Websecurity - Веб безпека

21.09.2011

У червні, 30.06.2011, я знайшов нові уразливості в Adobe ColdFusion, зокрема Information Leakage, Denial of Service та Full path disclosure. Які я виявив на багатьох сайтах, що використовують ColdFusion. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про XSS та FPD уразливості в Adobe ColdFusion.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

14.11.2011

Information Leakage:

http://site/CFIDE/componentutils/packagelist.cfm

Витік списку всіх компонентів встановлених на сервері та шляхів до них.

DoS:

http://site/CFIDE/componentutils/packagelist.cfm?refreshCache=yes

При даному запиті відбувається оновлення кешу компонентів, що призводить до навантаження на сервер, якщо встановлена велика кількість компонентів.

Full path disclosure:

http://site/CFIDE/adminapi/_datasource/formatjdbcurl.cfm
http://site/CFIDE/adminapi/_datasource/getaccessdefaultsfromregistry.cfm
http://site/CFIDE/adminapi/_datasource/geturldefaults.cfm
http://site/CFIDE/adminapi/_datasource/setdsn.cfm
http://site/CFIDE/adminapi/_datasource/setmsaccessregistry.cfm
http://site/CFIDE/adminapi/_datasource/setsldatasource.cfm
http://site/CFIDE/adminapi/customtags/l10n.cfm
http://site/CFIDE/debug/cf_debugFr.cfm (в тілі сторінки з фреймами)

В адмінці ColdFusion є ще багато FPD.

Уразливі Adobe ColdFusion 9 та попередні версії.

В даній добірці уразливості в веб додатках:

• NETGEAR Wireless Cable Modem Gateway Auth Bypass and CSRF (деталі)
• Arbitrary Command Execution in phpAlbum.net (деталі)
• HP-UX running VEA, Remote Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• The BodgeIt Store - another vulnerable web app (деталі)
• Security Advisories Relating to Symantec Products - Symantec Backup Exec Man-in-The-Middle (деталі)
• Ocomon Multiple SQL Injection (деталі)
• Barracuda Backup v2.0 - Multiple Web Vulnerabilities (деталі)
• XSS in Dalbum (деталі)
• Mutt vulnerability (деталі)
• Multiple XSS in webSPELL (деталі)

30.06.2011

Учора, 29.06.2011, я знайшов численні Denial of Service уразливості на http://www.sophos.com - сайті секюріті компанії Sophos. Що є відомим виробником антивірусних і антиспам продуктів. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.sophos.com. Ця антивірусна компанія не дуже слідкує за безпекою власного сайта.

Детальна інформація про уразливість з’явиться пізніше.

06.11.2011

DoS:

http://www.sophos.com/medialibrary/Images/Content/News%20and%20Trends/Security%20Hubs/Hot%20Topics/trjan11toptencountrieshostingmalware.ashx?w=10000&h=10000
http://www.sophos.com/medialibrary/Images/Content/News%20and%20Trends/Security%20Hubs/Hot%20Topics/enterprise-review/cascadia-labs-trendmicro10.ashx?w=10000&h=10000
http://www.sophos.com/medialibrary/Images/Content/News%20and%20Trends/Security%20Hubs/Hot%20Topics/enterprise-review/cascadia-labs-data-protection.ashx?w=10000&h=10000

Всього таких уразливостей біля 900 на сайті www.sophos.com (судячи по кількості ashx-скриптів в папці /medialibrary/Images/ по даним Google).

При відправці одного такого запиту сайт вже сильно навантажується, а якщо двох і більше запитів, то сайт взагалі підвисає на короткий час (поки сервер згенерує зображення).

Дані уразливості досі не виправлені. Що дуже несерйозно для секюріті компанії й це є типовим для Sophos.

В даній добірці уразливості в веб додатках:

• HP Business Service Automation (BSA) Essentials, Remote Execution of Arbitrary Code (деталі)
• Path disclosure in Plogger (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Denial of Service (DoS), Unauthorized Disclosure of Information, Unauthorized Modification (деталі)
• Multiple Path disclosure in WebsiteBaker (деталі)
• Vulnerabilities in Sunway ForceControl 6.1 sp3 (SCADA) (деталі)
• Multiple SQL Injections in WebsiteBaker (деталі)
• Opera Mobile Cache Poisoning XAS (деталі)
• XSS vulnerabilities in phpAlbum.net (деталі)
• Dolphin Browser HD Cross-Application Scripting (деталі)
• XSRF (CSRF) in phpAlbum.net (деталі)

17.08.2011

У липні, 30.07.2011, я знайшов Information Leakage, Insufficient Anti-automation та Abuse of Functionality уразливості в poMMo. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в poMMo.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

04.11.2011

Information Leakage:

Після введення емайлу на subscribe.php, на сторінці http://site/pommo/user/process.php виводиться pending_code (в якості дебаг інформації), який висилається на емайл і який потрібно вказати на confirm.php, що дозволяє пройти підтвердження реєстрації. Що може бути використано для підписки довільних емайлів.

Insufficient Anti-automation:

http://site/pommo/user/confirm.php?code=32456bdc42bf333c7cf842924aabeba8

Із-за відсутності захисту від автоматизованих запитів (капчі) на даній сторінці, з врахуванням IAA на subscribe.php та IL на process.php, можна автоматизовано підписувати людей на розсилку.

Abuse of Functionality:

За допомогою даних уразливостей можна проводити e-mail (login) enumeration атаку, при цьому для аутентифікації користувачів використовується лише логін (без пароля). А також використовувати емайли для спам-цілей.

http://site/pommo/user/update.php?email=1@1.com

При вказанні емайла (що є логіном), який не є в базі підписчиків, відбувається редирект, а якщо він є в базі, то виводиться повідомлення про невірний код.

http://site/pommo/user/activate.php?email=1@1.com

При вказанні емайла (що є логіном), який не є в базі підписчиків, відбувається редирект, а якщо він є в базі, то виводиться повідомлення, що на даний емайл вже висланий лист.

Уразливі всі версії poMMo (poMMo Aardvark PR16.1 та попередні версії).

В даній добірці уразливості в веб додатках:

• KnFTPd v1.0.0 Multiple Command Remote Buffer Overflow (деталі)
• Arbitary File Upload Vulnerability in Elxis CMS component eForum v1.1 (деталі)
• Open Query Interface in Cisco Unified Communications Manager and Cisco Unified Presence Server (деталі)
• ikiwiki security update (деталі)
• Gadu-Gadu 0-Day Remote Code Execution (деталі)
• CSRF (Cross-Site Request Forgery) in Webjaxe (деталі)
• Useless OpenSSH resources exhausion bug via GSSAPI (деталі)
• Multiple XSS in WebCalendar (деталі)
• XSS vulnerability in FortiMail Messaging Security Appliance (деталі)
• XSS vulnerability in Plogger (деталі)

В даній добірці уразливості в веб додатках:

• RSA, The Security Division of EMC, announces security fixes for RSA enVision (деталі)
• Directory Traversal Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Complete-Modules Package) (деталі)
• NetSaro Enterprise Messenger Server Administration Console Source Code Disclosure (деталі)
• XSS Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Master-cPanel Package) (деталі)
• Pidgin IM Insecure URL Handling Remote Code Execution (деталі)
• LFI Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Master-cPanel Package) (деталі)
• RealNetworks Realplayer QCP Parsing Remote Code Execution Vulnerability (деталі)
• joomlacontenteditor (com_jce) BLIND sql injection vulnerability (деталі)
• RealNetworks, Inc. Releases Update to Address Security Vulnerabilities (деталі)
• XSRF (CSRF) in phpCollab (деталі)

13.06.2011

У квітні, 10.04.2011, я знайшов Cross-Site Scripting уразливості на http://www.barracudacentral.org - сайті секюріті компанії Barracuda Networks. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.barracudacentral.org. Що цікаво, дана компанія випускає Barracuda WAF, але він не допоміг їй ні проти цих, ні проти попередніх дірок .

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.11.2011

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• HP webOS Calendar Application, Remote Execution of Arbitrary Code (деталі)
• LFI Vulnerability in 1024cms Admin Control Panel v1.1.0 Beta (Complete-Modules Package) (деталі)
• HP webOS Contacts Application, Remote Execution of Arbitrary Code (деталі)
• Multiple XSS in Viscacha (деталі)
• Symantec Veritas Storage Foundation vxsvc.exe Value Unpacking Integer Overflow Remote Code Execution Vulnerability (деталі)
• Path disclosure in Viscacha (деталі)
• Symantec Veritas Storage Foundation vxsvc.exe ASCII String Unpacking Remote Code Execution Vulnerability (деталі)
• Path disclosure in phpCollab (деталі)
• Symantec Veritas Storage Foundation vxsvc.exe Unicode String Parsing Remote Code Execution Vulnerability (деталі)
• XSS vulnerabilities in phpCollab (деталі)

Ще 15.10.2008 я знайшов Cross-Site Scripting уразливість в WordPress. І після публікації статті про Виключно соціальний XSS, до якої має відношення ця дірка, я публікую дану інформацію.

В WordPress має місце Cross-Site Scripting уразливість, в даному випадку Strictly social XSS. Причому одразу двох типів цього класу XSS: Strictly social XSS persistent (лінка з JavaScript/VBScript) та Strictly social XSS persistent self-contained (лінка з data з JavaScript). Тобто при бажанні цю дірку можна розбити на дві дірки. Це хороший приклад цих двох різновидів Strictly social XSS уразливостей.

XSS:

В полі коментарю (параметр comment):

<a href="javascript:alert(document.cookie)">test</a>
<a href="vbscript:MsgBox(document.cookie)">test</a>
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+">test</a>

Атака спрацює лише, якщо коментар опублікував адмін, а не незалогінений відвідувач. Для чого можна використати CSRF уразливість в WordPress <= 2.1.2. В описі даної уразливості ciri розповів про persistent XSS (що працювала разом з CSRF), а я веду мову про Strictly social XSS. В нових версіях WP, де присутній захист від CSRF, можна використати reflected XSS дірку (або ж використати інші техніки розроблені мною) для обходу цього захисту та публікації коментаря з атакуючим кодом.

В WordPress 2.0.10 та 2.1.3 розробники вже виправили CSRF, але можливість проведення Strictly social XSS (через anchor тег) все ще залишилася навіть в останній версії WP. Розробники не стали прибирати цей функціонал адміна, для повного виправлення XSS, обмежившись виправленням CSRF. Тому як вищезгадана persistent XSS, так і знайдена мною Strictly social XSS, все ще працюють.

Відмінність WP 3.x від попередніх версій в тому, що в адмінці (на сторінці edit-comments.php) код з коментарю прибирається (чого не робилося в старих версіях) і атака лише можлива на самій сторінці з коментарем. Для автоматизації запуску коду (після того як він буде розміщений) через Strictly social XSS уразливість можна скористатися технікою ClickJacking, причому атакувати можна не тільки адміна, але й будь-яких користувачів та відвідувачів сайта.

Уразливі всі версії WordPress - WP 3.2.1 та попередні версії. Тестував в різних 2.0.x версіях, включно з 2.0.11, та в 3.1.1.