Websecurity - Веб безпека

14.11.2009

Після виявлення попередніх XSS та Content Spoofing уразливостей в FCKeditor, у липні, 08.07.2009, я знайшов нову Cross-Site Scripting уразливість в FCKeditor. Дірку я виявив на сайті одного мого клієнта. Про що найближчим часом повідомлю розробникам редактора.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

16.01.2010

XSS:

Це persistent XSS через Flash.

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000"><param name=movie value="http://site/xss.swf"><param name="allowscriptaccess" value="always"><embed src="http://site/xss.swf" allowscriptaccess="always"></embed></object>

Дана уразливість в самому редакторі, тому її можна використати на будь-якому сайті, що використовує FCKeditor в якості редактора для веб форм.

Уразливі FCKeditor 2.6.4 та попередні (та наступні) версії.

Розробник виправляти дану уразливість не став мотивуючи тим, що FCKeditor немає вбудованих XSS фільтрів і це задача кожного розробника, що його використовує, фільтрувати вхідні дані. І враховуючи, що даний текстовий редактор має багатий функціонал, не всі вектори XSS атак виправляються, що призводить до появи подібних XSS уразливостей (як у випадку сайта мого клієнта, де дана уразливість могла призвести до зараження всього сайта XSS-хробаком).

В даній добірці уразливості в веб додатках:

• Cisco IOS MPLS VPN May Leak Information (деталі)
• Multiple Multicast Vulnerabilities in Cisco IOS Software (деталі)
• Multiple Cisco IOS Session Initiation Protocol Denial of Service Vulnerabilities (деталі)
• Cisco IOS Software Firewall Application Inspection Control Vulnerability (деталі)
• phpMyTourney adminfunctions.php Remote File Include Vulnerabilities (деталі)
• New gforge packages fix insufficient input sanitising (деталі)
• Safari < 3.2.3 Arbitrary Code Execution + PoC (деталі)
• Zoki Catalog SQL Injection (деталі)
• DirectAdmin <= v1.33.6 XSS vuln. (деталі)
• (GET var ‘name’) BLIND SQL INJECTION EXPLOIT FretsWeb 1.2 (деталі)

У травні, 10.05.2009, я знайшов Cross-Site Scripting уразливості на проекті http://www.abn-ad.com (банерна мережа). Про що найближчим часом сповіщу адміністрацію проекту.

Проблема така ж сама як і випадку численних уразливостей на www.banner.kiev.ua.

У флеш баннерах на піддоменах abnad.net (де розміщені банери ABN), є XSS уразливість. Якщо вони зроблені згідно з рекомендаціями банерної системи, то можлива XSS атака (strictly social XSS) через параметр url (при кліку на банер). Про подібну атаку я вже писав в статті XSS уразливості в 8 мільйонах флеш файлах.

XSS:

• alert(’XSS’)
• alert(document.cookie)
• цікавий

Google проіндексував на даному сайті 635 флеш банерів (хоча, як я перевірив, багато з цих банерів вже відсутні на сайті). Але їх може бути набагато більше.

До речі, раніше я вже писав про уразливості на www.abn-ad.com.

В даній добірці уразливості в веб додатках:

• CakeCMS XSRF Vulnerability (деталі)
• Pivot 1.40.4-7 - Multiple Vulnerabilities (деталі)
• SkyBlueCanvas 1.1 r237 - Multiple Vulnerabilities (деталі)
• TBDev 01-01-2008 - Multiple Vulnerabilities (деталі)
• transLucid 1.75 - Multiple Vulnerabilities (деталі)
• Webmedia Explorer - XSS Vulnerability (деталі)
• Cisco uBR10012 Series Devices SNMP Vulnerability (деталі)
• Cisco Unified Communications Manager Session Initiation Protocol Denial of Service Vulnerabilities (деталі)
• Cisco 10000, uBR10012, uBR7200 Series Devices IPC Vulnerability (деталі)
• Cisco IOS IPS Denial of Service Vulnerability (деталі)

15.08.2009

У грудні, 13.12.2008, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://e-mail.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на search.ua - пошуковій системі даного порталу.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.01.2010

XSS:

POST запит на сторінці http://e-mail.ua/passport/reg/
" style="xss:expression(alert(document.cookie))В полях: Фамилия, Имя, Город, Ответ на вопрос.

Insufficient Anti-automation:

http://e-mail.ua/passrem/

Немає капчі.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Advisory for Oracle CPU October 2008 - APEX Flows excessive privileges (деталі)
• Oracle PeopleTools – Authentication Weakness (деталі)
• Oracle DBMS – Proxy Authentication Vulnerability (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES S-CMS <= v-2.0 Beta3 (деталі)
• (Post Form var ‘username’) BLIND SQLi exploit S-CMS <= v-2.0 Beta3 (деталі)
• (Post Form login var ‘username’) BLIND SQLi exploit Open Biller 0.1 (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES Splog <= v-1.2 Beta (деталі)
• Cross-site scripting (XSS) vulnerability in Avaya Communications Manager (деталі)
• Multiple Vulnerabilities in TorrentTrader Classic 1.09 (деталі)
• SugarCRM 5.2.0e Remote Code Execution (деталі)

Раніше я вже писав про XSS уразливість в WP-Cumulus. Така ж уразливість є і в Blogumus (віджеті для Blogger), що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

Учора, 08.01.2010, я знайшов Cross-Site Scripting уразливість в Blogumus. Про що найближчим часом повідомлю розробнику.

На відміну від WP-Cumulus та інших плагінів, що використовують tagcloud.swf, осибливістю Blogumus є те, що він використовує один єдиний tagcloud.swf, розміщений на одному сервері. Відповідно атаки відбуваються лише через цей сервер, що зменшує ризик для користувачів даного віджету, а також спрощує процес виправлення уразливостей.

XSS:

http://halotemplates.s3.amazonaws.com/wp-cumulus-example/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

• alert(document.cookie)
• цікавий
• html включення

Раніше я вже писав про XSS уразливість в Joomulus для Joomla. Така ж уразливість є і в плагіні JVClouds3D (mod_jvclouds3D), що використовує tagcloud.swf розроблений автором WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 8 мільйонах флеш файлах. Я наводив приклад даної уразливості в JVClouds3D серед XSS уразливостей в tagcloud.swf на gov та gov.ua, зокрема на сайті http://spacecenter.gov.ua.

Сьогодні я знайшов Cross-Site Scripting уразливість в плагіні JVClouds3D для Joomla. Про що найближчим часом повідомлю розробникам.

XSS:

http://site/modules/mod_jvclouds3D/jvclouds3D/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

Також можна провести HTML Injection атаку, в тому числі на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

HTML Injection:

http://site/modules/mod_jvclouds3D/jvclouds3D/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Уразливі JVClouds3D 1.0.9b та попередні версії.

В даній добірці уразливості в веб додатках:

• SQL INJECTION VULNERABILITY LightOpen CMS Devel 0.1 (деталі)
• Joomla! 1.5.10 JA_Purity Multiple Persistent XSS (деталі)
• LightOpenCMS 0.1 pre-alpha Remote SQL Injection (деталі)
• Oracle Database SQL Injection in SYS.DBMS_CDC_PUBLISH.ALTER_AUTOLOG_CHANGE_SOURCE (деталі)
• Oracle Database multiple SQL Injection vulnerabilities in Workspace Manager (деталі)
• Oracle Database SQL Injection in SYS.DBMS_CDC_IPUBLISH.ALTER_HOTLOG_INTERNAL_CSOURCE (деталі)
• Oracle Database Multiple SQL Injection vulnerabilities in LTADM (деталі)
• SQL INJECTION VULNERABILITY Kjtechforce mailman Beta-1 (деталі)
• Zoki Catalog SQL Injection (деталі)
• MULTIPLE LOCAL FILE INCLUSION VULNERABILITIES S-CMS <= v-2.0 Beta3 (деталі)

В своїй статті XSS уразливості в 8 мільйонах флеш файлах я писав, що по даним Гугла в Інтернеті є до 34 мільйонів флешек (tagcloud.swf) потенційно вразливих до XSS атак. Файл tagcloud.swf розроблений автором плагіна WP-Cumulus для WordPress і постачається з даним плагіном для WP, а також з іншими плагінами, зокрема Joomulus для Joomla.

Так як на багатьох державних сайтах використовуються різні движки до яких розроблені плагіни з даним swf-файлом (і відповідно дані сайти можуть бути вразливі до XSS), я приведу вам перелік вразливих державних сайтів різних країн. Наступні державні сайти мають Cross-Site Scripting уразливості у флешці tagcloud.swf.

XSS на gov сайтах (окрім державних сайтів України):

http://gibdd.tambov.gov.ru

• alert(document.cookie)
• цікавий

http://dpw.ecprov.gov.za

• alert(document.cookie)
• цікавий

http://media1.aso.gov.au

• alert(document.cookie)
• цікавий

http://education.gov.lc

• alert(document.cookie)
• цікавий

http://www.muskegon-mi.gov

• цікавий

На даному сайті використовується пропатчена версія WP-Cumulus, в якій виправлена XSS, але в якій все ще наявна HTML Injection.

XSS на gov.ua сайтах:

http://www.galych-rada.gov.ua

• alert(document.cookie)
• цікавий

http://www.smida.gov.ua

• alert(document.cookie)
• цікавий

http://cult.gov.ua

• alert(document.cookie)
• цікавий

http://spacecenter.gov.ua

• alert(document.cookie)
• цікавий

http://uit.umvs-kherson.gov.ua

• alert(document.cookie)
• цікавий

http://letadm.gov.ua

• alert(document.cookie)
• цікавий

http://old.smida.gov.ua

• alert(document.cookie)
• цікавий