Websecurity - Веб безпека

18.12.2009

У квітні, 25.04.2009, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на проекті http://www.4post.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

09.08.2010

Insufficient Anti-automation:

На сайті (зокрема в формі коментарів на сторінках нових) використувується вразлива капча. Що має постійні значення капчі та передбачуваний алгоритм їх генерації.

http://www.4post.com.ua/ico_cod.html?cod=pRVtZxvX
1474
http://www.4post.com.ua/ico_cod.html?cod=pRVtZxvY
1475

Можливий автоматизований метод атаки з використанням тієї ж самої капчі, або з використанням передбачуваного алгоритму генерації капч.

Abuse of Functionality:

http://www.4post.com.ua/search.html?word=%%%

При даному запиті доступ до сайта (в даному браузері) блокується - що вирішується видаленням кукіса PHPSESSID. Це можна використати для проведення CSRF атак на користувачів сайта, для блокування їх доступу до сайта.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Insight Control Suite For Linux (ICE-LX) Cross Site Request Forgery (CSRF), Remote Execution of Arbitrary Code, Denial of Service (DoS), and Other Vulnerabilities (деталі)
• SDS Parent Connect SQL Injection (деталі)
• XSRF (CSRF) in ocPortal (деталі)
• XSS vulnerability in LiSK CMS (деталі)
• Smart Douran CMS Remote File Download (деталі)
• Clear Text Storage of Password in CS-MARS v6.0.4 and Earlier (деталі)
• PHP-Calendar “description” and “lastaction” Cross Site Scripting Vulnerabilities (деталі)
• PHP-Calendar “description” and “lastaction” Cross Site Scripting Vulnerabilities (деталі)
• XSS vulnerability in LiSK CMS (деталі)
• NetCache URL DoS - Argentinian ISP (деталі)

10.06.2010

У листопаді, 04.11.2009, я знайшов Cross-Site Scripting та Full path disclosure уразливості в Dataface Web Application Framework. Які виявив на сайті http://xataface.com, де використовується даний движок. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

06.08.2010

XSS:

http://site/admin.php?-table=pages&-search=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&-action=search_index

Full path disclosure:

http://site

Змінна DATAFACE_PATH в тілі кожної сторінки сайта.

Уразлива версія Dataface 1.0. Після мого повідомлення дані уразливості були виправлені розробником в останній версії системи.

В даній добірці уразливості в веб додатках:

• Palm Pre WebOS <=1.1 Remote File Access Vulnerability (деталі)
• Palm Pre WebOS 1.0.4 Remote execution of arbitrary HTML code vulnerability (деталі)
• XSS vulnerability in NPDS REvolution (деталі)
• Stored XSS vulnerability in NPDS REvolution (деталі)
• Caucho Technology Resin digest.php Cross Site Scripting Vulnerability (деталі)
• New mt-daapd packages fix several vulnerabilities (деталі)
• Cacti Multiple Parameter Cross Site Scripting Vulnerabilities (деталі)
• XSRF (CSRF) in NPDS REvolution (деталі)
• SQL injection vulnerability in LiSK CMS (деталі)
• Authentication Bypass of Snom Phone Web Interface (деталі)

У листопаді, 30.11.2009, я виявив Cross-Site Scripting уразливість в Mozilla та Firefox.

Дана уразливість дозволяє обійти заборону на виконання JavaScript коду в location-header редиректорах (при редирекції на javascript: URI). Вона подібна до Cross-Site Scripting уразливості в Mozilla та Firefox (через редиректори з відповіддю “302 Object moved”).

В Mozilla та Firefox (на сайтах, що використовують в редиректорі відповідь “302 Found”) при запиті до location-header редиректора з вказанням JavaScript коду, браузер виводить сторінку “Found”, де в лінці “here” виводить даний код. При натисканні на яку код спрацює. Тобто це Strictly social XSS, а також це ще один приклад Local XSS.

XSS:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді заголовок Location:
HTTP/1.x 302 Found
Location: javascript:alert(document.cookie)
Браузер виводить сторінку “Found”. При кліку по лінці “here” код спрацює в контексті даного сайту.

Окрім javascript URI, також можна використати data URI для виконання JS-коду, якщо редиректор виводить в заголовку Location символи “;” і “,” у чистому (не в URL encoding) вигляді.

Також в усіх версіях Mozilla та Mozilla Firefox можна використати інший варіант Strictly social XSS - з використанням -moz-binding (для Firefox < 3.0 або для Firefox => 3.0 з xml-файлом на цьому самому сайті) чи з використанням onMouseOver:

http://site/script.php?param=a:%22%20onMouseOver=%22alert(document.cookie)

При наведенні курсору на лінку “here” код спрацює в контексті даного сайту.

І якщо використати мою техніку MouseOverJacking, тоді можна автоматизувати дану атаку у всіх версіях Mozilla та Mozilla Firefox (особливо коли використання -moz-binding неможливе):

http://site/script.php?param=a:%22%20style=%22width:100%25;height:100%25;display:block;position:absolute;top:0px;left:0px%22%20onMouseOver=%22alert(document.cookie)

Дана атака працює якщо редиректор (з відповіддю “302 Found” чи “302 Object moved”) виводить подвійні лапки в заголовку Location у чистому (не в URL encoding) вигляді.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі Mozilla Firefox 3.0.19, Firefox 3.5.11, Firefox 3.6.8, Firefox 4.0b2 та попередні версії.

Уразливі Opera 10.53 та попередні версії (при цьому версія Opera 9.52 невразлива). В Opera код виконається не в контексті даного сайту.

Як і у випадку XSS через редиректори з відповіддю “302 Object moved”, до цієї уразливості також повинні бути уразливими SeaMonkey 1.1.17, Firefox 3.7 a1 pre, Orca Browser 1.2 build 5 та Maxthon 3 Alpha (3.0.0.145) з Ultramode.

[Оновлення: 16.09.2012]

Як я виявив, у версіях Firefox 10.0.7 і Firefox 15.0.1 дана уразливість більше не працює - вона була приховано виправлена Mozilla в Firefox 9.0.

17.12.2009

У квітні, 25.04.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.zn.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію сайта.

Даний сайт доступний за доменами www.zn.ua, www.zn.com.ua, www.zn.kiev.ua, www.mirror.kiev.ua, www.zerkalo-nedeli.com, www.dt.ua та www.mw.ua. І відповідно атаки можуть відбуватися за усіма доменами. Враховуючи, що це persistent XSS, то вона може використовуватися для інфікування сайта вірусами.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.08.2010

Insufficient Anti-automation:

http://www.zn.ua/1000/1550/66049/

На сторінках з новинами в формі коментарів відсутній захист від автоматизованих запитів (капча).

XSS (Persistent):

POST запит в формі коментарів на сторінках з новинами:
"><script>alert(document.cookie)</script>В полі Комментарий.

Якщо XSS уразливість вже виправлена (і в нових коментарях неможливе використання тегів), то Insufficient Anti-automation уразливість досі не виправлена.

Продовжуючи займатися захисним хаком (protecting hack), в рамках моєї концепції хакерських війн про яку я розповідав раніше, після квітневого захисту сайта www.peremoga.gov.ua (який був взломаний black SEO), я захистив новий сайт. Цього разу я захистив сайт http://bestmaster.com.ua.

Коли я виявив уразливість на bestmaster.com.ua, про яку я вже писав та повідомляв адмінам (але безрезультатно, бо вони не читають пошту), я звернув увагу на продажні лінки на сторінках сайта. І в мене виникла підозра, що на цьому сайті попрацювали black SEO-шники. І враховуючи, що зв’язатися з адмінами не вийшло, сьогодні я перевірив дану підозру і вона підтвердилася - black SEO окупували даний сайт і почали розміщувати на сайті свої лінки та заробляли на цьому гроші.

Даний сайт був взломаний 05.01.2010, після чого на ньому почали розміщувати лінки через брокера. Як і у випадку з сайтом www.peremoga.gov.ua, на даному сайті лінки також розміщували через SAPE. Це вже другий випадок коли SAPE використовується для блексео діяльності.

Тобто через веб брокера (через php-скрипт) зловмисники розміщували лінки на взломаному сайті (і це вже другий подібний випадок). В цьому, як і в попередньому випадку, власники SAPE самі отримували прибуток, тому можуть вважатися спільниками. Дану ситуацію я виправив і прибрав дані нехороші лінки.

В даній добірці уразливості в веб додатках:

• Hewlett-Packard OpenView NNM nnmRptConfig.exe Template Variable strcat Overflow Vulnerability (деталі)
• Hewlett-Packard OpenView NNM nnmRptConfig.exe Template Variable vsprintf Overflow Vulnerability (деталі)
• Hewlett-Packard OpenView NNM Multiple Command Injection Vulnerabilities (деталі)
• LinksAutomation Multiple Remote Vulnerabilities (деталі)
• phpGroupWare SQL Injections and Local File Inclusion Vulnerabilities (деталі)
• Websense Email Security Cross Site Scripting (деталі)
• Websense Email Security Web Administrator DoS (деталі)
• Joomla component SimpleDownload Local File Inclusion (деталі)
• XSS, SQL injection vulnerability in I-Vision CMS (деталі)
• XSS vulnerability in JComments, Joomla (деталі)

15.12.2009

У квітні, 24.04.2009, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://hackua.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

31.07.2010

Abuse of Functionality:

Логіні користувачів є їх іменами на форумі, що дозволяє визначити логіни в системі.

Abuse of Functionality:

На сторінці http://hackua.com/register.php?do=register в полі Логін можна визначити логіни користувачів в системі. Це також можна зробити через POST запит до скрипта http://hackua.com/ajax.php. Дана уразливість дозволяє провести Login Enumeration атаку.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

Insufficient Anti-automation:

http://hackua.com/sendmessage.php?do=sendtofriend&t=1001

http://hackua.com/sendmessage.php

http://hackua.com/register.php?do=register

На даних сторінках наявна слабка текстова капча (коли потрібно ввести лише одну і ту саму фразу).

Дані уразливості досі не виправлені.

Продовжую проект День багів в WordPress 2. Зараз я оприлюдню результати мого дослідження однієї Cross-Site Scripting уразливості в WordPress, що була оприлюднена в липні 2009 року.

В минулому році була виявлена Cross-Site Scripting уразливість в WordPress 2.8.1. Яка мала місце в параметрі url при відправці коментарів. Уразливість виявив iso^kpsbr і він представив експлоіт, що редиректив на сайт вказаний в полі url, при наведені курсором на відповідний текст. Це strictly social XSS.

По-перше, я визначив вразливі версії движка (чого не було зроблено автором експлоіта). Як я перевірив, уразливі версії WordPress 2.7 - 2.8.1. Попередні версії невразливі, лише в WP 2.7 відбулися зміни в коді обробки коментарів, що призвели до появи XSS уразливості. В версії 2.8.2 уразливість була виправлена.

По-друге, я розробив експлоіт, який не робить onClick через onMouseOver для редерекції на сайт, а безпосередньо проводить XSS атаку - в даному випадку це звичайний alert. Незважаючи на обмеження на доступні символи, проведення XSS атак з використанням цієї уразливості цілком реальне (хоча розробники WP заявляли, що уразливість дозволяє лише редиректити на інші сайти, як це було зроблено в згаданому експлоіті, але в своєму експлоіті я продемонстрував можливість й інших атак, зокрема доступу до кукісів). Атака відбувається через onMouseOver (тобто це strictly social XSS).

XSS:

WordPress XSS.html

Код спрацює при відвіданні адміном сторінки для перевірки коментарів (http://site/wp-admin/edit-comments.php) та наведенні курсором на відповідний текст. Також код спрацює на сторінці з даним коментарем (http://site/?p=1), коли будь-який користувач чи відвідувач сайта наведе курсор на відповідний текст, якщо коментар був дозволений адміном, або він автоматично був дозволений для публікації (при відповідних налаштуваннях сайта - коли немає премодерації, або коли даний користувач вже має коментарі на даному сайті). А також код спрацює на сторінці Dashboard (http://site/wp-admin/index.php) в блоці Recent Comments при наведенні курсором на відповідний текст.