Websecurity - Веб безпека

Сьогодні я знайшов Cross-Site Scripting уразливість в системі Joostina. Joostina CMS - це різновид Joomla. Про що найближчим часом повідомлю розробникам.

Уразливість, як і в попередньому випадку, виявив на секюріті сайті http://ufsb.kiev.ua, де використовується даний движок. Адміни якого, як і раніше, не слідкують за безпекою свого сайта.

Раніше я вже писав про уразливість в Joostina.

Дана уразливість подібна до Cross Site Scripting уразливості в Joomla! 1.0.x . Що нещодавно була виявлена та оприлюднена Aung Khant.

XSS (з MouseOverJacking):

http://site/index.php?option=com_search&searchword=xss&ordering=%22%20onmouseover=alert(document.cookie)%20style=position:fixed;top:0;left:0;width:100%;height:100%;%22

XSS на http://ufsb.kiev.ua:

• alert(document.cookie)
• цікавий

Уразливі Joostina 1.3.0 та попередні версії.

В даній добірці уразливості в веб додатках:

• Novell ZENworks Configuration Management UploadServlet Remote Code Execution Vulnerability (деталі)
• PoC for ZDI-10-078 (Novell ZENworks) (деталі)
• SQL injection vulnerability in CompuCMS (деталі)
• XSS vulnerability in TCMS (деталі)
• NovaStor NovaNet <= 13.0 issues (деталі)
• SQL injection vulnerability in CompuCMS (деталі)
• BugTracker.net 3.4.3 SQL Injection (деталі)
• Vulnerability in GnuTLS (деталі)
• New phpmyadmin packages fix several vulnerabilities (деталі)
• New typo3-src packages fix several vulnerabilities (деталі)

18.05.2010

У жовтні, 17.10.2009, я знайшов HTML Injection уразливість на проекті http://cripo.com.ua (онлайн ЗМІ, що також пише на тему безпеки). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.01.2011

XSS:

http://cripo.com.ua/?q=%3Cxss%3E

На сайті потенційно була можлива і XSS, при обході ModSecurity.

HTML Injection:

http://cripo.com.ua/?q=%3Ch1%3EHacked

Зараз дана уразливість виправлена шляхом посилення фільтрації. Але виправлена неякісно і атаки все ще можливі.

HTML Injection:

• html включення

24.07.2009

У листопаді, 30.11.2008, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://www.sprinter.ru (інтернет магазин). Про що найближчим часом сповіщу адміністрацію проекту.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на matrix.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.01.2011

XSS:

• alert(document.cookie)

Дану уразливість вони спробували виправити, але погано, тому з невеликою зміною коду вона знову працює.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Insufficient Anti-automation:

На сторінках з книгами використовується уразлива капча (в формі коментарів).

XSS (persistent):

На сторінках з книгами є persistent XSS уразливість в полі “сообщение” (в параметрі bigtext форми).

Дані уразливості досі не виправлені.

11.05.2010

У жовтні, 16.10.2009, я знайшов Cross-Site Scripting та Redirector уразливості на секюріті проекті http://www.bezpeka.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на bezpeka.com.

Детальна інформація про уразливості з’явиться пізніше.

04.01.2011

XSS:

POST запит на сторінку http://www.bezpeka.com/ru/news/send.php з XSS кодом в параметрі back_href.

XSS через GET:

• alert(document.cookie)
• цікавий

Redirector:

POST запит на сторінку http://www.bezpeka.com/ru/news/send.php з адресою сайта для редирекції в параметрі back_href.

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WPTouch та Viva thumbs. Для котрих з’явилися експлоіти. WPTouch - це плагін для створення мобільної версії сайта, Viva thumbs - це плагін для створення зменшених копій зображень.

• XSS in WPTouch wordpress plugin (деталі)
• Directory traversal limited to file validation within Viva thumbs WordPress add-on (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• TANDBERG VCS Authentication Bypass (деталі)
• TANDBERG VCS Arbitrary File Retrieval (деталі)
• TANDBERG VCS Static SSH Host Keys (деталі)
• Dovecot vulnerability (деталі)
• SQL injection vulnerability in TCMS (деталі)
• SQL injection vulnerability in TCMS (деталі)
• HP System Insight Manager Running on HP-UX, Linux, and Windows, Remote Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Privilege Elevation (деталі)
• SQL injection vulnerability in TCMS (деталі)
• File Content Disclosure in TCMS (деталі)
• Openfire Jabber-Server: Multiple Vulnerabilities (Authentication Bypass, SQL injection, Cross-Site Scripting) (деталі)

Продовжу свою серсію записів про Business Logic уразливості на різних e-commerce сайтах. В статті Business Logic уразливості через CSRF я писав про Business Logic уразливості, що дозволяють маніпулювати фінансовими даними користувачів. Які можна ініціювати через CSRF атаки.

Після www.propage.ru в якості приклада таких уразливостей наведу уразливості на www.liqpay.com - електроній платіжній системі LiqPAY. Враховучи, що після оприлюднення мною попередніх уразливостей в LiqPAY, ПриватБанк проігнорував їх, я оприлюднюю їх одразу (full disclosure).

У листопаді, 15.11.2009, я знайшов Cross-Site Request Forgery та Insufficient Process Validation уразливості на сайті https://www.liqpay.com. Які дозволяють переводити гроші на інші рахунки LiqPAY чи на карти. Про що найближчим часом сповіщу адміністрацію сайта.

Виводити гроші з рахунків і карт користувачів можна через обідві уразливості (CSRF і Insufficient Process Validation). Дані уразливості наявні в двох функціоналах системи, тому можливі атаки на кожну з них: для виведення на інший рахунок LiqPAY і для виведення на карту. Тобто всього 4 уразливості.

CSRF:

Функціонали виведення грошей на інший LiqPAY акаунт і на карту вразливі до CSRF.

Для виведення коштів на інший LiqPAY акаунт потрібно відправити два запити:

POST запит на https://www.liqpay.com/?do=transfer_create&to=to_phone

do=from_phone_to_phone_confirm&currency=USD&to_phone=_num_&amount=1000&currency2=USD&special=transfer_create

POST запит на https://www.liqpay.com/?do=transfer_create&to=to_phone
do=from_phone_to_phone_result

Для виведення коштів на карту потрібно відправити два запити:

POST запит https://www.liqpay.com/?do=transfer_create&to=to_card

do=from_phone_to_card_confirm&currency=USD&to_card=_num_&amount=1000&currency2=USD&special=transfer_create

POST запит https://www.liqpay.com/?do=transfer_create&to=to_card
do=from_phone_to_card_result

Insufficient Process Validation:

В фунціоналах виведення коштів на інший LiqPAY акаунт і на карту немає перевірки автентичності запиту - через отримання sms-ки з кодом і введення даного коду. Тому OTP вводиться лише при логіні, а всі транзакції в системі не підтверджуються OTP. При тому, що подібний захист існує в Приват24. Але чомусь в LiqPAY ПриватБанк цього не зробив (мабуть бажаючи “спростити” цей процес для користувачів), що призвело до значного погіршення безпеки, особливо враховучи CSRF уразливості.

Виправлення CSRF не вирішить проблеми повністю. Тому що гроші з рахунків користувачів можна бути виводити через XSS, при доступі до мобільника користувача, через віруси або при тимчасовому доступі до комп’ютера. Тому потрібно виправляти також і Insufficient Process Validation.

29.04.2010

У жовтні, 15.10.2009, я знайшов Cross-Site Scripting, Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://moemesto.ru. В тому числі знайшов можливість обходу виправлення попередньої XSS. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на moemesto.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.12.2010

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

XSS (обхід фільтрації попередньої XSS):

• alert(document.cookie)
• цікавий

Це версія для IE, використовуючи MouseOverJacking можна зробити версію для всіх браузерів.

Abuse of Functionality:

На сторінці http://moemesto.ru/register/ можна визначати логіни та емайли користувачів сайта. Також це можна зробити за прямими запитами до скрипта:

http://moemesto.ru/ajax/check_field.php?field=login&value=111

http://moemesto.ru/ajax/check_field.php?field=email&value=1@1.com

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі).

Більшість з зазначених уразливостей досі не виправлено. До того ж на сайті є чимало інших уразливостей, на які я звернув увагу адмінів, коли повідомляв про ці дірки, але вони також досі не виправлені.

У вересні, 19.09.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://host-tracker.com. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.

Abuse of Functionality:

http://host-tracker.com/check_page/?furl=http://google.com

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до даного функціоналу призведе до 63 запитів (з 63 різних серверів) до цільового сайта.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі). Даний сервіс повільно робитить запити до цільового сайта (поступово з кожного з 63 серверів), що зменшує навантаження на нього, але все рівно не захищає від атак через даний сервіс.