Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• TYPSoft FTP Server ‘APPE’ and ‘DELE’ Commands Remote DoS Vulnerabilities (деталі)
• XSS vulnerability in CruxPA (деталі)
• XSS vulnerability in CruxPA (деталі)
• XSS vulnerability in CruxPA (деталі)
• Hewlett-Packard Operations Manager Server Backdoor Account Code Execution Vulnerability (деталі)
• HP Operations Manager for Windows, Remote Unauthorized Access (деталі)
• XSS vulnerability in Diem (деталі)
• XSS vulnerability in Diem (деталі)
• XSS vulnerability in Diem (деталі)
• Certain HP Color LaserJet Printers, Remote Unauthorized Access to Data, Denial of Service (деталі)

10.07.2010

У жовтні, 10.10.2009, я знайшов Arbitrary File Uploading та Code Execution уразливості в CMS WebManager-Pro. Дані уразливості я виявив на різних сайтах на даній CMS. Уразливі як оригінальна CMS WebManager-Pro, так і версія CMS WebManager-Pro від FGS_Studio. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в CMS WebManager-Pro.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

02.10.2010

Arbitrary File Uploading:

В адмінці в розділі “файлы” (http://site/admin/files.php) можливе завантаження будь-яких файлів.

Code Execution:

В адмінці в розділі “файлы” (http://site/admin/files.php) можливе завантаження php-скриптів. Це стосується всіх версій CMS WebManager-Pro від FGS_Studio, а також версій WebManager-Pro від WebManager до 7.0 включно. Але зустрічаються сайти з даною CMS версії 7.0 і вище, де зроблений захист (на рівні сайта) від виконання php-скриптів, в такому випадку можливий лише Arbitrary File Uploading.

Уразливі дві системи CMS WebManager-Pro від двох розробників. Уразливі версії CMS WebManager-Pro v.7.0 (версія від WebManager) та попередні версії, а також CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Обидва розробники проігнорували мої повідомлення і не виправили дані уразливості. Але на багатьох сайтах з CMS від WebManager ситуація краща ніж на сайтах з CMS від другого розробника.

В даній добірці уразливості в веб додатках:

• Home FTP Server ‘SITE INDEX’ Command Remote Denial of Service Vulnerability (деталі)
• Home FTP Server ‘MKD’ Command Directory Traversal Vulnerability (деталі)
• Sandbox 2.0.3 Multiple Remote Vulnerabilities (деталі)
• Pligg Installation File XSS Vulnerability (деталі)
• Re: RunCMS XSS Vulnerability via User Agent (деталі)
• RhinoSoft Serv-U TEA Decoding Buffer Overflow (деталі)
• XSS vulnerability in CruxCMS (деталі)
• XSS vulnerability in CruxCMS (деталі)
• XSS vulnerability in CruxPA (деталі)
• HP Discovery & Dependency Mapping Inventory (DDMI) Running on Windows, Remote Execution of Arbitrary Code (деталі)

27.01.2010

У червні, 28.06.2009, я знайшов Full path disclosure та SQL Injection уразливості на проекті http://www.betta.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

01.10.2010

Full path disclosure:

http://www.betta.ua/?pageid=-1

SQL Injection:

http://www.betta.ua/?pageid=-1%20or%20version()=5

Дані уразливості вже виправлені. Але адмінам сайта є куди покращувати його безпеку.

Через два місяці після проведення проекту День багів в WordPress 2 (Day of bugs in WordPress 2) я публікую численні уразливості в WordPress. Це в якості попереднього анонсу Дня багів в WordPress 3, який відбудеться з часом .

У серпні, 14.08.2010, я знайшов Cross-Site Scripting, Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service уразливості в WordPress.

Для всіх цих атак потрібно мати доступ до адмінського акаунта, або мати акаунт з правами для роботи з плагінами. Або атакувати адміна чи іншого користувача з необхідними правами через XSS, щоб дізнатися токен, призначений для захисту від CSRF атак.

Тому користувачам WordPress особливо переживати за ці дірки не треба (якщо не допускати вищезгаданих вимог). Але дані уразливості стануть в нагоді секюріті дослідникам при доступі до адмінки або наявності XSS на сайті. Тому розробникам WP бажано їх виправити.

Перевірено в WordPress 2.0.11, 2.6.2, 2.7, 2.8, 2.9.2, 3.0.1. Версії 2.0.х невразливі, тому що в них немає даного функціоналу. До різних уразливостей вразливі WordPress 2.6 - 3.0.1 та потенційно попередні версії.

Коментуючи XSS уразливість в WordPress 3.0.1, я зазначив додаткову інформацію стосовно XSS уразливості. Дані нюанси відносяться і до нищенаведених уразливостей. Атакувати можна як черех параметр checked[0], так через checked[1] і т.д., а також через checked[]. В версіях WP 2.7 і вище можна використовувати параметр action=delete-selected, а в версіях 2.8 і вище можна використовувати також параметр action2=delete-selected.

XSS:

Як я зазначав в вищезгаданому записі, в WordPress 2.6.x Cross-Site Scripting атака проводиться по іншому. І користі від даної XSS майже немає.

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному <body onload=alert(document.cookie)>.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному “1″.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище).

Full path disclosure:

http://site/wp-admin/plugins.php

Повний шлях виводиться прямо на сторінці з плагінами.

Уразливі WordPress 2.6 - 2.7.1.

Information Leakage + Directory Traversal:

На сторінці (в списку під лінкою Click to view entire list of files which will be deleted) виводиться перелік файлів в поточній папці та підпапках.

В папці http://site/wp-content/plugins/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=

В папці http://site/wp-content/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

Arbitrary File Deletion + DoS:

Якщо послати вищенаведені запити з параметром verify-delete=1, то можна видалити файли та папки в поточній папці та підпапках. Враховуючи Directory Traversal можна видалити як всі плагіни, так й інші файли в інших папках, в тому числі можна провести DoS атаку на сайт (якщо видалити важливі файли WP). Наприклад з запитом checked[]=../../1 можна видалити весь сайт.

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1&verify-delete=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1&verify-delete=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

25.01.2010

У червні, 01.06.2009, я знайшов Cross-Site Scripting уразливість на популяному проекті http://imageshack.us. Про що найближчим часом сповіщу адміністрацію проекту.

В статті Редиректори через Flash, я вже розповідав про використання imageshack.us для редирекції на рекламуємі спамерами чи зловмисні сайти. Що можливе через завантаження шкідливих flash файлів на даний хостінг зображень. Тобто це XSS атака через Flash, як і випадку megaswf.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.09.2010

XSS:

• alert(document.cookie)

Дана уразливість вже виправилена.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPress Polls та WP-Forum. Для котрих з’явилися експлоіти. WordPress Polls - це плагін для створення голосувань, WP-Forum - це плагін для створення форуму.

• WordPress Polls 2.x Incorrect Flood Filter (деталі)
• WP-Forum <= 2.3 SQL Injection vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

23.01.2010

У травні, 27.05.2009, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості на проекті http://smallurl.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

29.09.2010

XSS:

POST запит на сторінці http://smallurl.ru
http://site.ru"><script>alert(document.cookie)</script>В полі для вказання URL.

Це Persistent XSS. Код виконається на сторінках http://smallurl.ru/aed774.html (зараз цієї сторінки немає і даний функціонал редиректора перероблений), http://smallurl.ru/ ?module=ShortURL та http://smallurl.ru/?module=ShortHits.

Abuse of Functionality:

В “дополнительные опции” є можливість створення довільної адреси для URL, що дозволяє створювати зациклені редиректи з іншими редиректорами (для проведення DoS атак).

Зараз цієї опції не видно, вона можливо доступна лише для зареєстрованих користувачів. Дана уразливість подібна до Abuse of Functionalty на tinyurl.com, про що я розповідав в статтях Пекло редиректорів та Пекельний вогонь для редиректорів.

Дані уразливості переважно досі не виправлені.

В даній добірці уразливості в веб додатках:

• XM Easy Personal FTP Server ‘LIST’ Command Remote DoS Vulnerability (деталі)
• Exponent Slideshow XSS Vulnerability (деталі)
• Pligg Installation File XSS Vulnerability (деталі)
• Crypto backdoor in Qnap storage devices (деталі)
• RunCMS XSS Vulnerability via User Agent (деталі)
• ArtForms 2.1b7.2 RC2 Joomla Component Multiple Remote Vulnerabilities (деталі)
• MODx Installation File XSS Vulnerability (деталі)
• HP curiosity and vulnerability (деталі)
• DCP-Portal Multiple XSS Vulnerabilities (деталі)
• Alteon OS BBI (Nortell) - Multiple Vulnerabilities (деталі)

20.02.2010

У травні, 24.05.2009, я знайшов SQL Injection уразливість на сайті http://www.bandofwarriors.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

28.09.2010

SQL Injection:

http://www.bandofwarriors.org/mpn/print.php?sid=-1%20or%20version()=3.23

Уразливість досі не виправлена.