Websecurity - Веб безпека

У серпні, 20.08.2008, я знайшов SQL Injection, Denial of Service та Full path disclosure уразливості на сайті http://dalas.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

17.01.2009

У березні, 08.03.2008, я знайшов Cross-Site Scripting уразливість на проекті http://revver.com (відео хостінг). Про що найближчим часом сповіщу адміністрацію проекта.

Останній раз стосовно сервісів відео хостінгу я писав про уразливості на www.metacafe.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.05.2009

XSS:

• alert(document.cookie)
• цікавий

Дану уразливість досі не виправели.

Після публікації інформації про Insufficient Authentication уразливість в ноутбуках Acer, я вирішив дослідити всі ноутбуки моїх друзів. Зокрема я перевірив два ноутбуки Asus: на одному з Windows XP Professional даної уразливості немає, а на іншому з Windows XP Home Edition є дана уразливість.

Учора, 12.05.2009, я виявив Insufficient Authentication уразливість в ноутбуці Asus. На цьому ноутбуці використовується Windows XP HE.

В Windows XP Home Edition в дефолтному акаунті адміністратора “Администратор” пустий пароль. І він не задається рівним паролю першого адміна, коли при першому запуску ноутбука створюється акаунт адміна (як це робиться при інсталяції Windows XP). Тому при фізичному доступі до ноутбука, будь-хто зможе зайти в систему з правами адміністратора.

Уразливі моделі ноутбуків: Asus А6500R та потенційно інші моделі.

Зараз продовжую досліджувати дану ситуацію. Якщо ви виявите подібну ситуацію в себе на ноутбуці чи на настольному ПК (що буде пустий пароль в дефолтному адмінському акаунті), то повідомте мені на ємайл.

В даній добірці уразливості в веб додатках:

• Denial of Service in PacketTrap TFTP server 2.0.3901.0 (деталі)
• DDIVRT-2008-09 PacketTrap PT360 Tool Suite TFTP Denial of Service Vulnerability (деталі)
• DDIVRT-2008-10 PacketTrap TFTP Directory Traversal Vulnerability (деталі)
• Zomplog 3.8.2 XSS Vulnerability (деталі)
• XSS in chicomas.2.0.4 (деталі)
• project alumni v1.0.9 (info.php) SQL Injection Vulnerability (деталі)
• Lifetype 1.2.7 XSS Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2007-29 (деталі)
• Mozilla Foundation Security Advisory 2007-30 (деталі)
• Mozilla Foundation Security Advisory 2007-31 (деталі)

Про уразливості з наслідуванням в Firefox я вже писав раніше - Charset Inheritance уразливість в Mozilla Firefox 3. А зараз розповім вам про уразливість пов’язану з відсутністю наслідування .

Існує офіційна методика від Adobe для захисту від XSS атак через флеш-файли, при їх розміщенні на веб сайтах. Для цього потрібно задати параметру allowScriptAccess значення never. IE підтримує лише тег object, тому треба в ньому вказувати allowScriptAccess, а інші браузери підтримують тег embed, в якому потрібно вказати allowScriptAccess (або деякі браузери підтримують обидва теги object і embed). Тому для всіх використаних тегів для розміщення флешки потрібно задати allowScriptAccess.

Даний метод я використав в своєму виправленні XSS уразливості в Invision Power Board в MustLive Security Pack v.1.0.6.

Учора, 11.05.2009, я виявив уразливість в Mozilla Firefox, яку я назвав Properties not-inheritance уразливість. Її я виявив на сайті megaswf.com. Дана уразливість може використовуватися для проведення Cross-Site Scripting атак.

Браузер Firefox підтримує розміщення флешек як через object так і через embed тег. При цьому на вищезгаданому сайті для показу флешки в усіх браузерах використовується два вкладені теги object (перший для IE, а другий для інших браузерів). В першому тезі object заданий параметр <param name=”allowscriptaccess” value=”never”>, але він не заданий в другому тезі.

В результаті XSS код з флешки спрацьовує в Firefox, але не спрацьовує в інших браузерах. Тому що для IE вказаний захист в першому тезі object, а Opera і Google Chrome наслідують даний параметр з першого у другий вкладений тег object. Чого не робить Firefox. Тому це Properties not-inheritance уразливість в Firefox.

Уразливі Firefox 3.0.9 та 3.0.10 та попередні версії.

Сьогодні я знайшов Cross-Site Scripting уразливості на проекті http://megaswf.com (хостінг SWF файлів). Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

Це persistent XSS через Flash. Атака працює в Mozilla та Firefox.

• alert(document.cookie)
• цікавий

На сторінках з закаченими флешками є код <param name=”allowScriptAccess” value=”never”> (для захисту від XSS), але він спрацює тільки в IE та інших браузерах, але не в Mozilla та Firefox. Тому в браузерах Mozilla та Firefox код виконається.

А на сторінці http://megaswf.com/recent.php зовсім немає захисного коду, тому XSS код з флешки виконається (і в усіх браузерах), якщо флешка буде в даному розділі.

XSS:

• alert(document.cookie)
• цікавий

Це reflected XSS через Flash. Атака відбувається (в усіх браузерах) при прямому запиті до swf файла.

В даній добірці уразливості в веб додатках:

• Heap overflow in Sybase MobiLink 10.0.1.3629 (деталі)
• Minibb 2.2a XSS Vulnerability (деталі)
• Local & Remote File Inclusion in chicomas 2.0.4 (деталі)
• New kronolith2 packages fix cross site scripting (деталі)
• Directory traversal and DoS in WinIPDS G52-33-021 (деталі)
• SugarCRM Community Edition Local File Disclosure Vulnerability (деталі)
• Softbiz Web Host Directory Script (search_result.php host_id) Blind Sql Injection Vulnerability (деталі)
• Prozilla Hosting Index (directory.php cat_id) Blind Sql Injection Vulnerability (деталі)
• XSS in AstroCam (деталі)
• XSS Attack in sitexs 0.1 (деталі)

У квітні, 28.04.2009, я виявив Insufficient Authentication уразливість в ноутбуках Acer. На даних ноутбуках (на двох моїх) використовується Windows XP Home Rus, у випадку інших ОС уразливість також може бути присутня.

В Windows XP Home в дефолтному акаунті адміністратора “Администратор” пустий пароль. І він не задається рівним паролю першого адміна, коли при першому запуску ноутбука створюється акаунт адміна (як це робиться при інсталяції Windows XP). Тому при фізичному доступі до ноутбука, будь-хто зможе зайти в систему з правами адміністратора.

Дані ноутбуки в мене вже давно (ними користується моя мати, я сам ними майже не користуются, лише адмініструю): 2313LC модель з серпня 2005, а 2413LC модель з квітня 2006. І встановивши паролі на свій адмінський акаунт при першому запуску Віндовса, я гадав, що з паролями в системі все гаразд. Поки нещодавно, 28.04.2009, під час адміністрування не виявив, що у дефолтного акаунта адміна не заданий пароль.

Стосовно питань веб безпеки, то дана уразливість в ноутбуках Acer може призвести до того, що логіни і паролі до ваших сайтів (а також кукіси для авторизації), що були збережені в браузері, можуть бути викрадені. Це також стосується вашої електронної пошти, якщо на ноутбуці ви використовуєте поштовий клієнт (Outlook Express чи інший).

Уразливі моделі ноутбуків: Acer TravelMate 2313LC, Acer TravelMate 2413LC та потенційно інші моделі.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple:Press Forum і fMoblog. Для котрих з’явилися експлоіти. Simple:Press Forum - це плагін форуму, fMoblog - це moblog плагін, що дозволяє публікувати зображення та описи з мобільного телефону. А також надаю детальну інформацію про Cookie Integrity Protection Vulnerability в Wordpress 2.5, про яку я писав раніше.

• WordPress SQL Injection (wp-content-simple-forum) (деталі)
• Wordpress Plugin fMoblog 2.1 (id) SQL Injection Vulnerability (деталі)
• Wordpress 2.5 Cookie Integrity Protection Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• iDefense Security Advisory 02.04.08: Hewlett-Packard Network Node Manager Topology Manager Service DoS Vulnerability (деталі)
• HP OpenView Network Node Manager (OV NNM) Remote Denial of Service (DoS) (деталі)
• NetClassifieds Sql Injection (деталі)
• Horde Webmail XSS (деталі)
• New roundup packages fix cross-site scripting vulnerability (деталі)
• Safari 3.1.1 Multiple Vulnerabilities for windows (деталі)
• Coppermine <=1.4.17 SQL-inj Session Hijack Exploit (деталі)
• Coppermine <=1.4.16 [Content-type] SQL-injection Exploit (деталі)
• New phpmyadmin packages fix several vulnerabilities (деталі)
• GroupWise 7 attached bugs (деталі)