Websecurity - Веб безпека

10.07.2009

У жовтні, 01.10.2008, я знайшов SQL Injection, SQL DB Structure Extraction та Cross-Site Scripting уразливості на проекті http://www.a-counter.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.a-counter.com.

Детальна інформація про уразливості з’явиться пізніше.

06.03.2010

SQL Injection:

http://www.a-counter.com/cgi-bin/ratecat?code=%22'%20or%20version()=4.1%20or%201='

SQL DB Structure Extraction:

http://www.a-counter.com/cgi-bin/ratecat?code=’%221

XSS:

• alert(’XSS’)

Уразливості досі не виправлені.

Як я нещодавно згадував, в цьому році житель Луцька дістав базу даних Укртелекома і намагався її продати, після чого був пійманий міліцією. При тому, що подібні диски з Базою 09 продаються в Україні вже багато років, зокрема в Києві. Тому Укртелеком сам постійно створює подібні витоки даних, що й дозволяє створювати подібні БД та поширювати їх на компакт дисках.

І раніше я вже писав про уразливість на сайті Укртелекома, що дозволяє отримати всі дані з їхньої БД (в тому числі потенційно й ті, яких не знайдеш в Базі 09). Так що можливість витоків даних від Укртелекома цілком зрозуміла.

Нещодавно, 21.02.2010, досліджуючи це питання за Базою 09, я зайшов на http://www.kyiv.ukrtelecom.ua і виявив Information Leakage уразливість. Що призводить до витоку даних про абонентів Укртелекома.

В своїй онлайновій базі Служба 109, Укртелеком видає забагато інформації. Він видає не тільки телефон, але й призвіще, ініціали (невірно) і вулицю (без дома і квартири). При цьому дозволяє використовувати wildcard-символи.

Хоча сам заявляє про “пошук телефону абонентів квартирного сектору”, тобто повинен тільки телефони видавати. Тобто він дає завеликий витік інформації. За допомогою даного сервісу можна знайти забагато інформації, навіть не маючи Бази 09.

Продовжу тему витоку інформації про версію системи. Як я зазначав, виведення версії системи - це поширена функція у веб додатках та веб системах. Багато різних движків виводять інформацію про версію системи і дана можливість движків є уразливістю. Це витік інформації (Information Leakage) про версію системи, що може бути використаний для атаки на сайти, що використовують даний движок.

Наведу нові приклади Information Leakage уразливостей в різних веб додатках, що приводять до витоку інформації про версію системи.

Mambo

В Mambo є декілька витоків інформації:

• На сторінці адмінки http://site/administrator/ виводиться (у вигляді зображення) версія системи (4.5.2).
• В фідах (http://site/index2.php?option=com_rss&feed=RSS0.91, http://site/index2.php?option=com_rss&feed=RSS1.0, http://site/index2.php?option=com_rss&feed=RSS2.0, http://site/index2.php?option=com_rss&feed=ATOM0.3) виводиться версія (Mambo 4.5.2).
• В файлах /css/admin.css, /docs/Manual_Installation.html, /docs/Changelog.txt або /CHANGELOG (в різних версіях) та /sql/*.sql або /installation/sql/*.sql (в різних версіях).

MODx

В MODx є декілька витоків інформації:

• На сторінці адмінки http://site/manager/ вказані роки копірайту “2005-2008″, з чого можна визначити приблизну версію системи.
• В файлах /install/changelog.txt та /install/setup.sql.

phpAdsNew

В phpAdsNew є декілька витоків інформації:

• В мета-тезі в адмінці виводиться версія системи (phpAdsNew 2.0.8).
• В файлах /README та /misc/ChangeLog.

OpenAds

В OpenAds є декілька витоків інформації:

• В мета-тезі в адмінці (http://site/www/admin/) виводиться версія системи (Openads v2.4).
• В файлах /README.txt та /misc/ChangeLog.txt.

OpenX

В OpenX є декілька витоків інформації:

• В мета-тезі в адмінці (http://site/www/admin/) виводиться версія системи (OpenX v2.8.3).
• В файлах /README.txt, /RELEASE_NOTES.txt, /TRANSLATIONS.txt (неповна версія), /UPGRADE.txt (неповна версія) та /docs/KNOWN_ISSUES.txt (неповна версія).

В даній добірці уразливості в веб додатках:

• LightBlog Remote File Upload Vulnerability (деталі)
• LiveCart XSS vulnerability fixed since version 1.1.0 (деталі)
• sflog! 0.96 remote file disclosure vulnerabilities (деталі)
• phpShop <= v 0.8.1 Remote SQL injection / Filter Bypass (деталі)
• WowWee Rovio - Insufficient Access Controls - Covert Audio/Video Snooping Possible (деталі)
• New gnome-peercast packages fix several vulnerabilities (деталі)
• New peercast packages fix arbitrary code execution (деталі)
• Heap overflow in PeerCast 0.1217 (деталі)
• Hyperic HQ Multiple XSS (деталі)
• XSS in Blackberries Mobile Data Service Connection Service (деталі)

24.08.2009

У січні, 03.01.2009, я знайшов SQL Injection, SQL DB Structure Extraction та Full path disclosure уразливості на проекті http://www.findthatfile.com (пошукова система). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

04.03.2010

SQL Injection:

http://www.findthatfile.com/?q=test&mediaselect='%20and%20benchmark(10000,md5(now()))%20and%201='1

SQL DB Structure Extraction:

http://www.findthatfile.com/?q=test&mediaselect=’

Full path disclosure:

http://www.findthatfile.com/?q=test&mediaselect=’%20a()

Виправлена лише Full path disclosure уразливість. Всі інші уразливості досі не виправлені. В SQL Injection виправлений лише вектор атаки з benchmark, але можливі інші атаки на select запит, а також атаки на запити insert та update.

У липні, 26.07.2009, досліджуючи експлоіт для DoS уразливоті в findText в IE7 та IE8 (розроблений Hong10), я виявив, що даний експлоіт також працює в IE6. Тобто це Denial of Service уразливість в Microsoft Internet Explorer 6, 7 і 8.

DoS:

IE DoS Exploit.html

При запуску експлоіта браузер вилітає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) і попередні версії. А також, за повідомленням автора, IE7 та IE8.

В даній добірці уразливості в веб додатках:

• STEAM (Valve) - Phishing and Cross-site Scripting in internal browser (деталі)
• PBBoard <=2.0.2 - XSS in Topic (деталі)
• PBBoard <=2.0.2 Full Path Disclosure (деталі)
• Palm Pre WebOS <=1.1 Remote File Access Vulnerability (деталі)
• Hyperic HQ - Stored XSS in alerts list (деталі)
• Hyperic HQ - Reflected XSS in stack trace (деталі)
• New boinc packages fix validation bypass (деталі)
• New lasso packages fix validation bypass (деталі)
• Vulnerabilities in OpenSSL (деталі)
• Multiple OpenSSL signature verification API misuses (деталі)

Подібно до уразливостей на cpmstar.com, www.banner.kiev.ua, c8.net.ua, www.abn-ad.com та в банерних системах на движках phpAdsNew, OpenAds та OpenX, також є уразливості в багатьох інших банерних системах.

В рекламному брокері http://prospero.ru, який надає можливість медійної реклами (в тому числі й за допомогою флеш банерів), є тіж самі уразливості у флешках. На даному сайті я вже давно виявив Cross-Site Scripting уразливості. Які мають місце з 2005 року, як цей брокер розпочав роботу. Тобто весь цей час на сайті є XSS уразливості у всіх флеш банерах усіх рекламодавців.

XSS атака (strictly social XSS) можлива через параметр jump (при кліку на банер). Про подібну атаку я вже писав в статті XSS уразливості в 8 мільйонах флеш файлах.

XSS:

• alert(’XSS’)
• alert(document.cookie)
• цікавий

Раніше дана атака працювала в усіх браузерах. Зараз, як я перевірив, через некоректні налаштування на сервері, дана атака працює лише в IE (в інших браузерах флеш банер не відображується в браузері, його можна лише скачати з сайта).

В даній добірці уразливості в веб додатках:

• CiscoWorks TFTP Directory Traversal Vulnerability (деталі)
• Blogolet XSS (деталі)
• UMI.CMS Hash based Captcha (деталі)
• UMI.CMS Multiple XSS (деталі)
• 1C Bitrix 8.0.5 Admin Console XSS (деталі)
• 1C Bitrix WAF multiple XSS (деталі)
• Sun Java Pack200 Decoding Inner Class Count Integer Overflow Vulnerability (деталі)
• Sun Java Web Start JPEG Header Parsing Integer Overflow Vulnerability (деталі)
• Sun Java Runtime Environment (JRE) Pack200 Decompression Integer Overflow Vulnerability (деталі)
• FlatPress 0.804-0.812.1 Local File Inclusion to Remote Command Execution (деталі)

21.12.2009

У квітні, 24.04.2009, я виявив Abuse of Functionality та Insufficient Anti-automation уразливості в форумному движку vBulletin. Уразливості виявив на hackua.com, який використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в vbAnonymizer для vBulletin.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

26.02.2010

Abuse of Functionality:

Логіні користувачів є їх іменами на форумі, що дозволяє визначити логіни в системі.

Abuse of Functionality:

На сторінці http://site/register.php?do=register в полі Логін можна визначити логіни користувачів в системі. Дана уразливість дозволяє провести Login Enumeration атаку.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

Insufficient Anti-automation:

http://site/sendmessage.php?do=sendtofriend&t=1

http://site/sendmessage.php

http://site/register.php?do=register

Можливі відсутність капчі або наявність слабкої текстової капчі (коли потрібно ввести лише одну і ту саму фразу).

Уразливі vBulletin 3.8.0 та попередні версії (та наступні версії).