Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Forum Server та Fast Secure Contact Form. Для котрих з’явилися експлоіти. WP Forum Server - це плагін для створення форуму, Fast Secure Contact Form - це плагін контактної форми.

• SQL Injection in WP Forum Server wordpress plugin (деталі)
• SQL Injection in WP Forum Server wordpress plugin (деталі)
• XSS in Fast Secure Contact Form wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager i (NNMi), Local Unauthorized Read Access to Files, Remote Cross Site Scripting (XSS) (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows running Java, Remote Denial of Service (DoS) (деталі)
• ZOHO ManageEngine ADSelfService multiple vulnerabilities (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Information Disclosure (деталі)
• Kunena SQL Injection Vulnerability & Information Leakage (деталі)
• O2 classic router: persistent cross site scripting (XSS) and cross site request forgery (CSRF) (деталі)
• python-django security update (деталі)
• Linksys WRT54G - read router password from file placed on FTP (деталі)
• Path disclosure in Xaraya (деталі)

04.06.2011

У березні, 06.03.2010, я знайшов Information Leakage та Brute Force уразливості в JBoss Application Server (JBoss AS). Які я виявив на одному сайті Укртелекома. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

09.09.2011

Information Leakage:

http://site/status
http://site/status?full=true

Публічно доступна статистика роботи сервера з переліком всіх його сервісів.

Brute Force:

http://site/jmx-console/
http://site/web-console/
http://site/admin-console/ (починаючи з версії 5.1.0)
http://site/jbossws/ (зустрічаються сервери, де на даний ресурс пароль не встановлено)

Та інші приватні ресурси з BF уразливістю (що, як і вищенаведені ресурси, окрім Admin Console, сховані за Basic Authentication). Список всіх ресурсів конкретного сервера можна побачити на сторінці status?full=true.

Уразливі JBoss 3.2.7, JBoss 4.0.5.GA, JBoss 5.0 та попередні версії.

22.11.2010

У серпні, 04.08.2010, я знайшов Cross-Site Scripting, Brute Force та Insufficient Anti-automation уразливості на сайті http://kshop.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на optik.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше.

08.09.2011

XSS:

http://kshop.com.ua/asearch/%22%3E%3Cimg%20src=1%20onerror=alert(1)%3E.html

Brute Force:

http://kshop.com.ua/login.html
http://kshop.com.ua/inc/login.php?login&login=1&passw=1

Insufficient Anti-automation:

http://kshop.com.ua/login.html
http://kshop.com.ua/inc/login.php?restore&remail=1

Даний сайт зараз не працює. Так і не виправивши уразливості, власники сайта вирішили прикрити свій онлайн магазин.

В даній добірці уразливості в веб додатках:

• Cisco Network Access Control Guest Server System Software Authentication Bypass Vulnerability (деталі)
• CGI:IRC XSS issue (деталі)
• HP Operations for UNIX, Remote Cross Site Scripting (XSS), Unauthorized Access (деталі)
• SourceBans Version 1.4.7 XSS (деталі)
• THOMSON Router XSS (деталі)
• XSS vulnerability in RunCMS (деталі)
• Vulnerability in xmlsec1 (деталі)
• Path disclosure in RunCMS (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• SQL Injection in RunCMS (деталі)

В 2007 я виявив уразливості на images.google.com (в пошуці по зображенням), про які розповів під час проекту MOSEB, та www.google.com та translate.google.com (в онлайн перекладачі). І тоді Гугл проігнорував дані уразливості, а в 2009 році я виявив, що вони частково (втихаря) виправили дірку в пошуці по зображенням - шляхом обмеження адрес, на які можна зайти через даний функціонал. І я тоді одразу ж розробив метод обходу даного обмеження, про що зараз вам розповім.

Дані уразливості можна використати для проведення фішинг атак та для розповсюдження malware. І Гугл ввів обмеження, що при перегляді зображень можна зайти тільки на ті сторінки, що є в БД системи. Що на думку компанії мало би зупинити подібні атаки, бо їх пошуковець індексує лише нешкідливі сторінки, а якщо вказати URL сторінки, яка не є в базі, то виведеться повідомлення і користувачу необхідно буде клікнути по лінці.

Але це обмеження обходиться наступним чином. Можна взяти вже готову сторінку (з зображенням в даному випадку), яка проіндексована Гуглом - це може бути як сторінка на сайті нападника, яку він підготував для атаки і дав пошуковцю її проіндексувати, або це може бути сторінка взломаного сайта. Після чого, на цю сторінку розміщується malware чи інший контент (наприклад, для фішинга), і використовується робочий URL на images.google.com для проведення атаки.

Що цікаво, якщо розмістити на сторінці html-код для проведення фішинг атаки на користувачів Google, то бот скоріше за все цього не виявить. Тому можна буде не після індексації розміщувати цей код на сайт, а навіть до індексації - бот пошуковця спокійно проіндексує такі сторінки.

Аналогічний метод може використовуватися і на інших сайтах Гугла (так само й на сайтах інших пошукових компаній), де використовується обмеження по URL. Що тільки на заіндексовані сторінки, що є в БД системи, можна зайти при перегляді зображень, або може бути зроблений редирект (в редиректорі пошуковця).

15.11.2010

У липні, 25.07.2010, я знайшов Full path disclosure та SQL Injection уразливості на сайті http://www.eliteafh.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

03.09.2011

Full path disclosure:

http://www.eliteafh.com.ua/article.php?root=a

SQL Injection (blind SQLi):

http://www.eliteafh.com.ua/article.php?root=-1%20and%20version()=4.1

Дані уразливості вже не працюють, бо сайт більше не працює. Таким чином власник сайта вирішив проблему з цими (та всіма іншими) дірками на своєму ресурсі. Про інші подібні випадки я вже писав раніше.

13.11.2010

У липні, 25.07.2010, я знайшов Full path disclosure та SQL Injection уразливості на сайті http://optik.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.allo.ua.

Детальна інформація про уразливості з’явиться пізніше.

02.09.2011

Full path disclosure:

http://optik.kiev.ua/article.php?root=a

SQL Injection (blind SQLi):

http://optik.kiev.ua/article.php?root=-1%20and%20version()=4.1

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in some SCADA server softwares (деталі)
• XSS vulnerability in UMI.CMS (деталі)
• Hewlett-Packard Virtual SAN Appliance hydra.exe Login Request Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in ViArt Shop (деталі)
• XSS vulnerability in WebAsyst Shop-Script (деталі)
• Hewlett-Packard Data Protector Media Operations DBServer.exe Remote Code Execution Vulnerability (деталі)
• Chamilo 1.8.7 / Dokeos 1.8.6 Remote File Disclosure (деталі)
• HP Diagnostics, Remote Cross Site Scripting (XSS) (деталі)
• Apache Continuum cross-site scripting vulnerability (деталі)
• Apache Continuum CSRF vulnerability (деталі)

Раніше я вже писав про уразливість в плагінах для RapidWeaver, Serendipity, Habari, DasBlog та eZ та багатьох інших портах WP-Cumulus для різних движків. Така ж уразливість є і в версіях даного плагіна для Serendipity, Social Web CMS, PHP-Fusion, Magento та Sweetcron, що використовують tagcloud.swf розроблений автором WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах. Автори цих плагінів, як і тих плагінів, про які я писав раніше, так і не спромоглися виправити дану XSS уразливість з листопада 2009 року, коли я оприлюднив уразливості в WP-Cumulus для WordPress, повідомив про них авторові й він маже повністю їх виправив. Тому доводиться нагадувати кожному з цих розробників окремо.

В травні, 11.05.2011, я знайшов Cross-Site Scripting уразливість в Freetag для Serendipity, Tag cloud для Social Web CMS, Tag cloud для PHP-Fusion, 3D Advanced Tags Clouds для Magento та Tag cloud для Sweetcron.

XSS:

http://site/path/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі Freetag для Serendipity - Freetag 3.28 та попередні версії до HTML Injection та Freetag 3.21 та попередні версії до XSS (в версії 3.22 XSS була виправлена після повідомлення Stefan Schurtz). Підтримка флеш-файла була додана в версії 2.103. Уразливі всі версії Tag cloud для Social Web CMS, Animated tag cloud для PHP-Fusion версії 1.4 та попередні версії, 3D Advanced Tags Clouds для Magento версії 2.0.0 та попередні версії та всі версії Cumulus для Sweetcron.