Websecurity - Веб безпека

Учора, 29.04.2009, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.engadget.com. Яку я виявив під час досліджень URL Spoofing уразливості в GoogleBot, Yahoo! Slurp та різних браузерах. Про що найближчим часом сповіщу адміністрацію проекту.

XSS:

• alert(document.cookie)
• цікавий
• html включення

Атака відбувається через XSS в імені піддомена. Уразливість працює лише в Mozilla 1.7.x та попередніх версіях. Це приклад нового типу XSS уразливостей - доменного XSS (Domain reflected XSS).

В даній добірці уразливості в веб додатках:

• w2b.ru multiple products SQL Injection (деталі)
• Critical Vulnerability in Windows URI Handling Could Allow Remote Code Execution (943460) (деталі)
• UniversalFtp Server 1.0.44 Multiple Remote Denial of service (деталі)
• BosNews 2002-2006 Remote add user admin (деталі)
• BosNews v4.0 Remote add user admin (деталі)
• Dotclear ‘ecrire/images.php’ Arbitrary File Upload Vulnerability (деталі)
• KwsPHP (Upload) Remote Code Execution Exploit (деталі)
• Cezanne SW Cross-Site Scripting (деталі)
• Cezanne SW Cross-Site Scripting (login required) (деталі)
• Cezanne SW Blind SQL Injection (деталі)

На минулому тижні я писав про URL Spoofing уразливість в GoogleBot, Mozilla та Internet Explorer (та в Yahoo! Slurp), яка також може бути в ботах інших пошуковців. Сьогодні я провів додаткові дослідження даної уразливості й виявив нові можливості для атаки з її використанням.

Як я вже зазначав, за допомогою даної уразливості можна підроблювати URL та проводити фішинг атаки, і використовувати її для поширення шкідливого коду. А також даний метод може використовуватися для SEO, щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта.

Після того як Володимир Дубровін aka 3APA3A звернув мою увагу на можливість використання й інших символів для даної атаки, я вирішив детально перевірити це питання. В попередньому записі я писав про використання пробілу для URL Spoofing атаки, яку я також назвав склейка доменів (domain gluing).

І як я перевірив, окрім пробілу (%20) для даної атаки також можуть бути використані інші символи.

Mozilla підтримує: %00..%ff.

http://site.com%00www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

IE6 та IE7 підтримують: %20..%2d та %30..%ff.

http://site.com%20www.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
...
http://site.com%ffwww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

При цьому IE при запиті до сайту або одразу заміняє url-encoded символи на їх звичайні еквіваленти, або взагалі прибирає їх (якщо ці символи не відображуються).

Зазначу, що якщо символи пробілу (%20) в адресах сайтів для проведення даної атаки я знаходив в пошуковцях (Гуглі та Яху), то використання інших символів я не зустрічав, тому невідомо чи підтримують індексацію подібних символів в назві доменів пошукові системи. Але потенційно їх можуть підтримувати і боти пошуковців (GoogleBot, Yahoo! Slurp та інші).

Також я вияснив, що можливість даної атаки також залежить від налаштувань веб сервера, який повинен підтримувати будь-які піддомени. Тобто не на кожному веб сайті можна провести дану атаку, а лише на відповідно налаштованих.

Зокрема окрім www.tab.net.ua, також дана атака можлива на www.engadget.com і www.poweroptimizer.com.

URL Spoofing:

Заіндексовано Google:

http://www.kp.ruget.com.20www.engadget.com
Схема: http://www.site.com%20www.engadget.com

Заіндексовано Yahoo:

http://www.energyopt.com.%20www.poweroptimizer.com
Схема: http://www.site.com%20www.poweroptimizer.com

Уразливий GoogleBot.

Уразливий Yahoo! Slurp.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі версії Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.0.6001.18000) та попередні версії. І потенційно IE8.

11.12.2008

У лютому, 15.02.2008, я знайшов Local File Inclusion, Denial of Service та Directory Traversal уразливості на проекті http://www.interface.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на www.interface.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.04.2009

Local File Inclusion:

http://www.interface.ru/fset.asp?Url=fset.asp

DoS (Recursive File Include):

http://www.interface.ru/fset.asp?Url=fset.asp?Url=fset.asp

http://www.interface.ru/fset.asp?Url=fset.asp … ?Url=fset.asp

Для проведення DoS атаки через рекурсивне включення файлів, потрібно безпосередньо в запиті (в URL) вказати необхідний рівень рекурсії. Тому що в ASP рекурсивне включення не виконується автоматично.

Directory Traversal:

http://www.interface.ru/fset.asp?Url=../robots.txt

Дані уразливості досі не виправлені.

Нещодавно, 22.04.2009, я виявив нові Denial of Service уразливості в Internet Explorer. Про що найближчим часом повідомлю розробникам браузера. Дані уразливості подібні до DoS уразливості в Internet Explorer.

Нещодавно були виявлені нові DoS уразливості в Windows Media Player (WMP 11). В мене дані уразливості працють в WMP 10. Як я перевірив, браузер IE також може бути атакованим, при включенні даних спеціальних wav файлів (що підвисають WMP) у веб сторінку. Причому атака спрацьовує тільки в IE, але не в інших браузерах. Це Cross-Application DoS уразливість.

DoS:

IE DoS Exploit8.html

IE DoS Exploit9.html

При запуску експлоітів браузер зависає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8. При наявності в системі WMP 11 або попередніх версій.

В даній добірці уразливості в веб додатках:

• Updated tk packages fix buffer overflow vulnerability (деталі)
• DoS vulnerability in lighttpd (деталі)
• Pligg 9.9.0 editlink.php SQL Injection Vulnerability (деталі)
• PECL APC: Buffer Overflow (деталі)
• paFileDB 3.1 Remote SQL Injection (деталі)
• Pu Arcade component for Joomla - SQL injection (деталі)
• SAP Netweaver 6.40-7.0 Cross-Site-Scripting (деталі)
• Microsoft Windows SharePoint Services Picture Source XSS (деталі)
• XSS issue in BOXiR2 (деталі)
• WiKID wClient-PHP <= 3.0-2 Multiple XSS Vulnerabilities (деталі)

18.11.2008

Сьогодні, після попередніх уразливостей Webglimpse, я знайшов Full path disclosure, Cross-Site Scripting, Directory Traversal та Authorization bypass уразливості в Webglimpse. Це локальна пошукова система. Дірки виявив на офіційному сайті системи http://webglimpse.net.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

27.04.2009

Уразливості в адмінці Webglimpse (в яку можна потрапити через гостьовий акаунт, або захопивши кукіс адміна).

Full path disclosure:

http://site/wgarcmin.cgi?NEXTPAGE=D&ID=1&DOC=1

XSS:

http://site/wgarcmin.cgi?NEXTPAGE=D&ID=1&DOC=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Directory Traversal:

http://site/wgarcmin.cgi?NEXTPAGE=D&ID=1&DOC=../../../../etc/passwd

Authorization bypass:

Через слабкий алгоритм генерації кукіса, можна створити кукіс з даних з файла .wgpasswd (який можна отримати через Directory Traversal уразливість). З цим кукісом можна увійти в адмінку з правами адміністратора (напряму з даними з файла .wgpasswd зайти в адмінку не вийде, тільки через кукіс).

Експлоіт:

Webglimpse.txt

Кукісу з іменем LOGIN потрібно присвоїти згенероване значення, як це показано в експлоіті.

Уразливі Webglimpse 2.18.7 та попередні версії.

Нещодавно, 22.04.2009, я виявив нову Denial of Service уразливість в Internet Explorer. Про що найближчим часом повідомлю розробникам браузера. Дана уразливість подібна до DoS уразливості в Internet Explorer.

Нещодавно була виявлена нова DoS уразливість в Windows Media Player (WMP 11). В мене дана уразливість працює в WMP 10. Як я перевірив, браузер IE також може бути атакованим, при включенні даного спеціального mid файла (що вибивають WMP) у веб сторінку. Причому атака спрацьовує тільки в IE, але не в інших браузерах. Це Cross-Application DoS уразливість.

DoS:

IE DoS Exploit7.html

При запуску експлоіта браузер зависає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8. При наявності в системі WMP 11 або попередніх версій.

В даній добірці уразливості в веб додатках:

• Vulnerabilities in kses-based HTML filters (деталі)
• IBM Informix Dynamic Server DBPATH Buffer Overflow Vulnerability (деталі)
• IBM Informix Dynamic Server Authentication Password Stack Overflow Vulnerability (деталі)
• Alkacon OpenCms sessions.jsp searchfilter XSS (деталі)
• Blogator-script 0.95 Change User Password Vulnerbility (деталі)
• KwsPHP Module ConcoursPhoto XSS (деталі)
• phpTournois <= G4 Remote File Upload/Code Execution Exploit (деталі)
• WoltLab(R) Community Framework XSS and Full Path Disclosure Vulnerability (деталі)
• Swiki 1.5 Multiple Cross-Site Scripting Vulnerabilities (деталі)
• Wikepage Opus 13 2007.2 Directory Traversal Vulnerbility (деталі)

У лютому, 02.02.2008, я знайшов Cross-Site Scripting уразливість на http://aval.rotabanner.com - сайті банерної системи Райффайзен Банк Аваль. Де використовується RotaBanner Local, про уразливості в якій я вже писав. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про нові уразливості на www.privatbank.ua.

XSS:

• alert(document.cookie)
• цікавий
• html включення