Websecurity - Веб безпека

01.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://sailing.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

26.04.2011

SQL Injection:

http://sailing.com.ua/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість досі не виправлена.

Раніше я вже писав про численні уразливості в WordPress 2 та 3, а зараз повідомляю про Code Execution уразливість в WordPress, яку я виявив 18.04.2011 (хоча цю проблему я став досліджувати ще з 2006 року, як почав використовувати WP).

Можлива Code Execution атака в WordPress через аплоадер. Атака може бути проведена користувачами з правами Author, Editor та Administrator.

В WordPress 2.5 - 2.8.4 можна завантажувати php скрипти (1.php) в Media Library. В 2.5 - 2.7.1 атака можлива лише для Administrator. Для Author та Editor не можна завантажити ні 1.php, ні через подвійні розширення атака не спрацює.

В версії 2.8.5 це було заборонено також і для Administrator. І хоча в 2.8 - 2.8.5 для Author та Editor (а для Administrator в 2.8.5) не можна завантажити 1.php, зате можна завантажити 1.php.txt.

При тому, що в WP 2.0 - 2.0.11 (де не було Media Library) для усіх ролей не можна було завантажувати файли з php розширенням (та обхідні методи не працювали). Як і в версіях 2.1.x, 2.2.x і 2.3.x. Лише в WordPress 2.2 Alexander Concha знайшов уразливість, що дозволяла завантажувати файли з php розширенням (вона стосується тільки версій WordPress 2.2 та WordPress MU <= 1.2.2).

В версіях 2.8.6 і вище це вже заборонено. Атака через подвійні розширення (1.php.txt чи 1.asp;.txt) не спрацює, але можна використати 1.phtml.txt (для всіх трьох ролей) для виконання коду.

Уразливі версії WordPress 2.5 - 3.1.1. Перевірено в WordPress 2.6.2, 2.7, 2.8, 2.8.4, 2.8.5, 2.8.6, 2.9.2, 3.0.1 і 3.1.1. Атака через подвійне розширення спрацює на Apache з відповідною конфігурацією.

P.S.

Свіжевипущений WP 3.1.2 також уразливий.

09.08.2010

У лютому, 19.02.2009, я знайшов SQL Injection уразливість на проекті http://www.hoodrook.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

25.04.2011

SQL Injection:

http://www.hoodrook.com/news/podrob.php3?id=-1%20or%20version()=5.1

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• RSA, The Security Division of EMC, releases security hot fix for a potential vulnerability in RSA Access Manager Agent when working with RSA Adaptive Authentication (деталі)
• email XSS in SimpLISTic (деталі)
• RSA, The Security Division of EMC, releases security hot fixes for potential vulnerability in RSA Access Manager Server under certain conditions (деталі)
• URL XSS in Easy Banner Free (деталі)
• HP ProLiant G6 Lights-Out 100, Remote Management, Denial of Service (DoS) (деталі)
• SQL injection Auth Bypass in Easy Banner Free (деталі)
• HP Insight Diagnostics Online Edition, Remote Cross Site Scripting (XSS) (деталі)
• SQL injections in FreeTicket (деталі)
• YOPS Web Server Remote Command Execution (деталі)
• XSS vulnerability in Wolf CMS (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SocialGrid та Universal Post Manager. Для котрих з’явилися експлоіти. SocialGrid - це плагін для додавання лінків на профілі в різних соціальних мережах, Universal Post Manager - це плагін для створення голосуваннь та багатьох інших функцій на сайті на WP.

• XSS in SocialGrid wordpress plugin (деталі)
• Path disclosure in Universal Post Manager wordpress plugin (деталі)
• Multiple XSS in Universal Post Manager wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

13.09.2010

У квітні, 29.04.2010, я знайшов Cross-Site Scripting та Remote HTML Include уразливості на http://www.un.org - сайті Організації Об’єднаних Націй (ООН). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

23.04.2011

XSS (RXI):

• alert(document.cookie)
• редиректор

Remote HTML Include (RHI):

• редиректор

Дані уразливості досі не виправлені.

Подібно до уразливостей в багатьох темах для WordPress, Drupal та ExpressionEngine, також уразливими є багато тем та компонентів для Joomla.

У березні, 05.03.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в наступних темах та компонентах для Joomla: темі PBV MULTI VirtueMart Theme для компоненту VirtueMart, компоненті Registration, що є складовою Joomla, та компоненті Handy Photo Album.

Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в даних темах такі ж самі як і в раніше згаданих темах для WP, Drupal та ExpressionEngine. Тому що дані шаблоні містять TimThumb, про уразливості в якому я вже писав.

Тема PBV MULTI VirtueMart Theme для компоненту VirtueMart для Joomla:

Full path disclosure:

http://site/components/com_virtuemart/themes/pbv_multi/scripts/timthumb.php?src=http://

Уразлива до Full path disclosure, Abuse of Functionality та DoS. У випадку AoF та DoS доступ можливий лише до поточного і дозволених сайтів.

Компонент Registration, що є складовою Joomla:

XSS:

http://site/components/com_registration/script/timthumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Уразливий до XSS, Full path disclosure, Abuse of Functionality та DoS.

Компонент Handy Photo Album для Joomla:

XSS:

http://site/components/com_hpalbum/timthumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Уразливий до XSS, Full path disclosure, Abuse of Functionality та DoS.

Уразливі версії даних шаблонів та компонентів з TimThumb 1.24 та попередніми версіями. Зокрема уразливі PBV MULTI VirtueMart Theme 1.0.5 та попередні версії, Registration 1.0.0 та Handy Photo Album 1.0.1 та попередні версії. Окрім цих є ще багато інших вразливих шаблонів та компонентів для Joomla. Ім’я вразливого скрипта може бути timthumb.php або thumb.php.

В даній добірці уразливості в веб додатках:

• HP MagCloud iPad App, Remote Unauthorized Access to Data (деталі)
• Cookie Auth Bypass in Hot Links SQL (деталі)
• URL and Title XSS in AxsLinks (деталі)
• HP Operations Agent Running on Windows, Local Elevation of Privileges and Remote Execution of Arbitrary Code (деталі)
• report.cgi SQL inj in Hot Links SQL (CGI version) (деталі)
• url XSS in Hot Links Lite (деталі)
• Multiple Vulnerabilities in Cisco Wireless LAN Controllers (деталі)
• sitename XSS in Hot Links Lite (деталі)
• Multiple XSS in MCG GuestBook (деталі)
• HP ProLiant G6 Lights-Out 100, Remote Management, Denial of Service (DoS) (деталі)

12.03.2011

У січні, 03.01.2011, я знайшов Information Leakage, Abuse of Functionality, Insufficient Anti-automation та Brute Force уразливості в форумному движку MyBB. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MyBB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

21.04.2011

Information Leakage:

Логіни є іменами користувачів на форумі (і відповідно на сторінках форума можна виявити логіни).

Abuse of Functionality:

В даних функціоналах можливе виявлення логінів - по id можна визначити всі логіни:

http://site/member.php?action=profile&uid=1

http://site/member.php?action=activate&uid=1

Abuse of Functionality:

http://site/member.php?action=login

Якщо вводити неправільний логін і пароль та правильний логін і неправильний пароль, то в другому випадку з’являється капча. Що дозволяє виявляти логіни (при цьому цей процес може бути автоматизованим, тому що не захищений капчею).

Insufficient Anti-automation:

http://site/member.php?action=activate&uid=1

http://site/member.php?action=lostpw

В даних функціоналах немає захисту від автоматизованих атак (капчі).

Brute Force:

В формі логіна використовується вразлива капча (http://site/member.php?action=login), яка з’являється після невдалої спроби аутентифікації.

Для обходу капчі використовується метод session reusing with constant captcha bypass method описаний в моєму проекті Month of Bugs in Captchas.

Уразливі MyBB 1.6.3 та попередні версії. В версіях MyBB 1.6.3 та 1.4.16, що вийшли 17.04.2011, розробники не виправили дані уразливості.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Universal Post Manager та WP-StarsRateBox. Для котрих з’явилися експлоіти. Universal Post Manager - це плагін для створення голосуваннь та багатьох інших функцій на сайті на WP, WP-StarsRateBox - це плагін для створення рейтингу сторінок.

• Multiple SQL Injection in Universal Post Manager wordpress plugin (деталі)
• SQL Injection in WP-StarsRateBox wordpress plugin (деталі)
• Multiple XSS in WP-StarsRateBox wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.