Websecurity - Веб безпека

13.01.2009

У березні, 03.03.2008, я знайшов SQL Injection, Full path disclosure і Cross-Site Scripting уразливості на http://prp.org.ua - сайті політичної партії ПРП. Про що найближчим часом сповіщу адміністрацію сайта.

Зазначу, що ще 3 березня 2008 року я повідомив розробників сайта про наявність дірок на ньому і навів їм приклад XSS. Але ні XSS, ні жодна інша дірка на сайті так досі й не була виправлена. Що дуже несерйозно як для веб сайта політичної сили.

Детальна інформація про уразливості з’явиться пізніше.

26.06.2009

SQL Injection:

http://prp.org.ua/index.php?mid=-1%20union%20select%201,1,version(),1,1,1,1,1

XSS (через SQL Injection):

• alert(document.cookie)
• цікавий

Full path disclosure:

http://prp.org.ua/index.php?mid=’

http://prp.org.ua/includes/stat.php

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Advisory Adobe LiveCycle Workflow XSS Vulnerability (деталі)
• E-SMART CART (productsofcat.asp) Remote SQL Injection Vulnerability (деталі)
• Muitiple XSS - Glassfish Web Interface (Sun Java System Application Server 9.1_01 (build b09d-fcs)) (деталі)
• PHP JOBWEBSITE PRO (JobSearch3.php) SQL Injection Vulnerability (деталі)
• Pre Ads Portal <= 2.0 Sql Injection Vulnerability (деталі)
• Pre News Manager <= 1.0 (index.php id) Sql Injection Vulnerability (деталі)
• LFI in Open Azimyt CMS 0.22 (деталі)
• VistaReseller Panel BETA Xss Vulnerability (деталі)
• SAP MaxDB sdbstarter Privilege Escalation Vulnerability (деталі)
• SAP MaxDB Signedness Error Heap Corruption Vulnerability (деталі)

У квітні, 12.04.2008, я знайшов Insufficient Anti-automation уразливості на http://www.headtechnology.com.ua - сайті секюріті компанії headtechnology.

Insufficient Anti-automation:

http://www.headtechnology.com.ua/index.php?option=com_wrapper&Itemid=170
http://www.headtechnology.com.ua/index.php?option=com_wrapper&Itemid=176

Форми заявок не мають захисту від автоматизованих запитів (капчі). Що є звичайним явищем на сайтах секюріті компаній, як у випадку Secunia.

В даній добірці уразливості в веб додатках:

• Layered Defense Research Advisory: Juniper Netscreen Firewall Cross-Site-Scripting (XSS) event log injection (деталі)
• Multiple vulnerabilities in TYPO3 Core (деталі)
• PHPEasyData 1.5.4 Multiple Vulnerabilities (деталі)
• Many bugs on CMS system Piugame (деталі)
• CA Service Desk Multiple Cross-Site Scripting Vulnerabilities (деталі)
• Exploit for vBulletin “obscure” XSS (3.7.1 & 3.6.10) (деталі)
• Pooya Site Builder (PSB) SQL Injection Vulnerabilities (деталі)
• ASPPortal Free Version (Topic_Id) Remote SQL Injection Vulnerability (деталі)
• Flat Calendar v1.1 Remote Permission Bypass Vulnerability (деталі)
• phpRaider <= v1.0.6,7 Maybe Other Versions Remote File include Vulnerable (деталі)

21.03.2009

У травні, 02.05.2008, я знайшов нові Cross-Site Scripting та Information Leakage уразливості на http://www.privatbank.ua - сайті ПриватБанка. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно банка ПриватБанк раніше я вже писав про уразливості на www.privatbank.ua та уразливості на www.blog.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

22.06.2009

XSS:

• alert(document.cookie)
• цікавий
• html включення

Information Leakage:

http://www.privatbank.ua/info/index1.stm?url=/info/menu/vyvod.ssc
http://www.privatbank.ua/info/index1.stm?url=/info/menu/listitems.ssc

На даних та на багатьох інших сторінках сайта в коді сторінки (в коментарях) виводиться важлива інформація про БД. Зокрема ім’я сервера, ім’я бази даних та логін.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• HP-UX Running ftpd, Remote Privileged Access (деталі)
• PixelPost 1.7.1 File Disclosure (деталі)
• Apple Safari StyleSheet ownerNode Heap Corruption Vulnerability (деталі)
• XSS - Glassfish Web Admin Interface (Sun Java System Application Server 9.1_01 (build b09d-fcs)) (деталі)
• DCFM Blog 0.9.4 (comments) Remote SQL Injection Vulnerability (деталі)
• Insanely Simple Blog 0.5 (index) Remote SQL Injection Vulnerabilities (деталі)
• yBlog 0.2.2.2 Multiple Remote Vulnerabilities (деталі)
• DCFM Blog 0.9.4 (comments) Remote SQL Injection Vulnerability (деталі)
• ErfurtWiki <= R1.02b (css) Local File Inclusion Vulnerability (деталі)
• Tornado Knowledge Retrieval System <= 4.2 Remote XSS Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Upload File, Photoracer і Nextgen gallery. Для котрих з’явилися експлоіти. Upload File - це плагін для завантаження файлів, Photoracer - це плагін для створення змагань фотографій, Nextgen gallery - це плагін для створення галерей зображень.

• vuln in WordPress plugin Upload File(UP) (деталі)
• WordPress Plugin Photoracer 1.0 (id) SQL Injection Vulnerability (деталі)
• XSS - Nextgen gallery 0.96 wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

13.03.2009

У квітні, 29.04.2008, я знайшов Cross-Site Scripting уразливості на проекті http://siteua.org (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

19.06.2009

Уразливості мали місце як на домені it.siteua.org, так і на інших піддоменах siteua.org.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

У вересні, 28.09.2008, я знайшов Cross-Site Scripting уразливості браузерах Mozilla та Google Chrome. Уразливість виявив ще в Google Chrome 0.2.149.30 (одній з перших версій Хрома) і вона працює в Chrome 1.0.154.48 (і вірогідно в Chrome 2).

XSS:

Атака відбувається через view-source.

view-source:javascript:alert('XSS')

Або закодований варіант:

view-source:javascript:%61%6C%65%72%74%28%27%58%53%53%27%29

В Mozilla атака спрацьовує при вказані даного коду в адресному рядку та через iframe (тому можлива прихована атака через невидимий іфрейм).

В Chrome атака спрацьовує лише якщо зайти у вихідний код сторінки (Ctrl-U) і в ньому задати даний код. Тобто потрібно за допомогою соціальної інженерії змусити користувача натиснути Ctrl-U в браузері й вставити даний код у адресний рядок. Тому у випадку Chrome, це Strictly social XSS.

Уразлива версія Mozilla 1.7.x та старі версії Mozilla і Firefox. Firefox 2 і Firefox 3 не вразливі.

Уразлива версія Google Chrome 1.0.154.48 та попередні версії (і потенційно наступні версії).

В даній добірці уразливості в веб додатках:

• SonicWALL Content-Filtering Universal Script Injection Vulnerability (деталі)
• Sonicwall SOHO Content Blocking Script Injection, LogFile Denial of Service (деталі)
• BP Blog 6.0 (id) Remote Blind SQL Injection Vulnerability (деталі)
• SMEweb 1.4b (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• e107 Plugin echat MENU Blind SQL Injection Vulnerability (деталі)
• QuickerSite Multiple Vulnerabilities (деталі)
• Multiple Vendor Snort IP Fragment TTL Evasion Vulnerability (деталі)
• WEBAlbum <= 2.0 Remote Stored Cross Site Scripting Vulnerability (деталі)
• SchoolCenter URL Handling Cross Site Scripting Vulnerability (деталі)
• webTA by kronos - XSS (деталі)