Websecurity - Веб безпека

26.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://3s.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.06.2011

SQL Injection:

http://3s.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена. Хоча адміни повипєндривалися (намагаючися позбутися цієї дірки, але так її і не виправивши) і видалили весь контент сайта. Тому даний запит більше не спрацює і звичайна SQLі атака через цю дірку вже не працює, але все ще можна проводити blind SQLi атаки (для виведення даних з БД і проведення DoS атак).

В даній добірці уразливості в веб додатках:

• Cisco Content Services Gateway Vulnerabilities (деталі)
• Multiple Vulnerabilities in CruxCMS 3.0.0 (деталі)
• MyBB 1.6 <= SQL Injection Vulnerability (деталі)
• HP OpenView Storage Data Protector, Remote Denial of Service (DoS) (деталі)
• Pligg XSS and SQL Injection (деталі)
• OpenJDK vulnerabilities (деталі)
• Multiple Vulnerabilities in OpenClassifieds 1.7.0.3 (деталі)
• Social Engine 4.x (Music Plugin) Arbitrary File Upload Vulnerability (деталі)
• Cisco Security Advisory: Default Credentials for Root Account on Tandberg E, EX and C Series Endpoints (деталі)
• Path disclosure in KaiBB (деталі)

23.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://www.3s-training.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

28.06.2011

SQL Injection:

http://www.3s-training.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code (деталі)
• HotWeb Rentals “PageId” SQL Injection Vulnerability (деталі)
• HP LoadRunner, Remote Execution of Arbitrary Code (деталі)
• Unauthenticated command execution within Mitel’s AWC (Mitel Audio and Web Conferencing) (деталі)
• RSA, The Security Division of EMC, addresses RKM 1.5 C Client SQL Injection Vulnerability (деталі)
• Django admin list filter data extraction / leakage (деталі)
• HP Business Availability Center (BAC) Running on Windows and Solaris, Remote Cross Site Scripting (XSS) (деталі)
• Sigma Portal Denial of Service Vulnerability (деталі)
• HP Business Availability Center (BAC) and Business Service Management (BSM), Remote Cross Site Scripting (XSS) (деталі)
• Asan Portal (IdehPardaz) Multiple Vulnerabilities (деталі)

22.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://nana.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.06.2011

SQL Injection:

http://nana.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
• HTTP Response Splitting in Social Share (деталі)
• HP Network Node Manager Command Injection Vulnerability (деталі)
• MyBB 1.6 <= SQL Injection Vulnerability (деталі)
• Buffer overflow vulnerabilities in OpenSSL (деталі)
• Pre Jobo .NET “Password” SQL Injection Vulnerability (деталі)
• SAP Management Console Information Disclosure (деталі)
• Reflected XSS in Coppermine 1.5.10 (деталі)
• SAP Management Console Unauthenticated Service Restart (деталі)
• YEKTAWEB CMS XSS Vulnerability (деталі)

13.04.2011

У серпні, 16.08.2010, я знайшов Cross-Site Scripting та Brute Force уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про XSS і AoF уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.06.2011

XSS:

На сторінках з формами (наприклад на сторінці коментарю http://site/comment/reply/1, як формах додання, так і редагування даних), що захищені токеном від CSRF, можлива reflected XSS атака. Причому без необхідності знати form_token (тобто захист від CSRF обходиться). Атака проводиться на будь-які форми з включеним FCKeditor/CKEditor (які дуже поширені на сайтах на Drupal). Подібна атака може бути проведена і на форми з TinyMCE - про подібні уразливості в PHP-Nuke через TinyMCE я вже писав.

Якщо це форма редагування даних, то атака може бути проведена тільки на залогіненого користувача сайта, який є власником даного акаунта (хто розмістив даний коментар і т.д.), або адміна сайта. А якщо форма додання даних (наприклад коментарю), то можна проводити атаки на адміна і будь-яких залогінених користувачів сайта. Атакуючий код може бути в параметрі comment, body або іншому, в залежності від форми.

Drupal XSS.html

Brute Force:

В формі логіна в боковій панелі, що розміщена на будь-яких зовнішніх сторінках сайту (http://site/node), не реалізований надійний захист від підбору пароля. В самому Drupal капчі немає, а існуючий Captcha модуль (а також всі плагіни до нього, такі як reCAPTCHA) є уразливим, як я вже писав. Експлоіт відрізняється від попередної BF: якщо в попередній Brute Force уразливості form_id рівний user_login, то в даній - form_id рівний user_login_block.

Уразливі Drupal 6.22 та попереднії версії (перевірено в Drupal 6.17). Враховуючи, що розробники не виправили дані уразливості, то версії 7.x також повинні бути вразливими.

Раніше я вже писав про уразливість в MT-Cumulus для Movable Type. Така ж уразливість є і в віджеті Tumulus для Typepad, що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

В травні, 11.05.2011, я знайшов Cross-Site Scripting уразливість в Tumulus для Typepad. Про що найближчим часом повідомлю розробнику.

XSS:

http://site/path/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

В себе на сайті автор тримає файл tagcloud-download.swf, який він радить переіменувати на tagcloud.swf.

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі всі версії віджета Tumulus для Typepad.

12.04.2011

У серпні, 16.08.2010, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про Abuse of Functionality уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

24.06.2011

XSS:

При доданні або зміні даних в будь-яких внутрішніх формах (додання/зміна поста і т.д.) можна провести persistent XSS атаку. XSS код виконається при відвідуванні сторінки редагування (зміна поста і т.д.). Атака проводиться на будь-які форми з включеним FCKeditor/CKEditor (які дуже поширені на сайтах на Drupal). Подібна атака може бути проведена і на форми з TinyMCE - про подібні уразливості в PHP-Nuke через TinyMCE я вже писав.

Для атаки необхідно в поле форми в режимі “Source” вказатиь:
<img onerror="alert(document.cookie)" src="1" />
Також можна відправити POST запит з токеном і атакуючим кодом в параметрі body.

Атака може бути проведена тільки на залогіненого користувача сайта, який є власником даного акаунта, або адміна сайта. Тобто або користувача сам збереже атакуючий код і заманить на цю сторінку адміна, або, з врахування анти-CSRF захисту, через reflected XSS уразливість буде отриманий токен і на користувача або адміна буде проведена persistent XSS атака.

Abuse of Functionality:

При спеціальному запиту до пошуку по користувачам можна визначити логіни всіх користувачів на сайті.

http://site/search/user/%25
http://site/search/user_search/%25

В rss-фідах сайта, зокрема в основному rss-фиді (http://site/rss.xml) можна визначити логині користувачів на сайті, матеріали яких виводяться в даному фіді.

Уразливі Drupal 6.22 та попереднії версії (перевірено в Drupal 6.17). Враховуючи, що розробники не виправили дані уразливості, то версії 7.x також повинні бути вразливими.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Окрім раніше згаданих сторінок 8, 10, 12, 95 і 96 для налаштування портів, в диапазоні 1..196 існує чимало інших розділів (де є форма з параметрами, яка вразлива до CSRF). Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

Зокрема в розділі Ip App Port Configuration (http://192.168.1.1/configuration/ports.html?194), останньому робочому розділі, через CSRF можлива зміна параметрів IP App порта.

В розділі Advanced Ip App Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?194) через CSRF можлива зміна параметрів IP App порта.

XSS:

Окрім раніше згаданих сторінок 8, 10, 12, 95 і 96 для налаштування портів, в диапазоні 1..196 існує чимало інших розділів (де є форма з параметрами, в якій є persistent XSS уразливості). Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

Зокрема в розділі Ip App Port Configuration (http://192.168.1.1/configuration/ports.html?194), останньому робочому розділі, у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Ip App Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?194) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.