Websecurity - Веб безпека

У серпні, 24.08.2008, я знайшов SQL Injection уразливість на сайті http://www.textil.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на www.textil.com.ua.

SQL Injection:

http://www.textil.com.ua/modules.php?op=modload&name=News&file=article&sid=-1%20or%20version()%3E4

На сайті використовується WAF (ModSecurity), який я обійшов даним запитом .

В даній добірці уразливості в веб додатках:

• Beehive/SendFile.NET - Secure File Transfer Appliance Hardcoded Credentials (деталі)
• Security Advisory for Bugzilla 3.0.3, 3.1.3, 2.22.3, and 2.20.5 (деталі)
• phpMyAdmin: Information disclosure (деталі)
• QTOFileManager V 1.0<== Remote File Upload Vulnerability (деталі)
• Power Editor LOCAL FILE INCLUSION Vulnerbility (деталі)
• Kmita Mail <= 3.0 (file) Remote File Inclusion Vulnerability (деталі)
• Kmita Tellfriend <= 2.0 (file) Remote File Inclusion Vulnerability (деталі)
• Scout Portal Toolkit <= 1.4.0 (ParentId) Remote SQL Injection Exploit (деталі)
• Anserv Auction XL (viewfaqs.php cat) Blind Sql Injection Vulnerability (деталі)
• Eye-Fi Multiple Vulnerabilities (деталі)

У травні, 17.05.2009, я знайшов SQL Injection, Full path disclosure та Information Leakage уразливості на сайті http://www.presepjumalta.org. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.01.2009

У березні, 19.03.2008, я знайшов Cross-Site Scripting уразливості на проекті http://www.kp.ru (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.05.2009

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Мені періодично доводиться стикатися з інфікованими сайтами в Уанеті. Раніше я вже писав про інфікований сайт www.doski.zp.ua.

Сьогодні, під час пошуку в Гуглі, я виявив ще один заражений сайт - http://users.kharkiv.com. Бо Google повідомив стосовно нього, що “Ця сторінка може заподіяти шкоду вашому комп’ютерові”. На сайті інфіковано вісім сторінок користувача users.kharkiv.com/bereginya/.

Після того, як я сам перевірив сайт користувача bereginya (сайт в рамках users.kharkiv.com), я впевнився, що він інфікований. Сайт переповнений шкідливими кодами - на кожній сторінці даного сайту розміщені численні шкідливі JavaScript коди.

Адміністрації users.kharkiv.com (і зокрема користувачу bereginya) варто витерти шкідливі коди з сайта і почати серйозно слідкувати за безпекою власного сайта.

В даній добірці уразливості в веб додатках:

• Access violation and limited informations disclosure in webcamXP 3.72.440.0 (деталі)
• Maian Support v1.3 Xss Vulnerabilities (деталі)
• Maian Recipe v1.2 Xss Vulnerabilities (деталі)
• Maian Music v1.1 Multiple Vulnerabilities (Xss/SQL Injection) (деталі)
• Maian Links v3.1 XSS Vulnerabilities (деталі)
• Maian Cart v1.1 XSS Vulnerabilities (деталі)
• JRockit: Multiple vulnerabilities (деталі)
• Sun JDK Image Parsing Library Vulnerabilities (More ICC Parsing) (деталі)
• Sun JDK image parsing vulnerabilities (деталі)
• US-CERT Technical Cyber Security Alert TA08-066A — Sun Updates for Multiple Vulnerabilities in Java (деталі)

18.12.2008

У лютому, 05.02.2008, я знайшов Insufficient Anti-automation уразливість, а з часом також Cross-Site Request Forgery, SQL Injection та Cross-Site Scripting уразливості на сайті http://www.blog.privatbank.ua (блог ПриватБанка). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно банка ПриватБанк раніше я вже писав про уразливості на www.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.05.2009

На сайті використовується плагін CapCC для WordPress, про уразливості в якому я вже розповідав.

На даному сайті є наступні уразливості (в плагіні CapCC): Insufficient Anti-automation, Cross-Site Request Forgery, SQL Injection та Cross-Site Scripting (reflected та persistent).

Дані уразливості досі не виправлені. Що традиційно для ПриватБанка.

Нещодавно я писав про Abuse of Functionality уразливість в WordPress. Яку виявив Jeff Starr, власник сайта perishablepress.com, коли в нього на сервері відбувся сбій MySQL. До неї уразливі всі версії движка - WordPress 2.7.1 та попередні версії.

Я знаходив чимало уразливостей в WordPress і його плагінах, але на можливість цієї уразливості я не звернув уваги (мабуть тому, що завжди видаляю інсталяційні файли після інсталяції ). Зате на це звернув увагу Jeff, коли в нього виникли проблеми на сайті. До речі, в своєму записі Important Security Fix for WordPress Jeff навів декілька рекомендацій по виправленню цієї уразливості.

Дана уразливість пов’язана з інсталяційними файлами, якщо вони знаходяться на сервері. І я розробив декілька варіантів атаки на дану Abuse of Functionality уразливість в WordPress.

Як я писав, інсталятор WP повинен перевіряти, чи не встановлений движок. І якщо він встановлений, то виводити відповідне повідомлення. Але у випадку, коли має місце збій MySQL, він цього не перевіряє і дає переінстялювати движок.

Зокрема, як зазначив Jeff, у випадку коли database (що вказана в налаштуваннях WP) повністю відсутня, то інсталятор WP думає, що движок не встановлений і виводить інсталяційний діалог. Також, під час досліджень, я виявив можливість інших варіантів атаки.

Можна атакувати сайт навіть коли є database движка і присутній зв’язок з MySQL, але при цьому є збій в одній з таблиць WP (яку перевіряє інсталятор). Зокрема, атака можлива коли пошкоджена таблиця wp_options (в WordPress 2.6.2), або wp_users (в WordPress 2.0.3 та 2.0.11). Тобто в різних версіях WP різні таблиці є головними при перевірці в інсталяторі - це може бути або таблиця wp_options або wp_users (наврядчи ще якась інша таблиця буде головною для інсталятора в інших версіях WP).

Варіанти атаки на сайт на WordPress (на якому міститься інсталятор):

1. У випадку, коли на сайті відбувся подібний збій з MySQL і виведиться діалог інсталятора, то можна атакувати сайт. Враховуючи, що це дуже малоімовірно, і потрібно ще зафіксувати час даного збою, то варто використати інший варіант атаки.

2. Зробити DoS атаку на MySQL для атаки на WordPress. За рахунок DoS атаки відбудеться збій при зв’язку з MySQL і потенційно інсталятор може вивести діалог інсталяції. Хоча в більшості випадків зв’язок з СУБД буде повністю відсутній й інсталятор виведе відповідне повідомлення.

3. За рахунок автоматизованої атаки на MySQL (через Insufficient Anti-automation уразливості в WP) можна призвести до збою в одній з головних таблиць (що також є DoS атакою). І в такому разі спрацює інсталятор движка.

Зокрема для WordPress 2.0.x та інших версій движка, де інсталятор перевіряє wp_users, цього можна добитися через автоматизовану реєстрацію користувачів. Якщо активно реєструвати користувачів на сайті, може виникнути збій в таблиці wp_users і відповідно движок не зможе її прочитати і виведе діалог інсталятора.

P.S.

Зробив відео демонстрацію DoS атаки на WordPress.

В даній добірці уразливості в веб додатках:

• blur6ex-0.3.462 LOCAL FILE INCLUSION Vulnerbility (деталі)
• Two heap overflow in Foxit WAC Server 2.0 Build 3503 (деталі)
• Maian Search v1.1 Multiple Vulnerabilities (XSS/SQL INJECTION) (деталі)
• Maian Gallery v2.0 XSS Vulnerability (деталі)
• Maian Guestbook v3.2 XSS Vulnerabilities (деталі)
• Maian Weblog v4.0 XSS Vulnerabilities (деталі)
• Maian Greeting v2.1 Multiple Vulnerabilities (XSS/SQL INJECTION) (деталі)
• Mozilla Foundation Security Advisory 2007-36 (деталі)
• Mozilla Foundation Security Advisory 2007-38 (деталі)
• Mozilla Foundation Security Advisory 2007-39 (деталі)

Як повідомив blogsecurity.net, нещодавно була знайдена Abuse of Functionality уразливість в WordPress. Уразливі WordPress 2.7.1 та попередні версії.

Уразливість пов’язана з інсталяційними файлами, якщо вони знаходяться на сервері (якщо ви їх не видалили, що завжди рекомендується робити після інсталяції). Дану уразливість виявив власник сайта perishablepress.com, коли в нього на сервері відбувся сбій MySQL.

При відсутності зв’язку з СУБД, WordPress повинен видавати стандарте повідомлення про помилку. Так він робив завжди в усіх версіях (зокрема в 2.x). Але як виявилось, в тому випадку, коли є збій MySQL (наприклад, коли пошкоджені таблиці движка) і при цьому інсталяційні файли WP є на сервері, то WordPress гадає, що движок ще не був встановлений і виводить інсталяційний діалог.

Істалятор WP повинен перевіряти, чи не встановлений движок. І якщо він встановлений, то виводити відповідне повідомлення. Але в даному рідкому випадку, коли має місце збій MySQL, він цього не перевіряє і дає переінстялювати движок.

Для цього лише потрібно ввести назву сайта і емайл, після чого движок буде оновлений. І відповідно створений новий акаунт адміна, що дозволить похакати сайт. З чим і стикнувся власник сайта perishablepress.com, коли ледве відбився (бо вчасно виявив проблему) від бажаючих переінсталювати движок на його сайті .

• WordPress Install Files Security Risk (деталі)