Websecurity - Веб безпека

Продовжу свою серсію записів про Business Logic уразливості на різних e-commerce сайтах. В статті Business Logic уразливості через CSRF я писав про Business Logic уразливості, що дозволяють маніпулювати фінансовими даними користувачів. Які можна ініціювати через CSRF атаки.

Після www.prospero.ru та procontext.ru в якості приклада таких уразливостей наведу Cross-Site Request Forgery уразливість на http://www.propage.ru - сайті рекламного брокера (біржи лінок), що мені відома ще з 2007 року. Це ще один проект Prospero. І так само, як і у випадку інших проектів даної компанії, адміни брокера не слідкують за безпекою свого сайта.

Business Logic Flaw (через CSRF):

Можна викрасти гроші користувача через CSRF-атаку. Це можна зробити через POST запит на сторінці http://www.propage.ru/balance.php, або через GET:

http://www.propage.ru/balance.php?money_out=1&pay_type=webmoney_rus&webmoney_rus_summa=1000&money_out_type=express&r_purse=R

Цим запитом ви переведете з рахунку жертви суму 1000 р. на свій R-гаманець в системі WebMoney. В параметрі money_out_type задається тип виведення - зараз в системі наявний лише тип виведення експрес (express).

В даній добірці уразливості в веб додатках:

• CompleteFTP v3.3.0 - Remote Memory Consumption DoS (деталі)
• XSS vulnerability in Rumba CMS (деталі)
• XSS vulnerability in ArtGK CMS forum (деталі)
• HP Insight Control for Linux (IC-Linux) Remote Execution of Arbitrary Code, Local Unauthorized Elevation of Privilege (деталі)
• XSS vulnerability in Rumba CMS tags (деталі)
• New xulrunner packages fix several vulnerabilities (деталі)
• XSS vulnerability in ArtGK CMS (деталі)
• TCPDF Library Remote Code Execution Vulnerability (деталі)
• cPanel Customer Portal (index.cgi) Xss Vulnerability (деталі)
• JAVA web start arbitrary command-line injection - “-XXaltjvm” arbitrary dll loading (0day) (деталі)

15.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на сайті http://www.ukrswift.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.12.2010

SQL Injection:

http://www.ukrswift.org/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

13.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на сайті http://www.hetman-cup.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

20.12.2010

SQL Injection:

http://www.hetman-cup.org/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість досі не виправлена.

Стосовно ПриватБанка раніше я вже неоднаразово писав про уразливості на www.privatbank.ua та інших сайтах даного банка. Враховуючи, що на протязі 2008-2010 років, як я повідомляв ПБ про дірки на його сайтах, даний банк вів себе несерйозно, ігноруючи мої листи, невиправляючи дірки, а іноді втихаря виправляючи деякі дірки, при цьому жодного разу мені не подякувавши, і з року в рік продовжуючи не слідкувати за безпекою своїх сайтів, тому дані дірки в LiqPAY я оприлюднюю одразу (full disclosure). Від того, чи змінить свою несерйозну поведінку ПБ залежить те, як я оприлюдню наступні дірки в LiqPAY (зокрема дірки, які дозволяють викрадати кошти з рахунків користувачів системи).

У листопаді, 14.11.2009, я знайшов Insufficient Anti-automation уразливість, а 10.09.2010 ще Insufficient Session Expiration уразливість на сайті https://www.liqpay.com. Про що найближчим часом сповіщу адміністрацію сайта.

Insufficient Anti-automation:

На сторінці https://www.liqpay.com/?do=myliqpay немає захисту від автоматизованих запитів (капчі). Що може призвести до наступних сценаріїв атак:

• Спам користувачам мобільних телефонів смс-ками від LiqPAY.
• Перенавантаження смс-шлюзу, що може на деякий час заблокувати доступ до системи її користувачам.
• Проведення фішинг атак, про які я розповідав раніше. Приклад фішинг атаки, що розробив Андрій для демонстрації, коли нападники ініціюють висилання смс-повідомлення жертві, можливий саме через дану уразливість. Тобто можливі автоматизовані фішінг-атаки.

Insufficient Session Expiration:

В системі використовується коротка сесія - на сесію діє обмеження в 10 хвилин, після чого знову потрібно авторизуватися. Що може бути незручним в користуванні, зате добре в плані безпеки. Але починаючи з вересня в системі використовуєть ще одна сесія.

Як я виявив 10.09.2010 в LiqPAY почали використовувати довгу сесію. Перевірка показала, що сесія працює більше двох діб (але менше трьох діб). При цьому нова сесія працює лише для перегляду акаунта, але не для транзакцій.

Це може бути використано для доступу до акаунту користувача для читання інформації про рахунки - через XSS чи при доступі до комп’ютера жертви (тобто це призведе до витоку інформації).

12.10.2009

У лютому, 14.02.2009, я знайшов SQL Injection уразливість на сайті http://fgs.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Це та сама студія, що розробила дірявий сайт moral.gov.ua.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

18.12.2010

SQL Injection:

http://fgs.kiev.ua/index.php?content_id=-1%20or%20version()=4.1

Дана уразливість досі не виправлена.

Продовжу свою серсію записів про Business Logic уразливості на різних e-commerce сайтах. В статті Business Logic уразливості через CSRF я писав про Business Logic уразливості, що дозволяють маніпулювати фінансовими даними користувачів. Які можна ініціювати через CSRF атаки.

Після banner.kiev.ua в якості приклада таких уразливостей наведу Cross-Site Request Forgery уразливість на http://www.prospero.ru - сайті рекламного інтернета брокера, що мені відома ще з 2006 року. Стосовно численних уразливостей на www.prospero.ru я неодноразово повідомляв адмінам брокера (і про деякі з них писав в новинах), як повідомив їм про багато десятків уразливостей, так і звертав їх увагу, що дірок на сайті ще є дуже багато - як на www.prospero.ru, так і на інших сайтах даної компанії. Але адміни брокера продовжили не слідкувати за безпекою всіх своїх сайтів (так само як це вони робили в 2005-2006 роках).

Business Logic Flaw (через CSRF):

Можна викрасти гроші користувача через CSRF-атаку. Це можна зробити через POST запит на сторінці http://www.prospero.ru/balance.php, або через GET:

http://www.prospero.ru/balance.php?money_out=1&pay_type=webmoney_rus&webmoney_rus_summa=1000&money_out_type=usually&r_purse=R

Цим запитом ви переведете з рахунку жертви суму 1000 р. на свій R-гаманець в системі WebMoney. В параметрі money_out_type задається тип виведення - звичайний (usually) та експрес (express). У різних типів виведення різні комісії та швидкість виведення коштів.

Окрім Business Logic уразливості на http://www.prospero.ru, точно така ж сама Business Logic дірка була на сайті http://procontext.ru - сервісі контекстної реклами. Це був один з проектів Prospero, який вони закрили з першого грудня.

В даній добірці уразливості в веб додатках:

• HP Project and Portfolio Management Center (PPMC), Remote Cross Site Scripting (XSS) (деталі)
• Joomla! Component com_bc Cross Script Scripting (XSS) Vulnerability (деталі)
• Joomla! Component com_bcaccount Persistent Cross Script Scripting (XSS) Vulnerability (деталі)
• BlastChat Chat Client Component version 3.3 <= Cross Script Scripting (XSS) Vulnerability (деталі)
• Novell Netware NWFTPD RMD/RNFR/DELE Argument Parsing Remote Code Execution Vulnerabilities (деталі)
• {PRL} Novell Netware FTP Remote Stack Overflow (деталі)
• FCKEditor.NET File Upload Code Execution (деталі)
• ApPHP Calendar XSS - CSRF (деталі)
• XSS vulnerability in Amiro.CMS FAQ (деталі)
• HP SOA Registry Foundation, Remote Unauthorized Access to Data, Cross Site Scripting (XSS), Privilege Escalation (деталі)

У травні, 24.05.2010, я знайшов Insufficient Anti-automation, Abuse of Functionality, Information Leakage та Cross-Site Scripting уразливості на проекті http://exwp.com (обмінник веб грошей). Про даний обмінник, адміністрація якого не слідкує за безпекою сайта, я вже писав. Всім користувачам Інтернет варто бути обережними з дірявими обмінниками.

Останній раз стосовно обмінників веб грошей я писав про уразливості на www.vrschange.com.

Insufficient Anti-automation:

http://exwp.com/guestbook/index.html?mailto=EX00;file=guestbook/guest/1274704418_EX00.html;

При заході на сторінку перевіряється реферер. В даній формі немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

При відправці повідомлення в формі відправки на емайл, воно посилається не тільки власнику емайла, що розмістив повідомлення на сайті, але й на вказаний емайл відпраника. Що може використовуватися для розсилки спама на довільні емайли.

Information Leakage:

http://exwp.com/env/

Витік повного шляху на сервері та іншої інформації.

XSS (з використанням методів обходу ModSecurity):

http://exwp.com/env/?%3Cxss%3E

08.10.2010

У червні, 18.06.2010, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Abuse of Functionality уразливості в eSitesBuilder (це українська комерційна CMS). Які я виявив на сайті www.allo.ua. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в eSitesBuilder.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.12.2010

XSS:

http://site/console/forget.php?e_mail=%3Cscript%3Ealert(document.cookie)%3C/script%3E&seenform=y

Insufficient Anti-automation:

http://site/console/forget.php

На даній сторінці немає захисту від автоматизованих запитів (капчі).

Abuse of Functionality:

http://site/console/forget.php

Через даний функціонал можна визначати логіни користувачів.

Уразливі потенційно всі версії eSitesBuilder.