Websecurity - Веб безпека

14.01.2010

У травні, 17.05.2009, я знайшов SQL Injection, Full path disclosure та Information Leakage уразливості на сайті http://www.raagz.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

Зазначу, що в той же день я лагідно покахав даний сайт, щоб безпосередньо на сайті повідомити адміна про дірки на його проекті. Але він проігнорував мої повідомлення. І як результат з травня по сьогодняшній день його сайт був взломаний багатьма хакерами. Так що не варто ігнорувати мої повідомлення про дірки на ваших сайтах.

04.09.2010

SQL Injection:

http://www.raagz.com/yabook/index.php?action=jump&id=-1%20union%20select%20version()

Full path disclosure:

http://www.raagz.com/yabook/config.inc.php

Information Leakage:

http://www.raagz.com/yabook/index.php

В meta-тегах виводиться інформація про версію PHP, MySQL і веб сервера.

Дані уразливості не були виправлені адміном. І як я сьогодні виявив, він закрив свій сайт і зараз даний домен використовується PPC-шниками для заробляння на кліках.

Діячі які заробляють на PPC зокрема полюбляють купувати відомі домени (сайтів, що закрилися, або коли час користування доменом вийшов, а адмін не встиг вчасно проплатити домен на наступний часовий період, і вони швиденько його купують). Щоб заробляти на кліках відвідувачів даних сайтів.

В даній добірці уразливості в веб додатках:

• Vulnerability in Nokia Trolltech Qt4 (деталі)
• Anantasoft Gazelle CMS - change admin password via Cross-site Request Forgery (деталі)
• Awcm Cms Local File Inclusion Vulnerability (деталі)
• phpFaber CMS - Multiple stored Cross-site Scripting issues (деталі)
• Subdreamer CMS - SQL injection vulnerability (деталі)
• dnsmasq: Denial of Service and DNS spoofing (деталі)
• SQL injection vulnerability in MODx CMS and Application Framework (деталі)
• SQL injection vulnerability in AneCMS (деталі)
• SQL injection vulnerability in MODx CMS and Application Framework (деталі)
• Newsbeuter: User-assisted execution of arbitrary code (деталі)

У квітні, 19.06.2009 (а також додатково сьогодні), я знайшов Insufficient Anti-automation та Full path disclosure уразливості на сайті http://shalb.com (це українська секюріті компанія). Про що найближчим часом сповіщу адміністрацію сайта.

Insufficient Anti-automation:

http://shalb.com/en/company/orderform/
http://shalb.com/support/open.php (ця сторінка була в 2009 році, зараз вона відсутня)
http://shalb.com/ru/company/orderform/
http://shalb.com/ru/company/contacts/
http://shalb.com/en/company/contacts/

В даних контактних формах немає захисту від автоматизованих запитів (капчі).

Full path disclosure:

На сторінках сайта http://shalb.com виводився повний шлях на сервері.

Якщо Full path disclosure дірки вже виправлені, то Insufficient Anti-automation уразливості все ще є на сайті. Як я вже казав, дані уразливості є типовим явищем для секюріті сайтів.

20.04.2010

У жовтні, 10.10.2009, я знайшов SQL Injection та Redirector (URL Redirector Abuse) уразливості в CMS WebManager-Pro. Дані уразливості я виявив на webmanager-pro.com - сайті розробників даної CMS. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в CMS WebManager-Pro.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

02.09.2010

SQL Injection:

http://site/c.php?id=1%20and%20version()=5

Redirector:

http://site/c.php?id=1&url=http://websecurity.com.ua

Уразливі дві системи CMS WebManager-Pro від двох розробників. Уразливі версії CMS WebManager-Pro до 8.1 (версія від WebManager).

Також SQL Injection (але не Redirector) має місце в версії системи від FGS_Studio. Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Розробники з WebManager виправили SQL Injection уразливість (але не виправили Redirector) в версії CMS WebManager-Pro 8.1. Розробники з FGS_Studio не виправили SQL Injection уразливість (дані розробники взагалі проігнорували всі уразливості в їхній CMS, про які я їм повідомив).

В червні була виявлена Cross-Site Scripting уразливість в IPB. Це persistent XSS в календарі, що є стандартним модулем (який постачається разом з движком).

Якщо календар включений на форумі, то може бути проведена XSS атака. А враховуючи те, що календар може виводитися на кожній сторінці форуму, то відповідно код спрацює на кожній сторінці (де виводиться календар).

Уразливі Invision Power Board 3.0.5 та попередні версії.

• Invision Power Board - stored Cross site Scripting (деталі)

Як я протестував, в версії IPB 2.2.2 немає даної уразливості.

В даній добірці уразливості в веб додатках:

• VMware Studio 2.0 addresses a security issue in the public beta version of Studio 2.0 (деталі)
• XSS vulnerability in boastMachine (деталі)
• New dnsmasq packages fix remote code execution (деталі)
• Infinity 0-day Denial of Service (деталі)
• ClipBucket AdminPanel edit site Vulnerability (деталі)
• Paessler - PRTG Traffic Grapher XSS (деталі)
• Dnsmasq Heap Overflow and Null-pointer Dereference on TFTP Server (деталі)
• IgnitionSuite CMS WebDMailer unsubscribe issue (деталі)
• SQL Injection in CubeCart PHP Free & Commercial Shopping Cart Application (деталі)
• Plume CMS - change Admin Password via Cross-site Request Forgery (деталі)

29.12.2009

У травні, 05.05.2009, я знайшов Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection уразливості на проекті http://mycityua.com (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.pk.kiev.ua (це попередній домен даного сайта).

Детальна інформація про уразливості з’явиться пізніше.

31.08.2010

XSS:

POST запит на сторінці http://mycityua.com/search/
"><script>alert(document.cookie)</script>В полях: Текст для поиска, Автор.

SQL DB Structure Extraction:

POST запит ‘” на сторінці http://mycityua.com/search/ в полі “Текст для поиска”.

SQL Injection:

POST запит на сторінці http://mycityua.com/search/ в параметрі categories.

Дані уразливості досі не виправлені.

11.01.2010

У травні, 16.05.2009, я знайшов Cross-Site Scripting уразливість на відомому проекті http://sourceforge.net. Причому persistent XSS. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на sourceforge.net.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.08.2010

XSS (persistent):

POST запит на сторінці http://sourceforge.net/community/cca09/nominate/
<script>alert(document.cookie)</script>В полі “Project Name”.

Код спрацює на декількох сторінках сайта sourceforge.net.

Дана уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• Everfocus EDR1600 remote authentication bypass (деталі)
• eFront Multiple Parameter Cross Site Scripting Vulnerabilities (деталі)
• Core - Joomla! Multiple XSS Vulnerabilities in Back End Administrative Module Core Components (деталі)
• TwonkyMedia Server Multiple Cross-Site Scripting Vulnerabilities (деталі)
• SQL injection vulnerability in CuteSITE CMS (деталі)
• XSS vulnerability in CuteSITE CMS (деталі)
• XSRF (CSRF) in CuteSITE CMS (деталі)
• Jetty 6.x and 7.x Multiple Vulnerabilities (деталі)
• SQL injection vulnerability in boastMachine (деталі)
• squidGuard 1.3 & 1.4 : buffer overflow (деталі)

19.06.2010

У травні, 06.05.2009, я знайшов Insufficient Anti-automation, Cross-Site Scripting, SQL Injection та Full path disclosure уразливості в eSitesBuilder (це українська комерційна CMS). Які я виявив на сайтах www.allo.ua та rozetka.com.ua. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в eSitesBuilder.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.08.2010

Insufficient Anti-automation:

http://site/forget.php

В формі немає захисту від автоматизованих запитів (капчі).

XSS:

Це single-user persistent XSS (коли користувач залогінений на сайті).

POST запит до сторінки профайла http://site/account.php. Код спрацює на сторінці профайла (поля Имя, Email, Телефон, Адрес 1, Адрес 2, Город/Поселок, Область) та на кожній зовнішній сторінці сайта (поле Имя).

XSS (persistent):

Через поле Имя в профайлі можна провести атаку на сторінках:

http://site/products/comments/product/
http://site/products/details/product/

XSS:

http://site/index.php?page=search&start_do_search=yes&search_text=%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL Injection:

http://site/index.php?page=search&start_do_search=yes&search_text=1&pcat_id=-1%20or%20version()=5

Full path disclosure:

http://site/index.php?page=search&search_text=%3C%3E

Уразливі потенційно всі версії eSitesBuilder.