Websecurity - Веб безпека

Нещодавно я писав про нові уразливості на auction.ua, де згадав про партнерський скрипт від auction.ua. Як я писав, даний партнерський скрипт реалізований таким чином, що домен сайта (основний домен) або його піддомен може бути зроблений як аукціон на движку auction.ua. Тобто він лише редиректить на головний сайт “під виглядом партнерського”. І відповідно всі дірки на головному сайті наявні й на партнерських сайтах.

І я перевірив деякі з раніше мною знайдених і оприлюднених уразливостей на auction.ua (зокрема Cross-Site Scripting), чи вони ще працюють, і чи вони працюють на партнерських сайтах.

XSS (IE):

Дана уразливість на auction.ua була виправлена погано ще в 2007 році. Спочатку її не виправили, а потім в 2007 році її виправили, але погано, і при невеликій модифікації коду вона знову працює.

• alert(document.cookie)
• цікавий

Вона працює на souvenirs.auction.ua та інших сайтах на піддоменах auction.ua:

• alert(document.cookie)

Але не працює у випадку, якщо сайт на окремих доменах: auction.shram.kiev.ua, auction.ukrop.com та ubuy.com.ua.

XSS (IE):

Серед уразливостей на aukcion.ua та auction.ua працює одна (хоча й редиректить на дещо інший URL).

• alert(document.cookie)
• цікавий

Та на партнерських сайтах:

http://souvenirs.auction.ua

• alert(document.cookie)

http://auction.shram.kiev.ua

• alert(document.cookie)

http://auction.ukrop.com

• alert(document.cookie)

http://ubuy.com.ua

• alert(document.cookie)

Всі веб сайти що базуються на движку auction.ua вразливі, так само як і головний сайт аукціону. А таких сайтів чимало (орієнтовно 295 партнерських сайтів).

Існують численні Cross-Site Scripting уразливості в Invision Power Board. Атака відбувається через атачмент (при кліку на атачмент в пості на форумі чи на лінку на даний атачмент). Це persistent XSS уразливості.

Про можливість атаки через swf-файли мені вже давно відомо. Тому я вже багато років тому відключив підтримку swf-файлів в атачментах (і в аватарах та фотографіях). Також я писав на початку 2008 про XSS уразливість в IPB через включені флешки і випустив виправлення для неї в своєму MustLive Security Pack.

В 2008 році була виявлена Cross-Site Scripting уразливість в IPB через htm і html файли в атачментах. Вона стосувалася Internet Explorer, в якому код виконувався в контексті сайта (в Mozilla і Firefox код виконувався локально). Але як я сьогодні перевірив, в Opera код також виконується в контексті сайта.

А нещодавно була виявлена нова XSS уразливість в IPB, цього разу через txt-файли. Яка стосується Internet Explorer. У випадку htm, html і txt-файлів (а також нищезгаданих php, rtf і xml-файлів) найкращим методом захисту від XSS є відключення їх підтримки на форумі (подібно до swf-файлів).

Сьогодні, 12.12.2009, я виявив нові Cross-Site Scripting уразливості в Invision Power Board. Атака відбувається через файли php, rtf та xml (в атачментах).

Можливі наступні атаки:

1. Атака через завантаження php-файлів з JavaScript кодом. Працює в IE та Opera в контексті сайта. В браузерах Mozilla та Firefox файл запускається локально (не в контексті сайта) при виборі відкрити в браузері. Відповідно у випадку атаки через htm, html та php файли на браузери Mozilla та Firefox, які відкривають їх локально (при виборі користувачем у діалоговому вікні), можлива атака на локальний компьютер користувача.

2. Атака через завантаження rtf-файлів з JavaScript кодом. Працює тільки в Internet Explorer.

3. Атака через завантаження xml-файлів з JavaScript кодом. Працює в Mozilla, Firefox, Opera та Chrome (але без доступу до кукісів).

XSS:

Для атаки через htm, html, php, rtf та txt-файли, потрібно зробити файл з наступним змістом (і завантажити в атачменті на форум):
<script>alert(document.cookie)</script>

Тестував на Invision Power Board 1.3 та 2.2.2. Уразливими повинні бути всі версії IPB 1.x (зокрема для txt), 2.x та 3.0.x. Автор advisory про атаку через txt-файли зазначав, що в IPB 3.0.4 є деяки фільтри проти XSS при завантаженні файлів, але їх можна обійти.

Перевірку провів в наступних браузерах: Internet Explorer 6 (6.0.2900.2180), Mozilla 1.7.x, Mozilla Firefox 3.0.15, Opera 9.52 та Google Chrome 1.0.154.48.

Виявлена Cross-Site Scripting уразливість в IPB. Це persistent XSS уразливість, що дозволяє розмістити txt-файл з атакуючим html кодом на сторінках форума.

Уразливі Invision Power Board 3.0.4 та попередні версії.

IPB задає такий MIME-тип для txt файлів, що при наявності в них html коду (наприклад атакуючого коду), він виконається в браузері IE. Уразливість працює при перегляді атачмента в Internet Explorer, але не в інших браузерах. Уразливість подібна до Cross-Site Scripting в Invision Power Board, але використовуються не html, а txt файли для атаки.

• IPB v2.x up to 3.0.4 XSS vulnerability (деталі)

Зазначу, що автор advisory заявляє, що в IPB для txt файлів заданий MIME-тип application/x-dirview. При цьому в мене на форумі (на IPB 2.2.2) для txt файлів був по замовчуванню заданий MIME-тип text/plain і атака працювала. Тому рекомендація автора встановити text/plain не є ефективною (а в IPB 1.x взагалі немає можливості встановити MIME-тип) і я раджу взагалі відключити підтримку txt файлів на форумі.

В даній добірці уразливості в веб додатках:

• Openfire multiple vulnerabilities (деталі)
• USER OPTIONS CHANGER EXPLOIT MiniTwitter v0.2-Beta (деталі)
• MULTIPLE SQL INJECTION VULNERABILITIES MiniTwitter v0.2-Beta (деталі)
• BLIND SQL INJECTION Leap CMS 0.1.4 (деталі)
• Walusoft TFTPServer2000 Version 3.6.1 Directory Traversal (деталі)
• MULTPLE REMOTE VULNERABILITIES ProjectCMS v-1.1 Beta (деталі)
• Cross-Site Scripting vulnerability in MyBB 1.4.5 (деталі)
• Coppermine Photo Gallery 1.4.21 Cross-Site Scripting (деталі)
• New drupal6 packages fix multiple vulnerabilities (деталі)
• SQL INJECTION VULNERABILITIES ST-Gallery version 0.1 alpha (деталі)

03.08.2009

У грудні, 12.12.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості на проекті http://www.interface.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.interface.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.12.2009

Insufficient Anti-automation:

http://www.interface.ru/services/mailfrompage.asp

Відсутній захист від автоматизованих запитів (капча).

Abuse of Functionality:

http://www.interface.ru/services/mailfrompage.asp

В параметрі toaddr можна задати довільний емайл адрес. Що дозволяє розсилати спам, враховуючи можливість модифікації й інших полів форми. А з врахуванням Insufficient Anti-automation, дана уразливість створює з форми цілий Spam Gateway.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

У квітні, 15.04.2009, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на проекті http://yashik.tv (відео хостінг). Як я нещодавно вияснив, проект yashik.tv змінів домен на video.tochka.net (і від зміни домена дірки нікуди не ділися).

Дані уразливості подібні до уразливостей на www.google.com та на багатьох інших сайтах.

Abuse of Functionality:

На сторінці реєстрації http://video.tochka.net/register/ функція “Проверить”, яка призначена для перевірки чи вільний даний логін, дозволяє дізнатися логіни користувачів в системі. В тому числі, Login Enumeration атаку можна провести через GET запит: http://video.tochka.net/register/check_username/?login=test.

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів користувачів. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів сайта.

В даній добірці уразливості в веб додатках:

• Simple DNS Plus 5.0/4.1 < remote Denial of Service exploit (деталі)
• Formshield Captcha - Older Version vulnerable to replay attacks (деталі)
• Hewlett-Packard OVIS Probe Builder Arbitrary Process Termination Vulnerability (деталі)
• HP OpenView Internet Services Running Probe Builder, Remote Denial of Service (DoS) (деталі)
• SQL INJECTION (SHELL UPLOAD) EZ-blog Beta2 (деталі)
• MataChat Cross-Site Scripting Vulnerabilities (деталі)
• MULTIPLE REMOTE SQL INJECTION VULNERABILITIES MIM:InfiniX v1.2.003 (деталі)
• New vulnerabilities in Aardvark Topsites PHP (деталі)
• MULTIPLE REMOTE VULNERABILITIES Leap CMS 0.1.4 (деталі)
• SQL INJECTION (SQLi) VULNERABILITY ProjectCMS v1.0 Beta Final (деталі)

14.02.2009

У березні, 31.03.2008, я знайшов SQL DB Structure Extraction та SQL Injection уразливості на проекті http://uareferat.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

09.12.2009

SQL DB Structure Extraction:

http://uareferat.com/rus/details/13220/

http://uareferat.com/rus/referaty/’/

http://uareferat.com/rus/’/

http://uareferat.com/rus/referaty/1/-1/

http://uareferat.com/abton/

SQL Injection:

http://uareferat.com/rus/details/’+benchmark(10000,md5(now()))+’/

http://uareferat.com/rus/referaty/1′+version()-’1/

Вивело п’ятий розділ сайта, значить MySQL 5.x.

http://uareferat.com/rus/referaty/1?+benchmark(10000,md5(now()))-’1/

http://uareferat.com/rus/’+benchmark(10000,md5(now()))+’/

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• Motorola Timbuktu’s Internet Locator Service real-time data exposed to public (деталі)
• FOWLCMS 1.1 Multiple Remote Vulnerabilities (деталі)
• SAP Cfolders Multiple Linked XSS Vulnerabilities (деталі)
• SAP Cfolders Multiple Stored XSS Vulnerabilies (деталі)
• HTTP Response Splitting vulnerability in Sun Delegated Administrator (деталі)
• MixedCMS 1.0 Multiple Remote Vulnerabilities (деталі)
• New mahara packages fix cross-site scripting (деталі)
• Telecom Italia Alice Pirelli routers backdoor discoverd to activate telnet/ftp/tftp from internal LAN/WLAN (деталі)
• REMOTE SQL INJECTION (SQLi) VULNERABILITY Photo-Rigma.BiZ v30 (деталі)
• Pragyan CMS 2.6.4 Multiple SQL Injection Vulnerabilities (деталі)

29.07.2009

У грудні, 05.12.2008, я знайшов Cross-Site Scripting уразливості на проекті http://tabloid.pravda.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Стосовно проекту ТаблоID раніше я вже писав про уразливість на tabloid.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.12.2009

XSS:

• alert(document.cookie)
• alert(document.cookie) - ще один приклад XSS на 404 сторінці

Дані уразливості вже виправлені. Тільки варто не забувати дякувати людям, що дбають про безпеку вашого сайта, як це має місце у випадку Таблоіда (що цього разу, що попереднього).