Websecurity - Веб безпека

01.08.2015

У травні, 10.05.2014, я знайшов Brute Force та Cross-Site Request Forgery уразливості в Transcend Wi-Fi SD Card. Це флешка з бездротовим доступом.

Стосовно мережевих пристроїв, зокрема Wireless Router, раніше я писав про уразливості в D-Link DIR-300 та TP-Link TL-WR741N.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

28.01.2017

До флеш карти можна під’єднатися в двох режимах: Direct Share та Internet Mode. В першому режимі пристрій з Wi-Fi під’єднується до цієї карти, а в другому режимі сама карта під’єднується до Wi-Fi пристроїв (точки доступу, роутера чи смартфону з увімкненим Personal Hotspot) - тоді всі комп’ютери в LAN отримають до неї доступ. Розглянемо перший режим, про другий напишу пізніше.

Predictable Resource Location (WASC-34):

При вставленні карти в цифрову камеру і включенні камери, одразу працює Wi-Fi та можна під’єднатися до неї в режимі Direct Share. Використовуючи SSID та пароль по замовчуванню. Мало вірогідно, що після початку використання карти її власник змінить ці налаштування. Ні програмне забезпечення, ні документація до карти не дає порад по зміні цього паролю чи паролю до адмінки.

Отримати доступ до всіх файлів на карті можна за допомогою додатків для iOS і Android. Після запуску програми лише потрібно ввести логін і пароль до адмінки.

Також в режимі Direct Share на карту можна зайти в браузері в адмінку та отримати доступ до всіх файлів на флеш карті. Використовуючи логін і пароль по замовчуванню.

Brute Force (WASC-11):

В адмінці 192.168.11.254 немає захисту від BF атак, бо використовується Basic Authentication. Мало вірогідно, що після початку використання карти її власник змінить логін і пароль до адмінки. Але якщо змінить, то їх можна підібрати.

Cross-Site Request Forgery (WASC-09):

В адмінці є CSRF уразливості. Зокрема ця: в процесі логіна немає капчі, тому окрім відсутності захисту від BF, також можлива CSRF атака. Можна віддалено зайти в адмінку (з логіном і паролем по замовчуванню) для проведення подальших CSRF атак.

<img src=”http://admin:admin@192.168.11.254″>

Вразлива Transcend Wi-Fi SD Card 16 GB, Firmware v.1.8. Ця модель з іншими прошивками та інші моделі також можуть бути вразливими.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Advertisement Management, Copy Or Move Comments, Customize Youtube Videos, The Holiday Calendar, Database Sync. Для котрих з’явилися експлоіти.

• WordPress Advertisement Management 1.0 Cross Site Scripting (деталі)
• WordPress Copy Or Move Comments 1.0.0 Cross Site Scripting (деталі)
• WordPress Customize Youtube Videos 0.2 Cross Site Scripting (деталі)
• WordPress The Holiday Calendar 1.11.2 XSS (деталі)
• WordPress Database Sync 0.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Barracuda Networks Spam&Virus Firewall v6.0.2 (600 & Vx) - Client Side Cross Site Vulnerability (деталі)
• drupal7 security update (деталі)
• vBulletin 4.x.x ‘visitormessage.php’ Remote Code Injection Vulnerability (деталі)
• Instant v2.0 SQL Injection Vulnerability (деталі)
• Barracuda Networks #35 Web Firewall 610 v6.0.1 - Filter Bypass & Persistent Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Barracuda Networks Web Application Firewall v6.1.5 & LoadBalancer v4.2.2 #37 - Filter Bypass & Multiple Vulnerabilities (деталі)
• Stored XSS Vulnerability In Manage Engine Device Expert (деталі)
• CSRF to add admin user Vulnerability In Manage Engine Device Expert (деталі)
• Cross-Site Request Forgery (CSRF) Vulnerability in ManageEngine Network Configuration (деталі)
• Barracuda Networks Spam&Virus Firewall v5.1.3 - Client Side Cross Site Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Author Manager, Chief Editor, arcResBookingWidget, Default Facebook Thumbnails, Content Grabber. Для котрих з’явилися експлоіти.

• WordPress Author Manager 1.0 Cross Site Scripting (деталі)
• WordPress Chief Editor 3.6.1 Cross Site Scripting (деталі)
• WordPress arcResBookingWidget 1.0 Cross Site Scripting (деталі)
• WordPress Default Facebook Thumbnails 0.4 Cross Site Scripting (деталі)
• WordPress Content Grabber 1.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

24.06.2015

У червні, 12.06.2015, я виявив Cross-Site Scripting уразливість в Bitrix Site Manager. Які обходять WAF та захисні фільтри Bitrix. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про численні Content Spoofing та XSS уразливості в Bitrix.

Детальна інформація про уразливість з’явиться пізніше.

31.12.2016

Cross-Site Scripting (WASC-08):

Це persistent XSS в полі text в формі коментарів:

<img src=”http://1″ on onerror=”$(’p').text(’Hacked’)” />

Уразливість виявив на сайті терористів у червні 2015 року, про взлом tribunal-today.ru я в той час написав.

У серпні, 31.08.2013, я знайшов Cross-Site Scripting та інші уразливості на сайтах http://limit.pb.ua та http://limit.privatbank.ua. Це два домени одного сайту, тому всі уразливості однакові на них обох (зараз limit.pb.ua перенаправляє на limit.privatbank.ua). Тоді у вересні вислав всі ці уразливості ПриватБанку.

Якщо всі дірки банк підтвердив і взяв в роботу, то лише одну найбільш важливу дірку (з витоком даних клієнтів) ПБ виправив через два місяці та пізніше виплатив мені премію. Про інші дірки, як ось ця XSS, жодної відповіді за понад три роки я не отримав. Хоча нагадував їм про попередні уразливості в 2014-2016 роках. В цьому році я виявив, що ПриватБанк вже виправив всі інші уразливості (але без жодних премій мені) шляхом повної переробки сайту.

Стосовно ПриватБанка я вже писав про уразливість на partner.privatbank.ua та уразливості на acsk.privatbank.ua.

Cross-Site Scripting:

http://limit.pb.ua/%27;alert(document.cookie);a=%27

http://limit.privatbank.ua/%27;alert(document.cookie);a=%27

Дані уразливості та деякі інші не були виправлені в 2013 році. Але вже в 2016 році всі вони були виправлені. Проте я знайшов нові уразливості на limit.privatbank.ua, про які повідомив банк.

В даній добірці уразливості в веб додатках:

• Barracuda Networks Web Security Flex v4.1 - Persistent Vulnerabilities (деталі)
• Django vulnerabilities (деталі)
• DokuWiki persistent Cross Site Scripting (деталі)
• Reflected XSS Vulnerability in XSS In Manage Engine Device Expert (деталі)
• Authentication Bypass in Barracuda Web Application Firewall (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Advance Categorizer, F/T/G Social Widgets, Ads In Bottom Right, Google Plus One Button, 1-Click Retweet/Share/Like. Для котрих з’явилися експлоіти.

• WordPress Advance Categorizer 0.3 Cross Site Scripting (деталі)
• WordPress F/T/G Social Widgets 1.3.7 Cross Site Scripting (деталі)
• WordPress Ads In Bottom Right 1.0 Cross Site Scripting (деталі)
• WordPress Google Plus One Button By KMS 1.5.0 CSRF / XSS (деталі)
• WordPress 1-Click Retweet/Share/Like 5.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP StoreVirtual 4000 Storage and StoreVirtual VSA, Remote Disclosure of Information, Elevation of Privilege (деталі)
• N.E.T. E-Commerce Group Cross Site Scripting Vulnerability (деталі)
• Pligg CMS 2.0.2 - Stored XSS (деталі)
• Arbitrary file deletion and multiple XSS vulnerabilities in pfSense (деталі)
• tor security update (деталі)