Websecurity - Веб безпека

11.02.2011

Сьогодні я знайшов можливість виконання коду в TinyBrowser - файл менеджері для редактора TinyMCE. Що можливе через обхід захисних фільтрів веб додатку. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про Arbitrary File Upload уразливість в TinyBrowser.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

14.07.2011

Code Execution:

Можливе виконання коду в TinyBrowser (на веб серверах IIS і Apache).

Код виконається через завантаженні файла. Програма вразлива до трьох методів виконання коду: через використання символа “;” (1.asp;.txt) в імені файла (IIS), або через “1.asp” в імені папки (IIS), або через подвійне розширення (1.php.txt) (Apache).

Уразливі TinyBrowser v1.42 та попередні версії (та всі веб додатки, що його використовують, такі як TinyMCE). Як повідомив мені автор веб додатку, в версії 1.43 (яка офіційно ще не вийшла) він виправив дані уразливості.

31.07.2010

У липні, 01.07.2010, я знайшов SQL Injection та Redirector уразливості на проекті http://www.skypatrol.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

13.07.2011

SQL Injection:

http://www.skypatrol.com.ua/c.php?id=1%20and%20version()=5

Redirector:

http://www.skypatrol.com.ua/c.php?…&url=http://websecurity.com.ua

Дані уразливості досі не виправлені.

Раніше я вже багато разів, починаючи з 2007 року, розповідав про уразливості на сайтах Укртелекома, а також в їхніх Інтернет і телекомунікаційних послугах та в модемах Callisto, що він видає своїм клієнтам. Який був моїм Інтернет провайдером на протязі 2007-2011 років. І от на початку травня я змінив провайдера на Bilink, який, як виявилося, також погано слідкує за безпекою власних сайтів.

У травні, 07.05.2011, одразу ж як підключився до них, я знайшов Insufficient Authentication, Abuse of Functionality та Brute Force уразливості на сайті https://my.bilink.ua. Про що ще в травні повідомив даному провайдеру.

Insufficient Authentication:

При спеціальному запиті можлива зміна паролю довільному акаунту (де xxxxxxx - це логін).

https://my.bilink.ua/userLogin?dogovor=xxxxxxx&first_enter=1

Abuse of Functionality:

https://my.bilink.ua/userLogin?dogovor=xxxxxxx&first_enter=1

Можна виявляти робочі логіни в системі (якщо виводить “Ваш аккаунт не підключений”, значить такого логіна немає в системі, а якщо пароль змінився, значить є такий логін).

Brute Force:

https://my.bilink.ua/userLogin

Перші дві уразливості вже виправлені, але BF досі не виправлена.

В даній добірці уразливості в веб додатках:

• IBM Lotus Domino iCalendar Meeting Request Parsing Remote Code Execution Vulnerability (деталі)
• IBM Lotus Domino LDAP Bind Request Remote Code Execution Vulnerability (деталі)
• Path disclousure in OpenCart (деталі)
• SQL Injection in LightNEasy (деталі)
• IBM Lotus Domino Calendar Request Attachment Name Parsing Remote Code Execution Vulnerability (деталі)
• IBM Lotus Domino IMAP/POP3 Non-Printable Character Expansion Remote Code Execution Vulnerability (деталі)
• Path disclousure in ocPortal (деталі)
• CSRF (Cross-Site Request Forgery) in Open blog (деталі)
• Linksys WAP610N Unauthenticated Root Consle (деталі)
• Skadate Multiple Persistent Cross Site Scripting Vulnerabilities (деталі)

29.07.2010

У липні, 01.07.2010, я знайшов SQL Injection та Redirector уразливості на проекті http://pearl-ua.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.07.2011

SQL Injection:

http://pearl-ua.com.ua/c.php?id=1%20and%20version()=5

Redirector:

http://pearl-ua.com.ua/c.php?id=1&url=http://websecurity.com.ua

Якщо перша уразливість вже виправлена, то друга до сих пір не виправлена.

В своїй статті XSS атаки через заголовок User-Agent я детально розповів про методи Cross-Site Scripting атак через HTTP заголовок User-Agent. Як я вже зазначав в статті, існують як reflected XSS, так і persistent XSS через User-Agent.

Обидва види XSS через заголовок User-Agent (UA) я неодноразово зустрічав на різних веб сайтах. Persistent XSS уразливості через UA зокрема можливі в будь-яких системах, що зберігають в логах інформацію про User-Agent (таких як банерні системи, рахівники та інші). З такими дірками я стикався, зокрема на e-commerce сайтах.

Reflected XSS уразливості через UA зустрічаються частіше ніж persistent XSS. Їх я знаходив на різних сайтах та веб додатках. Зокрема в Adobe ColdFusion в повідомленні про помилку - атака можлива як на скрипти веб сайтів, що виводять повідомлення про помилку, так і на подібні скрипти в самому ColdFusion.

У випадку вразливих веб дотатків, всі сайти, що їх використовують, стають вразливими до даної атаки. Наприклад, у випадку Adobe ColdFusion серед сайтів, що його використовують (що були вразливі до XSS атаки), є www.visualcomplexity.com та www.sec.ru.

Також уразливими є Cetera CMS і всі сайти на цьому движку, а також сайт about42.nl.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in Comcast DOCSIS 3.0 Business Gateways (SMCD3G-CCR) (деталі)
• SQL Injection in LightNEasy (деталі)
• Vulnerability in HTC Peep: Twitter Credentials Disclosure (деталі)
• Information disclosure in LightNEasy (деталі)
• Lotus Domino Server diiop getEnvironmentString Remote Code Execution Vulnerability (деталі)
• LFI in LightNEasy (деталі)
• Lotus Domino Server diiop Client Request Operation Remote Code Execution Vulnerability (деталі)
• Path disclosure in LightNEasy (деталі)
• IBM Lotus Domino SMTP Multiple Filename Arguments Remote Code Execution Vulnerability (деталі)
• Path disclousure in Nibbleblog (деталі)

27.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://bestmaster.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

30.06.2011

SQL Injection:

http://bestmaster.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дані уразливості досі не виправили.

В даній добірці уразливості в веб додатках:

• Majordomo2 - Directory Traversal (SMTP/HTTP) (деталі)
• SQL injection in KaiBB (деталі)
• Majordomo2 ‘help’ Command Directory Traversal (Patch Bypass) (деталі)
• SQL injection in KaiBB (деталі)
• Aruba Mobility Controller - multiple advisories: DoS and authentication bypass (деталі)
• BBcode XSS in KaiBB (деталі)
• HP OpenView Performance Insight Server, Remote Execution of Arbitrary Code (деталі)
• Geeklog 1.7.1 <= Cross Site Scripting Vulnerability (деталі)
• HP OpenView Performance Insight Server Backdoor Account Code Execution Vulnerability (деталі)
• New phpmyadmin packages fix several vulnerabilities (деталі)

15.04.2011

У серпні, 16.08.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості в модулі Print для Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про XSS та BT уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам модуля.

30.06.2011

Abuse of Functionality:

Форму відправки контента по електронній пошті (http://site/printmail/1) можна використати для відправки спама, при цьому можна вказати всі основні поля форми: зворотній емайл (шляхом зміни його в профілі), ім’я, емайл або декілька емайлів адресатів, тема і текст повідомлення. А також можна вибирати для відправки в тексті листа сторінки створенні самим користувачем, що дозволяє створювати спам повідомлення на сайті для наступної їх відправки по емайлу (щоб максимально контролювати зміст спам-листів).

Insufficient Anti-automation:

На сторінці відправки контента по електронній пошті (http://site/printmail/1) немає капчі. Що дозволяє автоматизовано слати спам на довільні емайл-адреси. Обмеження на максимум 3 повідомлення на годину обходиться шляхом відправки повідомлень з різних IP (навіть будучи залогіненим в той же акаунт).

Drupal Print IAA.html

А враховуючи дві Brute Force уразливості в Drupal (відсутність капчі), про які я згадував раніше, то можливий автоматизований логін, що дозволить повністю автоматизувати цей процес. Про що я писав в статті Атаки на незахищені логін форми.

Уразливі версії Print 5.x-4.11, 6.x-1.12, 7.x-1.x-dev та попередні версії.