Websecurity - Веб безпека

23.09.2007

Ще раз продовжу тему уразливостей на сайтах українських спецслужб. Після вчорашніх уразливостей на www.sbu.gov.ua (СБУ), перейдемо до сайта Служби Зовнішньої Розвідки України (СЗРУ).

В січні, 08.01.2007 (а також додатково сьогодні), я знайшов Cross-Site Scripting уразливості на http://www.szru.gov.ua - сайті Служби Зовнішньої Розвідки України. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

10.04.2009

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені. Причому виправили вони їх доволі швидко.

Але 30.09.2007 я знайшов на сайті СЗРУ ще 4 нові уразливості - 2 XSS та 2 SQL Injection, про які також повідомив адміна сайта спецслужби. І якщо обидві XSS дірки були виправлені, то з двох SQL ін’єкцій була виправлена лише одна. Інша SQL Injection не була виправлена і вона працює й досі.

Враховуючи, що працівники СЗРУ наполегливо не хотіли прибирати цю дірку, я в 2008 році написав про неї СБУ, щоб ті поговорили зі своїми колегами з СЗРУ і переконали їх виправити дірку. Але СБУ проігнорували мій лист, так само як і випадку дірок на їхньому сайті, і дана дірка на www.szru.gov.ua працює й досі. Єдине, що рятує СЗРУ від взлому їхнього сайта, це те, що в них на сайті використовується MySQL 3.23.58 . Але небезпека DoS атак на сайт (через SQL Injection) залишається.

Сьогодні я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://domaintimes.net. Про що найближчим часом сповіщу адміністрацію сайта.

XSS:

• alert(document.cookie)
• цікавий

Redirector:

• редиректор

В даній добірці уразливості в веб додатках:

• Cross Site Scripting (XSS) in phpstats 0.1_alpha, CVE-2008-0125 (деталі)
• New wml packages fix denial of service (деталі)
• CS-Cart XSS (деталі)
• Mambo/joomla com_intellect “page” LFI (деталі)
• phpBB 2.0.23 Session Hijacking Vulnerability (деталі)
• Multiple vulnerabilities in EztremeZ-IP File and Printer Server 5.1.2×15 (деталі)
• ViewVC: Multiple vulnerabilities (деталі)
• Easy-Clanpage 2.2 (id) Remote SQL Injection Vulnerability (деталі)
• KAPhotoservice (album.asp) Remote SQL Injection Exploit (деталі)
• PEEL CMS Admin Hash Extraction and Remote Upload (деталі)

13.11.2008

У січні, 22.01.2008, я знайшов Cross-Site Scripting уразливості (5 XSS) на проекті Яндекса http://afisha.yandex.ru. Про що найближчим часом сповіщу адміністрацію пошуковця.

Останній раз стосовно проектів Яндекс я писав про уразливості на yandex.ru, images.yandex.ru та market.yandex.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

08.04.2009

XSS (при кліку на “Войти”):

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

XSS:

• alert(document.cookie)

Дані уразливості вже виправлені.

У березні, 24.03.2009, я знайшов Code Execution уразливість в Openads. Це популярна локальна банерна система (що раніше називалася phpAdsNew, потім змінила назву на Openads, а зараз змінила назву на OpenX).

В Openads v2.4.0 та Openads v2.4.2 є можливість завантажувати скрипти, зокрема php. Що призводить до Code Execution уразливості (в тому числі можливий shell upload). При завантаженні банера не перевіряється його розширення. В останніх версіях додатку уразливість вже виправлена, але дуже дивно, що вона існувала в цьому движку на протязі багатьох років.

Уразливі Openads v2.4.2 та попередні версії Openads (та всі версії phpAdsNew і phpPgAds). Також потенційно можуть бути вразливі ранні версії OpenX. Версія OpenX v2.4.7 вже не вразлива.

В даній добірці уразливості в веб додатках:

• Anon Proxy Server <= 0.102 remote buffer overflow (деталі)
• Mutiple Timesheets <= 5.0 - Multiple Remote Vulnerabilities (деталі)
• EasyCalendar <= 4.0tr - Multiple Remote Vulnerabilities (деталі)
• Website META Language: Insecure temporary file usage (деталі)
• Joomla components com_guide “category” Remote SQL Injection [Aria-Security] (деталі)
• new vuln in snewscms rus v 2.3 (деталі)
• Xdg-Utils: Arbitrary command execution (деталі)
• cPanel 11.x => List Directories and Folders (деталі)
• eForum 0.4 XSS (деталі)
• New ikiwiki packages fix cross-site scripting (деталі)

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 31.03.2009, я виявив Information Leakage, Insufficient Anti-automation та Insufficient Authentication уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

Information Leakage:

В скрипті лічильника (pphlogger.js), або в коді визова скрипта з сервера системи (в параметрі id), на сайті користувача системи вказаний id, який є логіном. Що призводить до витоку логіна.

Insufficient Anti-automation:

На сторінці відновлення (створення нового) паролю (http://site/dspNewPw.php) немає захисту від автоматизованих запитів (капчі). Що може бути використано для автоматизованого проведення Abuse of Functionality атаки, про яку я вже розповідав.

Insufficient Authentication:

Дана Insufficient Authentication уразливість пов’язана з Abuse of Functionality, SQL Injection та Insufficient Anti-automation уразливостями, про які я писав раніше.

Використовуючи Abuse of Functionality можна змінювати пароль у довільного акаунта, а через SQL Injection можна дізнаватися хеш даного пароля. І можна змінювати пароль доти, доки не трапиться хеш, який вдасться легко підібрати. Дана атака автоматизується за рахунок Insufficient Anti-automation.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це одинадцята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

08.11.2008

У січні, 18.01.2008, я знайшов Cross-Site Scripting уразливість на сайті http://wmast.com.ua. Про що найближчим часом сповіщу адміністрацію сайта.

До речі, як я виявив сьогодні, на сайті взломаний форум, де розміщений шкідливий код.

Детальна інформація про уразливість з’явиться пізніше.

04.04.2009

XSS:

• alert(document.cookie)

Зараз сайт закритий. Вірогідно хостер закрив сайт із-за того, що на ньому був розміщений шкідливий код. Про що я повідомив власників сайта, але вони проігнорували мого листа і не прибрали експлоіт з сайта, що і призвело до його закриття.

Це вже другий випадок серед заражених сайтів в Уанеті (в минулому році), коли зараження сайта шкідливим кодом приводить до його закриття. Раніше така участь спіткала dn.kiev.ua.

Як я вже писав, в Уанеті є до 1610000 pdf-файлів, з них до 32900 - на державних сайтах (які можуть бути використанні для проведення UXSS атак). Розповім вам про Cross-Site Scripting уразливості на сайтах Кабінета Міністрів, Верховної Ради та Президента України, на які я звернув увагу ще 07.01.2007.

Раніше я вже писав про уразливості на rada.gov.ua, уразливість на kmu.gov.ua та уразливість на president.gov.ua.

XSS (UXSS):

http://www.kmu.gov.ua

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Всього на www.kmu.gov.ua до 732 pdf-файлів. На інших піддоменах kmu.gov.ua (на сайтах міністерств) - до 987 pdf-файлів.

http://rada.gov.ua

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Всього на rada.gov.ua до 387 pdf-файлів.

http://www.president.gov.ua

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Всього на president.gov.ua 23 pdf-файла.

Окрім сайта СБУ, про який я писав раніше, також UXSS уразливості є на www.niisp.gov.ua, www.rainbow.gov.ua, www.nas.gov.ua, www.nbuv.gov.ua, www.niss.gov.ua та інших державних сайтах.

В даній добірці уразливості в веб додатках:

• Titan FTP Server Remote Heap Overflow (USER/PASS) (деталі)
• uberghey cms 0.3.1 multiple local file inclusion vulnerabilities (деталі)
• PHP-Nuke Module ZClassifieds [cat] SQL Injection (деталі)
• Hewlett-Packard Network Node Manager Topology Manager Service DoS Vulnerability (деталі)
• HP OpenView Network Node Manager (OV NNM) Remote Denial of Service (DoS) (деталі)
• EasyGallery <= 5.0tr - Multiple Remote Vulnerabilities (деталі)
• Plone CMS Security Research - the Art of Plowning (деталі)
• Office XP Remote SQL Injection (деталі)
• New smarty packages fix arbitrary code execution (деталі)
• New horde3 packages fix information disclosure (деталі)