Websecurity - Веб безпека

11.03.2011

У січні, 15.01.2011, а також додатково сьогодні, я знайшов Cross-Site Scripting та Brute Force уразливості на http://www.vab.ua - сайті VAB Банка. Та на https://banking.vab.ua - сервісі Інтернет-банкінгу VAB Банка. Про що найближчим часом сповіщу адміністрацію сайтів.

Раніше я вже писав про уразливості на www.vab.ua.

Детальна інформація про уразливості з’явиться пізніше.

21.10.2011

XSS:

• alert(document.cookie)
• html включення

Код виконається при кліку. Це Strictly social XSS.

Це уразливість в b-cumulus - у флешці з цього віджету, який використовується на сайті VAB Банка (що являє собою модифіковану версію tagcloud.swf розроблену автором WP-Cumulus).

Brute Force:

https://banking.vab.ua
https://banking.vab.ua/Demo/Default.aspx

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Alice (Telefonica Germany) Modem 1111 DoS + XSS (деталі)
• XSS in Spitfire CMS (деталі)
• EMC Documentum eRoom Indexing Server OpenText HummingBird Connector Remote Code Execution Vulnerability (деталі)
• New mahara packages fix several vulnerabilities (деталі)
• EMC Documentum eRoom Indexing Server HummingBird Client Connector Buffer Overflow Vulnerability (деталі)
• DataDynamics Report Library CoreHandler XSS (деталі)
• CA Total Defense Suite Gateway Security Malformed HTTP Packet Remote Code Execution Vulnerability (деталі)
• XSS Vulnerability in Tracks 1.7.2 (деталі)
• Security Notice for CA Gateway Security and Total Defense (деталі)
• “WESPA PHP Newsletter v3.0″ Remote Admin Password Change With install path (деталі)

02.03.2011

У січні, 15.01.2011, я знайшов Cross-Site Scripting уразливості на http://www.vab.ua - сайті VAB Банка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.kontrakt.ua.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2011

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Як видно з наведених прикладів, уразливими є будь-які параметри (в тому числі і довільні придумані параметри, що безпосередньо не обробляються скриптом пошуку - як параметр “a”). Що призводить до появи на даному сайті довільного числа уразливостей (у довільному числі параметрів) у пошуковому скрипті, хоч мільярда уразливостей. Про подібні нескінченні дірки я писав торік у своїй статті Як знайти мільярд XSS уразливостей.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Blue Coat BCAAA Remote Code Execution Vulnerability (деталі)
• imp4 security update (деталі)
• Arbitrary files deletion in HP OpenView Communication Broker (деталі)
• SimplisCMS 1.0.3.0 Remote File Disclosure Vulnerability (деталі)
• Trend Micro Control Manager CasLogDirectInsertHandler.cs Remote Code Execution Vulnerability (деталі)
• SimplisCMS 1.0.3.0 SQL injection / Cross Site Scripting (деталі)
• TrendMicro Control Manager CASProcessor.exe BLOB Remote Code Execution Vulnerability (деталі)
• OpenCMS <= 7.5.3 multiple vulnerabilities (деталі)
• Torque Server Buffer Overflow Vulnerability (деталі)
• Path disclosure in bbPress (деталі)

10.03.2011

У січні, 14.01.2011, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на секюріті проекті http://packetstormsecurity.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.10.2011

Insufficient Anti-automation:

https://packetstormsecurity.org/account/register/

На даній сторінці відсутній захист від автоматизованих запитів (капча).

Abuse of Functionality:

https://packetstormsecurity.org/account/register/

В даному функціоналі можна визначати логіни (і робити це автоматизовано в зв’язу з IAA).

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Cisco Unified Operations Manager Multiple Vulnerabilities (деталі)
• Multiple XSS vulnerabilities in SyndeoCMS (деталі)
• HP Performance Agent and HP Operations Agent, Remote Arbitrary File Deletion (деталі)
• SQL injection in SyndeoCMS (деталі)
• Arbitrary files deletion in HP OpenView Performance Agent (деталі)
• XSS in SyndeoCMS (деталі)
• Cross Site Scripting vulnerability in ArubaOS and AirWave Administration Web Interfaces (деталі)
• Parallels Plesk 7.0 - 8.2 | Open URL Redirection Vulnerability (деталі)
• FTP daemon fails to set effective group ID (деталі)
• Unidesk ReportingService Forceful Browsing Vulnerability (деталі)

12.01.2011

В минулому місяці я вже писав про уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua та інших державних сайтах. І нещодавно, 09.01.2011, я знайшов подібну Denial of Service уразливість на http://sbu.gov.ua (http://ssu.gov.ua) - сайті Служби Безпеки України (СБУ) та http://dsszzi.gov.ua - сайті Державної служби спеціального зв’язку та захисту інформації України (ДССЗЗІ). Про що найближчим часом сповіщу адміністрацію сайтів.

Раніше я вже писав про уразливості на сайтах українських спецслужб, в тому числі і на www.sbu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше.

17.10.2011

DoS:

http://sbu.gov.ua/sbu/cewolf?img=1&width=10000&height=10000

http://dsszzi.gov.ua/punish/cewolf?img=1&width=10000&height=10000

Дані уразливості вже виправлені. Причому виправила їх саме СБУ, а ДССЗЗІ проігнорувала мого листа, з СБУ навіть подякувати не забули, чого не скажеш про ДССЗЗІ. Невдячні спецслужби з дірявими сайтами (такі як ДССЗЗІ) варто закривати - заодно й бюджетні кошти будуть зекономлені .

07.04.2011

Вчора, 06.04.2011, я знайшов Code Execution та Full path disclosure уразливості в плагіні Simple:Press Forum для WordPress. Яку я виявив на різних сайтах. Про що найближчим часом повідомлю розробникам плагіна.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

15.10.2011

Code Execution:

Виконання довільного коду можливе через TinyBrowser. Як я вже розповідав стосовно TinyBrowser для TinyMCE, програма вразлива до трьох методів виконання коду.

http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/tinybrowser/tinybrowser.php

До CE уразливі Simple:Press Forum 4.1.2 та попередні версії. В версії SPF 4.1.3, що вийшла 31.12.2009, TinyBrowser був повністю видалений. Вже після видалення TinyBrowser з SPF були виявленні нові методи виконання коду в даному додатку, тому користувачі старих версій SPF стали ще більш вразливими (як на веб серверах Apache, так і на IIS).

Full path disclosure:

Чотири останні FPD уразливості мають місце в TinyMCE, що постачається з SPF.

http://site/wp-content/plugins/simple-forum/styles/icons/default/ICON_DEFAULTS.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/EnchantSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/GoogleSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpellShell.php

До FPD уразливі Simple:Press 4.4.5 та попередні версії.

В старих версіях SPF було багато FPD, частина з них вже виправлена в останній версії 4.4.5. Зокрема в старих версіях (як то 4.1.1) є FPD в папці admin:

http://site/wp-content/plugins/simple-forum/admin/sfa-framework.php
http://site/wp-content/plugins/simple-forum/admin/sfa-menu.php

Та в деяких інших файлах в підкаталогах папок admin, editors та інших. В останній версії залишилося лише п’ять вищезгаданих FPD.

В даній добірці уразливості в веб додатках:

• Novell File Reporter Engine RECORD Tag Parsing Remote Code Execution Vulnerability (деталі)
• XSRF (CSRF) in Ripe website manager (деталі)
• Working Remote Root Exploit for OpenSSH 3.4p1 (FreeBSD) (деталі)
• SQL injection vulnerability in Ripe website manager (деталі)
• HP Intelligent Management Center User Access Manager (UAM) and Endpoint Admission Defense (EAD), Remote Execution of Arbitrary Code (деталі)
• SQL injection vulnerability in Ripe website manager (деталі)
• Upload directory traversal in Novell ZenWorks Handheld Management 7.0.2 (деталі)
• XSS vulnerability in Ripe website manager (деталі)
• Security Advisory for Apache Santuario (деталі)
• Path disclosure in SyndeoCMS (деталі)

04.12.2010

Нещодавно, 03.12.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайтах компанії Google http://www.google.com та http://gmodules.com. Про що найближчим часом сповіщу Гугла.

Раніше я вже писав про уразливість на www.google.com.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.10.2011

Abuse of Functionality:

http://www.google.com/ig/adde?moduleurl=google.com
http://gmodules.com/ig/creator?url=http://google.com

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери Гугла.

Insufficient Anti-automation:

В обох цих функціоналах немає захисту від автоматизованих запитів (капчі).

Про аналогічні дірки на www.google.com я вже писав раніше в статті Використання сайтів для атак на інші сайти.

Дані уразливості досі не виправлені.