Websecurity - Веб безпека

В минулому році, 09.02.2008, я виявив цікаву Cross-Site Scripting уразливість з використанням UTF-7 в Mozilla та Firefox. Дану XSS я відношу до типу Strictly social XSS.

Дана уразливість подібна до Cross-Site Scripting в Mozilla та Firefox, яку я виявив 23.09.2007. В тій уразливості атака відбувалася через gopher, а в цій уразливості атака відбувається через http, https і ftp. Дане дослідження є продовженням попереднього.

Дана уразливість пов’язана з тим, що браузер недостатньо фільтрує символи при UTF-7 кодуванні в протоколах http, https і ftp. Дане кодування слід виставити вручну (що зменшує рівень небезпеки). Тому для атаки потрібно змусити жертву встановити UTF-7 кодування (використовуючи методи соціальної інженерії, як це показано в прикладах з додатковим текстом).

XSS:

Для http://www.mozilla.org

• alert(document.cookie)
• alert(document.cookie) (з додатковим текстом)

Для https://www.mozilla.org

• alert(document.cookie)
• alert(document.cookie) (з додатковим текстом)

Для ftp://ftp.mozilla.org

• alert(document.cookie)
• alert(document.cookie) (з додатковим текстом)

Це універсальний XSS - уразливість працює на будь-якому сайті (http/https), де можна запостити інформацію, або на Error 403 і Error 404 сторінках. Також атака можлива на всіх ftp серверах.

Уразливі Mozilla 1.7.x та попередні версії, Firefox 1, Firefox 2 і Firefox 3.0 та Firefox 3.0.1.

В даних браузерах можлива універсальна XSS атака через http/https/ftp/gopher протоколи. Це приклад нового типу XSS уразливостей (що я відкрив в 2007 році) - Виключно соціальний XSS (Strictly social XSS). Дана уразливість може використовуватися в парі з Charset Remembering уразливістю в Mozilla Firefox.

В Firefox 3.0.2 дана уразливість була потайки виправлена, про що я вже писав (за рахунок відключення можливості вибору UTF-7 кодування).

25.11.2008

У січні, 25.01.2008, я знайшов Cross-Site Scripting уразливість на проекті http://www.shans.ua (Інтернет казино). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

17.04.2009

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Учора, 15.04.2009, я виявив нову Denial of Service уразливість в Internet Explorer. Про що найближчим часом повідомлю розробникам браузера. Дана уразливість подібна до DoS уразливості в Internet Explorer.

Ще на прикінці 2007 року була виявлена DoS уразливість в Windows Media Player. В мене дана уразливість працює в WMP 10. Як я перевірив, браузер IE також може бути атакованим, при включенні даного спеціального aiff файлу (що вибиває WMP) у веб сторінку. Причому атака спрацьовує тільки в IE, але не в інших браузерах. Це Cross-Application DoS уразливість.

DoS:

IE DoS Exploit5.html

При запуску експлоіта браузер зависає.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8. При наявності в системі WMP 10 або попередніх версій (і можливо й WMP 11).

В даній добірці уразливості в веб додатках:

• Wayport Public Access PC Authentication Bypass Weakness (деталі)
• Fantastico In all Version Cpanel 10.x <= local File Include (деталі)
• AssetMan 2.4a <= (download_pdf.php) Remote File Disclosure Vulnerability (деталі)
• TinyMCE_exp Remote File Include Vulnerability (деталі)
• Wiki Remote Authentication Bypass Vulnerability (деталі)
• Remote File Include In ClipShare.v1.5.3 (деталі)
• Remote File Include In Script moodle-1.7.1 (деталі)
• Remote File Include In Script PHP Photo Album (деталі)
• F5 BIG-IP Management Interface Perl Injection (деталі)
• Direct static code injection vulnerability in Flat Chat 2.0 (деталі)

Сьогодні я виявив Denial of Service уразливість в Internet Explorer. Про що найближчим часом повідомлю розробникам браузера.

Ще на початку 2007 року була виявлена DoS уразливість в Windows Media Player. В мене дана уразливість працює в WMP 10. Як я перевірив сьогодні, браузер IE також може бути атакованим, при включенні даного спеціального asx файлу (що вибиває WMP) у веб сторінку. Причому атака спрацьовує тільки в IE, але не в інших браузерах. Це Cross-Application DoS уразливість.

DoS:

IE DoS Exploit4.html

При запуску експлоіта браузер виводить повідомлення Windows Media Player, і якщо натиснути Yes, то він зависає (якщо встановити відповідний чекбокс, то це повідомлення не буде з’являтися).

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. І потенційно IE7 та IE8. При наявності в системі WMP 10 або попередніх версій (і можливо й WMP 11).

03.10.2008

У грудні, 23.12.2007, я знайшов Cross-Site Scripting в системі Mephisto. Це поширений блог движок. Дірку виявив на одному сайті на даному движку.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам системи.

15.04.2009

XSS:

http://site/search/?q=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Mephisto 0.7.3 та попередні версії.

Що цікаво, на securityvulns.ru вже була оприлюднена дана уразливість, про що я писав торік. Але я лише в жовтні 2008 знайшов дану інформацію (вже після публікації даного запису).

У липні, 19.07.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://www.textil.com.ua. Про що найближчим часом сповіщу адміністрацію сайта. Дані уразливості в PostNuke, про які я писав раніше.

Insufficient Anti-automation:

http://www.textil.com.ua/user.php?uname=test&email=test@test.com&vemail=test@test.com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

На сайті використовується WAF (ModSecurity), який я легко обійшов. Про використання флешу для обходу WAF (для проведення XSS атак) я вже писав.

В даній добірці уразливості в веб додатках:

• IP Diva VPN SSL many XSS attacks (деталі)
• IPDiva VPN SSL Brute force attack (деталі)
• LFI in PowerBook 1.21 (деталі)
• Multiple Remote HP Mercury SiteScope Vulnerabilities (деталі)
• Multiple Security Vulnerabilities in Bolinos 4.6.1 (деталі)
• Cuteflow Bin v1.5.0 Local File Inclusion Vuln (деталі)
• e107 My_Gallery Plugin Arbitrary File Download Vulnerability (деталі)
• aeries browser interface(ABI) 3.8.3.14 Remote SQL Injection (деталі)
• EfesTech E-Kontr (id) Remote SQL INJECTION (деталі)
• Alkacon OpenCms users_list.jsp searchfilter XSS (деталі)

Сьогодні я виявив Cross-Site Scripting уразливість в плагіні vbAnonymizer для vBulletin. Про що найближчим часом повідомлю розробникам веб додатку.

Нещодавно я писав про уразливості в vBulletin, які виявилися уразливостями в vbAnonymizer, що є плагіном для vBulletin. Це були Redirector та Cross-Site Scripting уразливості. Якщо до Redirector вразливі всі версії vbAnonymizer, то до XSS вразливі версії до 2.8 (в якій XSS була виправлена).

Але я розробив метод обходу даного захисного фільтру. Тим самим повернувши до життя цю XSS .

XSS:

http://site/redirector.php?url=javascript:alert(document.cookie)//http://

Уразливі vbAnonymizer 3.0 та попередні версії.

24.11.2008

У січні, 22.01.2008, я знайшов Insufficient Anti-automation та Full path disclosure уразливості на проекті http://www.developers.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.04.2009

Insufficient Anti-automation:

Уразливість в капчі на сторінках записів. Яка вразлива до Constant values bypass method, що я описав в проекті Місяць багів в Капчах.

Для атаки потрібно посилати одне і те саме значення параметра dumb_captcha (dumb_captcha = 9).

Full path disclosure:

http://www.developers.org.ua/wordpress/wp-content/plugins/dumb_captcha.php

Дані уразливості досі не виправлені.