) BLIND sql injection vulnerability (деталі)
• RealNetworks, Inc. Releases Update to Address Security Vulnerabilities (деталі)
• XSRF (CSRF) in phpCollab (деталі)

13.06.2011

У квітні, 10.04.2011, я знайшов Cross-Site Scripting уразливості на http://www.barracudacentral.org - сайті секюріті компанії Barracuda Networks. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.barracudacentral.org. Що цікаво, дана компанія випускає Barracuda WAF, але він не допоміг їй ні проти цих, ні проти попередніх дірок .

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.11.2011

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• HP webOS Calendar Application, Remote Execution of Arbitrary Code (деталі)
• LFI Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Complete-Modules Package) (деталі)
• HP webOS Contacts Application, Remote Execution of Arbitrary Code (деталі)
• Multiple XSS in Viscacha (деталі)
• Symantec Veritas Storage Foundation vxsvc.exe Value Unpacking Integer Overflow Remote Code Execution Vulnerability (деталі)
• Path disclosure in Viscacha (деталі)
• Symantec Veritas Storage Foundation vxsvc.exe ASCII String Unpacking Remote Code Execution Vulnerability (деталі)
• Path disclosure in phpCollab (деталі)
• Symantec Veritas Storage Foundation vxsvc.exe Unicode String Parsing Remote Code Execution Vulnerability (деталі)
• XSS vulnerabilities in phpCollab (деталі)

Ще 15.10.2008 я знайшов Cross-Site Scripting уразливість в WordPress. І після публікації статті про Виключно соціальний XSS, до якої має відношення ця дірка, я публікую дану інформацію.

В WordPress має місце Cross-Site Scripting уразливість, в даному випадку Strictly social XSS. Причому одразу двох типів цього класу XSS: Strictly social XSS persistent (лінка з JavaScript/VBScript) та Strictly social XSS persistent self-contained (лінка з data з JavaScript). Тобто при бажанні цю дірку можна розбити на дві дірки. Це хороший приклад цих двох різновидів Strictly social XSS уразливостей.

XSS:

В полі коментарю (параметр comment):

<a href="javascript:alert(document.cookie)">test</a>
<a href="vbscript:MsgBox(document.cookie)">test</a>
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+">test</a>

Атака спрацює лише, якщо коментар опублікував адмін, а не незалогінений відвідувач. Для чого можна використати CSRF уразливість в WordPress <= 2.1.2. В описі даної уразливості ciri розповів про persistent XSS (що працювала разом з CSRF), а я веду мову про Strictly social XSS. В нових версіях WP, де присутній захист від CSRF, можна використати reflected XSS дірку (або ж використати інші техніки розроблені мною) для обходу цього захисту та публікації коментаря з атакуючим кодом.

В WordPress 2.0.10 та 2.1.3 розробники вже виправили CSRF, але можливість проведення Strictly social XSS (через anchor тег) все ще залишилася навіть в останній версії WP. Розробники не стали прибирати цей функціонал адміна, для повного виправлення XSS, обмежившись виправленням CSRF. Тому як вищезгадана persistent XSS, так і знайдена мною Strictly social XSS, все ще працюють.

Відмінність WP 3.x від попередніх версій в тому, що в адмінці (на сторінці edit-comments.php) код з коментарю прибирається (чого не робилося в старих версіях) і атака лише можлива на самій сторінці з коментарем. Для автоматизації запуску коду (після того як він буде розміщений) через Strictly social XSS уразливість можна скористатися технікою ClickJacking, причому атакувати можна не тільки адміна, але й будь-яких користувачів та відвідувачів сайта.

Уразливі всі версії WordPress - WP 3.2.1 та попередні версії. Тестував в різних 2.0.x версіях, включно з 2.0.11, та в 3.1.1.

В даній добірці уразливості в веб додатках:

• Cross-Site Scripting (XSS) in Microsoft ReportViewer Controls (деталі)
• Sonexis ConferenceManager Multiple Cross-site Scripting (XSS) Vulnerabilities (деталі)
• Microsoft Security Bulletin MS11-067 - Important Vulnerability in Microsoft Report Viewer Could Allow Information Disclosure (2578230) (деталі)
• phplist: cross site request forgery (CSRF) (деталі)
• HP ProLiant SL Advanced Power Manager (SL-APM), Remote User Validation Failure (деталі)
• XSS Vulnerabilities in 1024cms Admin Control Panel v1.1.0 Beta (деталі)
• Nortel Media Application Server cstore.exe cs_anams Remote Code Execution Vulnerability (деталі)
• Path disclosure in Joomla (деталі)
• RSA, The Security Division of EMC, releases Security Patch for Adaptive Authentication (On-Premise) (деталі)
• SQL Injection in Viscacha (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах GRAND Flash Album Gallery, Pretty Link та BackWPUp. Для котрих з’явилися експлоіти. GRAND Flash Album Gallery - це плагін для створення фото галерей, Pretty Link - це плагін для створення редиректорів на власному сайті (подібно до сервісів редирекції), BackWPup - це плагін для створення бекапів бази даних та файлів WP.

• File Content Disclosure in GRAND Flash Album Gallery wordpress plugin (деталі)
• Multiple vulnerabilities in Pretty Link WordPress Plugin (деталі)
• WordPress Plugin BackWPUp 2.1.4 - Security Advisory (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Cisco TelePresence Recording Server Default Credentials for Root Account Vulnerability (деталі)
• Multiple SQL Injections in Eleanor CMS (деталі)
• (0day) FlexNet License Server Manager lmadmin Remote Code Execution Vulnerability (деталі)
• XSS in Eleanor CMS (деталі)
• Android Browser Cross-Application Scripting (деталі)
• XSS Vulnerability in Redmine 1.0.1 to 1.1.1 (деталі)
• Microsoft Security Bulletin MS11-061 - Important Vulnerability in Remote Desktop Web Access Could Allow Elevation of Privilege (деталі)
• StartSite.ir Cross-site Scripting Vulnerability (деталі)
• HP OpenView Performance Insight, Remote HTML Injection, Unauthorized Access (деталі)
• Sonexis ConferenceManager SQL Injection (деталі)