Websecurity - Веб безпека

09.10.2009

У лютому, 13.02.2009, я знайшов SQL Injection уразливість в CMS WebManager-Pro. Це українська CMS. Дану уразливість я виявив на сайті moral.gov.ua, де використовується дана система. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

11.08.2010

SQL Injection:

http://site/index.php?content_id=-1%20or%20version()=4

Уразливі дві системи CMS WebManager-Pro від двох розробників. Уразливі версії CMS WebManager-Pro v.7.0 (версія від WebManager) та попередні версії, а також CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Дана уразливість досі не виправлена розробником FGS_Studio (як й інші дірки, про які я повідомляв). Зате WebManager вже випривили дану уразливість в 8.x версіях своєї системи.

В даній добірці уразливості в веб додатках:

• Oracle Secure Backup observiced.exe Remote Code Execution Vulnerability (деталі)
• Oracle Updates for Multiple Vulnerabilities (деталі)
• Oracle Critical Patch Update Advisory - January 2010 (деталі)
• XSS vulnerability in gpEasy CMS (деталі)
• SQL injection vulnerability in LiSK CMS (деталі)
• MKPortal horoscop module Vulnerability (деталі)
• MKPortal speed connection module Vulnerability (деталі)
• NaviCopa webserver 3.01 Multiple Vulnerabilities (деталі)
• Multiple Vulnerabilities in BigAce - Bkis (деталі)
• Hustoj is HUST ACM OnlineJudge “fckeditor” file upload security issue (деталі)

18.12.2009

У квітні, 25.04.2009, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на проекті http://www.4post.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

09.08.2010

Insufficient Anti-automation:

На сайті (зокрема в формі коментарів на сторінках нових) використувується вразлива капча. Що має постійні значення капчі та передбачуваний алгоритм їх генерації.

http://www.4post.com.ua/ico_cod.html?cod=pRVtZxvX
1474
http://www.4post.com.ua/ico_cod.html?cod=pRVtZxvY
1475

Можливий автоматизований метод атаки з використанням тієї ж самої капчі, або з використанням передбачуваного алгоритму генерації капч.

Abuse of Functionality:

http://www.4post.com.ua/search.html?word=%%%

При даному запиті доступ до сайта (в даному браузері) блокується - що вирішується видаленням кукіса PHPSESSID. Це можна використати для проведення CSRF атак на користувачів сайта, для блокування їх доступу до сайта.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Insight Control Suite For Linux (ICE-LX) Cross Site Request Forgery (CSRF), Remote Execution of Arbitrary Code, Denial of Service (DoS), and Other Vulnerabilities (деталі)
• SDS Parent Connect SQL Injection (деталі)
• XSRF (CSRF) in ocPortal (деталі)
• XSS vulnerability in LiSK CMS (деталі)
• Smart Douran CMS Remote File Download (деталі)
• Clear Text Storage of Password in CS-MARS v6.0.4 and Earlier (деталі)
• PHP-Calendar “description” and “lastaction” Cross Site Scripting Vulnerabilities (деталі)
• PHP-Calendar “description” and “lastaction” Cross Site Scripting Vulnerabilities (деталі)
• XSS vulnerability in LiSK CMS (деталі)
• NetCache URL DoS - Argentinian ISP (деталі)

10.06.2010

У листопаді, 04.11.2009, я знайшов Cross-Site Scripting та Full path disclosure уразливості в Dataface Web Application Framework. Які виявив на сайті http://xataface.com, де використовується даний движок. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

06.08.2010

XSS:

http://site/admin.php?-table=pages&-search=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&-action=search_index

Full path disclosure:

http://site

Змінна DATAFACE_PATH в тілі кожної сторінки сайта.

Уразлива версія Dataface 1.0. Після мого повідомлення дані уразливості були виправлені розробником в останній версії системи.

В даній добірці уразливості в веб додатках:

• Palm Pre WebOS <=1.1 Remote File Access Vulnerability (деталі)
• Palm Pre WebOS 1.0.4 Remote execution of arbitrary HTML code vulnerability (деталі)
• XSS vulnerability in NPDS REvolution (деталі)
• Stored XSS vulnerability in NPDS REvolution (деталі)
• Caucho Technology Resin digest.php Cross Site Scripting Vulnerability (деталі)
• New mt-daapd packages fix several vulnerabilities (деталі)
• Cacti Multiple Parameter Cross Site Scripting Vulnerabilities (деталі)
• XSRF (CSRF) in NPDS REvolution (деталі)
• SQL injection vulnerability in LiSK CMS (деталі)
• Authentication Bypass of Snom Phone Web Interface (деталі)

У листопаді, 30.11.2009, я виявив Cross-Site Scripting уразливість в Mozilla та Firefox.

Дана уразливість дозволяє обійти заборону на виконання JavaScript коду в location-header редиректорах (при редирекції на javascript: URI). Вона подібна до Cross-Site Scripting уразливості в Mozilla та Firefox (через редиректори з відповіддю “302 Object moved”).

В Mozilla та Firefox (на сайтах, що використовують в редиректорі відповідь “302 Found”) при запиті до location-header редиректора з вказанням JavaScript коду, браузер виводить сторінку “Found”, де в лінці “here” виводить даний код. При натисканні на яку код спрацює. Тобто це Strictly social XSS, а також це ще один приклад Local XSS.

XSS:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді заголовок Location:
HTTP/1.x 302 Found
Location: javascript:alert(document.cookie)
Браузер виводить сторінку “Found”. При кліку по лінці “here” код спрацює в контексті даного сайту.

Окрім javascript URI, також можна використати data URI для виконання JS-коду, якщо редиректор виводить в заголовку Location символи “;” і “,” у чистому (не в URL encoding) вигляді.

Також в усіх версіях Mozilla та Mozilla Firefox можна використати інший варіант Strictly social XSS - з використанням -moz-binding (для Firefox < 3.0 або для Firefox => 3.0 з xml-файлом на цьому самому сайті) чи з використанням onMouseOver:

http://site/script.php?param=a:%22%20onMouseOver=%22alert(document.cookie)

При наведенні курсору на лінку “here” код спрацює в контексті даного сайту.

І якщо використати мою техніку MouseOverJacking, тоді можна автоматизувати дану атаку у всіх версіях Mozilla та Mozilla Firefox (особливо коли використання -moz-binding неможливе):

http://site/script.php?param=a:%22%20style=%22width:100%25;height:100%25;display:block;position:absolute;top:0px;left:0px%22%20onMouseOver=%22alert(document.cookie)

Дана атака працює якщо редиректор (з відповіддю “302 Found” чи “302 Object moved”) виводить подвійні лапки в заголовку Location у чистому (не в URL encoding) вигляді.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі Mozilla Firefox 3.0.19, Firefox 3.5.11, Firefox 3.6.8, Firefox 4.0b2 та попередні версії.

Уразливі Opera 10.53 та попередні версії (при цьому версія Opera 9.52 невразлива). В Opera код виконається не в контексті даного сайту.

Як і у випадку XSS через редиректори з відповіддю “302 Object moved”, до цієї уразливості також повинні бути уразливими SeaMonkey 1.1.17, Firefox 3.7 a1 pre, Orca Browser 1.2 build 5 та Maxthon 3 Alpha (3.0.0.145) з Ultramode.

[Оновлення: 16.09.2012]

Як я виявив, у версіях Firefox 10.0.7 і Firefox 15.0.1 дана уразливість більше не працює - вона була приховано виправлена Mozilla в Firefox 9.0.

17.12.2009

У квітні, 25.04.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.zn.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію сайта.

Даний сайт доступний за доменами www.zn.ua, www.zn.com.ua, www.zn.kiev.ua, www.mirror.kiev.ua, www.zerkalo-nedeli.com, www.dt.ua та www.mw.ua. І відповідно атаки можуть відбуватися за усіма доменами. Враховуючи, що це persistent XSS, то вона може використовуватися для інфікування сайта вірусами.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.08.2010

Insufficient Anti-automation:

http://www.zn.ua/1000/1550/66049/

На сторінках з новинами в формі коментарів відсутній захист від автоматизованих запитів (капча).

XSS (Persistent):

POST запит в формі коментарів на сторінках з новинами:
"><script>alert(document.cookie)</script>В полі Комментарий.

Якщо XSS уразливість вже виправлена (і в нових коментарях неможливе використання тегів), то Insufficient Anti-automation уразливість досі не виправлена.

Продовжуючи займатися захисним хаком (protecting hack), в рамках моєї концепції хакерських війн про яку я розповідав раніше, після квітневого захисту сайта www.peremoga.gov.ua (який був взломаний black SEO), я захистив новий сайт. Цього разу я захистив сайт http://bestmaster.com.ua.

Коли я виявив уразливість на bestmaster.com.ua, про яку я вже писав та повідомляв адмінам (але безрезультатно, бо вони не читають пошту), я звернув увагу на продажні лінки на сторінках сайта. І в мене виникла підозра, що на цьому сайті попрацювали black SEO-шники. І враховуючи, що зв’язатися з адмінами не вийшло, сьогодні я перевірив дану підозру і вона підтвердилася - black SEO окупували даний сайт і почали розміщувати на сайті свої лінки та заробляли на цьому гроші.

Даний сайт був взломаний 05.01.2010, після чого на ньому почали розміщувати лінки через брокера. Як і у випадку з сайтом www.peremoga.gov.ua, на даному сайті лінки також розміщували через SAPE. Це вже другий випадок коли SAPE використовується для блексео діяльності.

Тобто через веб брокера (через php-скрипт) зловмисники розміщували лінки на взломаному сайті (і це вже другий подібний випадок). В цьому, як і в попередньому випадку, власники SAPE самі отримували прибуток, тому можуть вважатися спільниками. Дану ситуацію я виправив і прибрав дані нехороші лінки.

В даній добірці уразливості в веб додатках:

• Hewlett-Packard OpenView NNM nnmRptConfig.exe Template Variable strcat Overflow Vulnerability (деталі)
• Hewlett-Packard OpenView NNM nnmRptConfig.exe Template Variable vsprintf Overflow Vulnerability (деталі)
• Hewlett-Packard OpenView NNM Multiple Command Injection Vulnerabilities (деталі)
• LinksAutomation Multiple Remote Vulnerabilities (деталі)
• phpGroupWare SQL Injections and Local File Inclusion Vulnerabilities (деталі)
• Websense Email Security Cross Site Scripting (деталі)
• Websense Email Security Web Administrator DoS (деталі)
• Joomla component SimpleDownload Local File Inclusion (деталі)
• XSS, SQL injection vulnerability in I-Vision CMS (деталі)
• XSS vulnerability in JComments, Joomla (деталі)