Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP OpenView NNM ovwebsnmpsrv.exe Command Line Argument Remote Code Execution Vulnerability (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code (деталі)
• Vulnerability in Subversion (деталі)
• XSS vulnerability in Ronny CMS (деталі)
• Hewlett-Packard OpenView NNM ovwebsnmpsrv.exe Bad Option Remote Code Execution Vulnerability (деталі)
• Hewlett-Packard OpenView NNM ovutil.dll getProxiedStorageAddress Remote Code Execution Vulnerability (деталі)
• XSS vulnerability in Ronny CMS (деталі)
• XSS vulnerability in PluXml (деталі)
• XSS vulnerability in PluXml (деталі)
• HP Virtual Machine Manager (VMM) for Windows, Remote Unauthorized Access, Privilege Elevation (деталі)

24.12.2010

У вересні, 11.09.2010, я знайшов Denial of Service уразливість в Megapolis.Portal Manager. Це комерційна CMS від компанії Cофтлайн. Яку я виявив на сайті www.kvs.gov.ua. Про що найближчим часом повідомлю розробникам.

Також дана уразливість наявна на державних сайтах www.dcz.gov.ua та www.kmu.gov.ua. Інші сайти на даному движку також можуть бути уразливі.

Раніше я вже неодноразово писав про уразливості в Megapolis.Portal Manager, коли розповідав про дірки на державних сайтах, де викорустивується даний движок.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

19.02.2011

DoS:

http://site/path/cewolf?img=1&width=10000&height=10000

Використовуючи великі значення в параметрі width, height або в обох параметрах можна спожити всю пам’ять сервера.

Уразливі всі версії Megapolis.Portal Manager. Cофтлайн, розробник даної CMS, проігнорував дану уразливість (що є дуже несерйозно). Добре, що знайшлися більш серйозні люди в СБУ, що виправили дану уразливість як на сайтах українських спецслужб, так і на деяких державних сайтах. Але все ще є чимало сайтів на Megapolis.Portal Manager, в тому числі gov.ua сайтів, вразливих до DoS атаки.

20.12.2010

У липні, 25.07.2010, я знайшов Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про Brute Force та Abuse of Functionality уразливості в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

18.02.2011

Abuse of Functionality:

В системі використовується ненадійний механізм зміни пароля. В профілі користувача (http://site/user/1/edit) можна змінити пароль без знання поточного пароля. І хоча в формі використовується захист від CSRF, це не захистить від Abuse of Functionality.

Тому що з використанням XSS уразливості можна обійти даний захист і провести віддалену атаку для зміни пароля (в тому числі й адміністратора). Або ж при викраденні сесії через XSS можна зайти в акаунт і змінити пароль. Або ж це можна зробити при тимчасовому доступі до комп’ютера користувача, з якого він зайшов в свій акаунт.

Abuse of Functionality:

Окрім двох раніше згаданих методів, існують наступні методи визначення логінів користувачів.

На форумі (http://site/forum) виводяться логіни користувачів сайта, що запостили на форумі (відкрили тему або написали коментар).

В розділі Останні публікації (http://site/tracker) на сторінках “Всі останні публікації” та “Мої публікації” виводяться логіни користувачів сайта, що написали записи на сайті. Атаку можна провести лише будучи залогіненим на сайті.

В записах блога (http://site/content/post), а також в коментарях до записів блогів та на інших сторінках сайта (http://site/page) виводяться логіни користувачів сайта, що зробили запис в блозі або написали коментар.

В формі відновлення пароля (http://site/user/password) можна виявити логіни та емайли користувачів сайта. Якщо відправити невірний логін або емайл то виведеться повідомлення “Sorry, … is not recognized as a user name or an e-mail address”, а якщо відправити вірний логін або емайл, то це повідомлення не виведеться.

Уразливі Drupal 6.20 та попереднії версії (перевірено в Drupal 6.17).

15.12.2010

У липні, 25.07.2010, я знайшов Brute Force та Abuse of Functionality уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в reCAPTCHA для Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

17.02.2011

Brute Force:

В формі логіна (http://site/user/) не реалізований надійний захист від підбору пароля. В самому Drupal капчі немає, а існуючий Captcha модуль (а також всі плагіни до нього, такі як reCAPTCHA) є уразливим, як я вже писав.

Abuse of Functionality:

На сторінці контактів (http://site/contact) та на сторінці контакту з користувачем (http://site/user/1/contact) є можливість відправляти спам на довільні емайли через функцію “Send yourself a copy”. Атака з використанням цієї функції можлива лише для залогінених користувачів.

Для автоматизованої розсилки спаму потрібно використати раніше згадані Insufficient Anti-automation уразливості - в самому Drupal капчі немає, а існуючий качпа-модуль (та всі плагіни до нього, такі як reCAPTCHA) є уразливим.

Про подібні Abuse of Functionality уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.

Abuse of Functionality:

При зверненні до визначених сторінок сайта з вказанням логіна (http://site/users/user) можна визначити існуючі логіни користувачів на сайті. Якщо виводить “Access denied” - значить такий логін є, а якщо “Page not found” - значить немає.

При зверненні до сторінок контакту з користувачем (http://site/user/1/contact) виводиться логін користувача на сайті. Атаку можна провести лише будучи залогіненим на сайті й вона спрацює лише якщо користувач включив опцію “Персональна форма контактів” в своєму профілі.

Уразливі Drupal 6.20 та попереднії версії (перевірено в Drupal 6.17).

11.12.2010

У липні, 25.07.2010, я знайшов Insufficient Anti-automation уразливісті в reCAPTCHA плагіні для Drupal. Яку я виявив під час секюріті аудиту на одному сайті. Вона пов’язана з уразливістю в стандартній капчі Drupal. Про що найближчим часом повідомлю розробникам.

В проекті MoBiC я вже писав про обхід reCaptcha. Це новий метод обходу reCaptcha для Drupal. Також раніше я вже писав про уразливості в Drupal.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

16.02.2011

Insufficient Anti-automation:

В різних формах в Drupal використовується уразливий капча-плагін reCAPTCHA. Вразливим є Captcha модуль, тому окрім reCAPTCHA також можуть бути вразливими й інші капча-плагіни (при цьому даний експлоіт трохи відрізняється від експлоіта для стандартного Captcha модуля для Drupal).

Для обходу капчі потрібно вказати коректне значення captcha_sid, при цьому можна навіть не відповідати на саму капчу (captcha_response), або вказати довільну відповідь. Даний метод обходу капч описаний в мене в проекті Month of Bugs in Captchas. Атака можлива доки активне дане значення captcha_sid.

Уразливості мають місце на сторінках з формами: http://site/contact, http://site/user/1/contact, http://site/user/password та http://site/user/register. Інші форми, де використовується reCAPTCHA, також будуть уразливими.

Експлоіт:

Drupal reCAPTCHA bypass.html

Уразливі всі версії reCAPTCHA плагіна для Captcha модуля версій до 6.x-2.3 та 7.x-1.0.

10.12.2010

У липні, 25.07.2010, я знайшов Full path disclosure та Insufficient Anti-automation уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в Drupal.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

15.02.2011

Full path disclosure:

При POST запиті до сторінки з формою з використанням кириличного символу, виводиться повідомлення про помилку, в якому виводиться повний шлях в системі.

Уразливості мають місце на сторінках: http://site/user/, http://site/user/1/edit, http://site/user/password, http://site/user/register, http://site/contact, http://site/user/1/contact. Інші сторінки, що містять форми, також можуть бути уразливими.

Експлоіт:

Drupal Full path disclosure.html

Як зазначили розробники Drupal, дані уразливості виникають через включення опції дебагінгу в адмінці. Тому для уникнення цих та інших FPD на сайті потрібно вимкнути цю опцію.

Insufficient Anti-automation:

В різних формах в Drupal використовується уразлива капча. Вразливий Captcha модуль, тому всі капча-плагіни також можуть бути вразливими. Для обходу капчі потрібно вказати коректне значення captcha_sid та одне і те саме значення капчі (captcha_response). Даний метод обходу капч описаний в мене в проекті Month of Bugs in Captchas. Атака можлива доки активне дане значення captcha_sid.

Уразливості мають місце на сторінках з формами: http://site/contact, http://site/user/1/contact, http://site/user/password та http://site/user/register. Інші форми, де використовується капча, також будуть уразливими.

Враховуючи, що Captcha модуль для Drupal є стороннім модулем, то Insufficient Anti-automation уразливість є як в Captcha модулі (обхід капчі), так і в самому Друпалі (відсутність капчі). В результаті ми маємо ситуацію “forever vulnerable”, коли стандартна інсталяція Drupal вразлива до IAA та Captcha модуль також вразливий до IAA (але Captcha модуль був вже виправлений торік, тому рекомендується оновити його до останньої версії).

Експлоіт:

Drupal CAPTCHA bypass.html

Уразливі Drupal 6.20 та попереднії версії (перевірено в Drupal 6.17). Уразливі версії Captcha модуля до 6.x-2.3 та 7.x-1.0.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах TagNinja, Enable Media Replace та WP Forum Server. Для котрих з’явилися експлоіти. TagNinja - це плагін для взаємодії з Facebook, Enable Media Replace - це плагін для заміни атачментів, WP Forum Server - це плагін для стоворення форуму.

• WordPress TagNinja 1.0 Cross Site Scripting (деталі)
• WordPress Enable Media Replace SQL Injection / Shell Upload (деталі)
• WP Forum Server 1.6.5 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Multiple Sourcefire Products Static Web SSL Keys Vulnerability (деталі)
• LFI / RCE vlunerability in Joomla Community Builder Enhenced (CBE) Component (деталі)
• OverLook Cross-site Scripting Vulnerability (деталі)
• XSS vulnerability in Expression CMS (деталі)
• Juniper Secure Access series (Juniper IVE) Cross-Site Scripting Vulnerability (деталі)
• Juniper Secure Access seriers (Juniper IVE) authenticated XSS & REDIRECTION (деталі)
• JS Calendar 1.5.1 Joomla Component Multiple Remote Vulnerabilities (деталі)
• Joomla! 1.5.20 <= Cross Site Scripting (XSS) Vulnerability (деталі)
• Collabtive Multiple Vulnerabilities (деталі)
• Dlink Di-604 router authenticated user ping tool Xss and DoS (деталі)

03.12.2008

Вчора, 02.12.2008, я знайшов уразливості на сайті WASC http://www.webappsec.org, в Web Security Mailing List. Даний Mailing List - це розсилка на тему веб безпеки. І в ній я виявив Abuse of Functionality, Insufficient Anti-automation та Information Leakage уразливості, а сьогодні ще й виявив Information Leakage.

Детальну інформацію про уразливості я напишу модераторам розсилки та всім її участникам в самому Web Security Mailing List.

12.02.2011

Раніше розсилка розміщувалася за адресою http://www.webappsec.org/lists/websecurity/, а з кінця січня 2011 року вона розміщується за адресою http://lists.webappsec.org /mailman/listinfo/websecurity_lists.webappsec.org. На сервері lists.webappsec.org окрім Web Security Mailing List також почали розміщуватися інші розсилки WASC.

Abuse of Functionality:

Коли участник посилає повідомлення в розсилку, після публікації вона посилається всім дописувачам. І погані хлопці (спамери), що підписані на розсилку, можуть встановити автовідповідач зі спамовим (чи зловмисним) повідомленням. І дане повідомлення автоматично відправиться на емайл відправника.

Abuse of Functionality:

Розсилка захищає емайли участників, що посилають повідомлення в розсилку (шляхом видозміни їх - обфускації). Але використовуючи підписку спамери можуть легко виявити емайли участників.

Insufficient Anti-automation:

Можлива автоматизована реєстрація. Що дозволить спамерам автотизовано підписуватися на розсилку та проводити дві вищезгадані атаки.

Information Leakage:

В розсилці емайли участників приховуються в опублікованих повідомленнях (шляхом заміни домену на “xxxxx”) - для захисту від спамерів. Але в тексті повідомлення (при цитуванні) публікуються емайли в чистому вигляді. В результаті, в одному листі можуть бути приховані й не приховані емайли, що приводить до витоку емайлів.

Якщо Information Leakage уразливість була оперативно виправлена, то інші уразливості виправлені не були. Представники WASC проігнорували їх, вважаючи дані загрози прийнятними і “типовим явищем” для розсилок, тому користувачам розсилок варто враховувати дані загрози в розсилках при їх використанні.

06.08.2010

У січні, 24.01.2010, я знайшов Cross-Site Scripting та Redirector (URL Redirector Abuse) уразливості на проекті http://smallurl.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на smallurl.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.02.2011

XSS:

• alert(document.cookie)
• цікавий

XSS + MouseOverJacking:

• alert(document.cookie)

Redirector:

http://smallurl.ru/anonym/?http://websecurity.com.ua

Даний редиректор не є основним функціоналом даного сервіса редирекції, де URL зберігаються в БД і їх можна перевірити. В даному випадку це відкритий редиректор, який адміністрація сервісу ніяк не контролює (та надає можливість анонімної редирекції).

Дані уразливості досі не виправлені.