Websecurity - Веб безпека

06.08.2011

У липні, 30.07.2011, я знайшов Cross-Site Scripting, Brute Force та Insufficient Anti-automation уразливості в poMMo. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

28.10.2011

XSS:

http://site/pommo/user/pending.php?input=a:2:{s:7:%22adminID%22;b:1;s:5:%22Email%22;s:39:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22;}

Спрацює лише після ініціації зміни пароля адміну. Що можна зробити (вручну чи автоматизовано) відправивши перед атакою необхідний CSRF запит до http://site/pommo/user/pending.php, чи використавши IAA уразливість на http://site/pommo/index.php (після чого XSS працює тривалий час).

Brute Force:

http://site/pommo/user/login.php

Можна виявляти емайли підписчиків (що є логінами в акаунт, причому без паролів) і отримувати доступ до їх акаунтів. А також використовувати емайли для спам-цілей.

Insufficient Anti-automation:

http://site/pommo/user/subscribe.php?Email=1@1.com

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Що дозволяє автоматизовано ініціювати процес підписки на емайл (що заспамить дані емайли).

Уразливі всі версії poMMo (poMMo Aardvark PR16.1 та попередні версії).

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in Dlink DPH 150SE/E/F1 (деталі)
• Path disclosure in Tine 2.0 (деталі)
• Security Advisory FreeRADIUS 2.1.11 (деталі)
• XSRF (CSRF) in Feng Office (деталі)
• Security Notice for CA ARCserve D2D (деталі)
• XSRF (CSRF) in Collabtive (деталі)
• Re: CA ARCserve D2D r15 GWT RPC Request Auth Bypass / Credentials (деталі)
• XSS vulnerabilities in Collabtive (деталі)
• CA ARCserve D2D r15 GWT RPC Request Auth Bypass / Credentials Disclosure and Commands Execution (деталі)
• Directory Traversal in Collabtive (деталі)

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Subscribe.ru:

http://redirect.subscribe.ru/1/-/websecurity.com.ua

Yandex.ua (до раніше згаданих численних редиректорів на yandex.ru):

http://mail.yandex.ua/r?url=http://websecurity.com.ua

Prom.ua:

http://prom.ua/redirect?url=websecurity.com.ua

Що цікаво, то після мого оприлюднення в лютому 2009 редиректора на mail.yandex.ru до Яндекса нарешті дійшло, що дані уразливості становлять загрозу і компанія прикрила автоматичні редиректори (як на mail.yandex.ru та mail.yandex.ua). І тепер вони працюють лише в неавтоматичному режимі - користувачу необхідно самому натиснути на лінку.

Звичайно за допомогою соціальної інженерії або Clickjacking цю атаку можна зробити, але вже важче. Тобто по суті дані уразливості на сайтах Яндекса вже не редиректори, а Link Injection.

21.02.2011

У січні, 09.01.2011, після знаходження уразливостей на сайтах спецслужб sbu.gov.ua та dsszzi.gov.ua, я знайшов Information Leakage та SQL Injection уразливості на http://acsk.uss.gov.ua - сайті державного підприємства “Українські спеціальні системи” (УСС). Про що найближчим часом сповіщу адміністрацію сайта.

УСС - це ще один державний орган, секюріті напрямку. Підприємство надає послуги електронного цифрового підпису та видає сертифікати.

Детальна інформація про уразливості з’явиться пізніше.

26.10.2011

Information Leakage:

http://acsk.uss.gov.ua:8080

http://acsk.uss.gov.ua:8080/ca/a

Витік інформації про версію та стара версія СУБД.

SQL Injection:

http://acsk.uss.gov.ua:8080/ca/a?a=1

Визов довільних процедур з довільними параметрами.

Дані уразливості вже виправлені (шляхом обмеження доступу до СУБД). Але Basic Authentication вразлива до Brute Force атак.

В даній добірці уразливості в веб додатках:

• Likewise Open vulnerability (деталі)
• ‘Andy’s PHP Knowledgebase’ SQL Injection Vulnerability (деталі)
• HTC / Android OBEX FTP Service Directory Traversal Vulnerability (деталі)
• “Simple PHP Newsletter” Remote Admin Password Change With install path (деталі)
• Elitecore Cyberoam UTM - Authenticated Cross-Site Scripting Vulnerability (деталі)
• “WESPA PHP Newsletter v3.0″ Remote Admin Password Change With install path (деталі)
• Cisco SA500 vulnerabilities - details (деталі)
• “Simple PHP Newsletter” Remote Admin Password Change With install path (деталі)
• Cisco SA 500 Series Security Appliances Web Management Interface Vulnerabilities (деталі)
• XSS vulnerability in InTerra Blog Machine (деталі)

11.03.2011

У січні, 15.01.2011, а також додатково сьогодні, я знайшов Cross-Site Scripting та Brute Force уразливості на http://www.vab.ua - сайті VAB Банка. Та на https://banking.vab.ua - сервісі Інтернет-банкінгу VAB Банка. Про що найближчим часом сповіщу адміністрацію сайтів.

Раніше я вже писав про уразливості на www.vab.ua.

Детальна інформація про уразливості з’явиться пізніше.

21.10.2011

XSS:

• alert(document.cookie)
• html включення

Код виконається при кліку. Це Strictly social XSS.

Це уразливість в b-cumulus - у флешці з цього віджету, який використовується на сайті VAB Банка (що являє собою модифіковану версію tagcloud.swf розроблену автором WP-Cumulus).

Brute Force:

https://banking.vab.ua
https://banking.vab.ua/Demo/Default.aspx

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Alice (Telefonica Germany) Modem 1111 DoS + XSS (деталі)
• XSS in Spitfire CMS (деталі)
• EMC Documentum eRoom Indexing Server OpenText HummingBird Connector Remote Code Execution Vulnerability (деталі)
• New mahara packages fix several vulnerabilities (деталі)
• EMC Documentum eRoom Indexing Server HummingBird Client Connector Buffer Overflow Vulnerability (деталі)
• DataDynamics Report Library CoreHandler XSS (деталі)
• CA Total Defense Suite Gateway Security Malformed HTTP Packet Remote Code Execution Vulnerability (деталі)
• XSS Vulnerability in Tracks 1.7.2 (деталі)
• Security Notice for CA Gateway Security and Total Defense (деталі)
• “WESPA PHP Newsletter v3.0″ Remote Admin Password Change With install path (деталі)

02.03.2011

У січні, 15.01.2011, я знайшов Cross-Site Scripting уразливості на http://www.vab.ua - сайті VAB Банка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.kontrakt.ua.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2011

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Як видно з наведених прикладів, уразливими є будь-які параметри (в тому числі і довільні придумані параметри, що безпосередньо не обробляються скриптом пошуку - як параметр “a”). Що призводить до появи на даному сайті довільного числа уразливостей (у довільному числі параметрів) у пошуковому скрипті, хоч мільярда уразливостей. Про подібні нескінченні дірки я писав торік у своїй статті Як знайти мільярд XSS уразливостей.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Blue Coat BCAAA Remote Code Execution Vulnerability (деталі)
• imp4 security update (деталі)
• Arbitrary files deletion in HP OpenView Communication Broker (деталі)
• SimplisCMS 1.0.3.0 Remote File Disclosure Vulnerability (деталі)
• Trend Micro Control Manager CasLogDirectInsertHandler.cs Remote Code Execution Vulnerability (деталі)
• SimplisCMS 1.0.3.0 SQL injection / Cross Site Scripting (деталі)
• TrendMicro Control Manager CASProcessor.exe BLOB Remote Code Execution Vulnerability (деталі)
• OpenCMS <= 7.5.3 multiple vulnerabilities (деталі)
• Torque Server Buffer Overflow Vulnerability (деталі)
• Path disclosure in bbPress (деталі)

10.03.2011

У січні, 14.01.2011, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на секюріті проекті http://packetstormsecurity.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.10.2011

Insufficient Anti-automation:

https://packetstormsecurity.org/account/register/

На даній сторінці відсутній захист від автоматизованих запитів (капча).

Abuse of Functionality:

https://packetstormsecurity.org/account/register/

В даному функціоналі можна визначати логіни (і робити це автоматизовано в зв’язу з IAA).

Дані уразливості досі не виправлені.