Websecurity - Веб безпека

22.05.2008

У жовтні, 22.10.2007, я знайшов Cross-Site Scripting уразливість на хакерському проекті http://secnull.org. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.11.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Про уразливості на afisha.yandex.ru я вже писав, а зараз розповім про дірку на іншій афіші - kiev.afisha.ua.

У січні, 23.01.2008, я знайшов Cross-Site Scripting уразливість на проекті http://kiev.afisha.ua. Як раз перед тим, як дати інтерв’ю для Афіши .

Враховуючи, що з другої половини 2007 року Бігмір використовує на своїх сайтах WAF (про що я згадував стосовно уразливості на dnevnik.bigmir.net та інших дір на їхніх сайтах), то я розробив XSS код, що обходить їхній WAF. Даний метод обходу фаєрволів я вже використовував, зокрема на korrespondent.net.

XSS:

• alert(document.cookie) (Mozilla)

Але як я виявив деякий час тому, дана уразливість вже не працює, бо WAF блокує дану атаку. Бо після повідомлення Бігміру про дірку на korrespondent.net, вони замість виправлення численних дір на своїх сайтах (які я регулярно знаходжу), вирішили зробити так само як і раніше - додали нове правило в WAF. Щоб одразу для всіх сайтів “вірішити” цю проблему.

Попереджав я їх (і багатьох інших любителів ВАФів), що обходяться WAF. Тому дірки треба виправляти, бо інакше вони будуть знову використані, після обходу ВАФу. І я розробив для сайта kiev.afisha.ua XSS код, що обходить WAF.

XSS (IE, Opera, Chrome):

• alert(document.cookie)
• цікавий

Даний метод обходу фаєрвола працює в більшості браузерів, зокрема в Internet Explorer, Opera і Chrome.

В даній добірці уразливості в веб додатках:

• Mp3 ToolBox 1.0 beta 5 Remote File Include Vulnerability (деталі)
• Barracuda Networks Spam Firewall Cross-Site Scripting Vulnerability (деталі)
• Barracuda Spam Firewall. Cross-Site Scripting (деталі)
• GWExtranet Script Injections & Privilege Escalation Vulnerability (деталі)
• Calendar Proverbs <=1.1 (caladmin.php) Remote SQL Injection (деталі)
• two bytehoard 2.1 bugs (деталі)
• PHPSlideShow (toonchapter8.php) Cross-Site Scripting Vulnerability (деталі)
• Gouae DWD Realty SQL Injection (деталі)
• FIGIS (FILogin.do) Bypass SQL Injection Vulnerability (деталі)
• JLMForo System (modificarPerfil.php) Cross-Site Scripting Vulnerability (деталі)

Нещодавно була виявлена Cross-Site Scripting уразливість в WordPress (обмежено persistent XSS, тому що працює обмежений час після створення). Уразливі WordPress 2.6.3 та попередні версії.

Дірка в RSS Feed Generator в WordPress, що не фільтрує заголовок Host. Атака відбувається через HTTP_HOST на сервері з Apache 2.x, що використовує IP based virtual hosting, на WP з плагіном WP Super Cache. Уразливі версії плагіна WP Super Cache <= 0.84.

• WordPress XSS vulnerability in RSS Feed Generator (деталі)

09.05.2008

У березні, 29.03.2007, я знайшов Cross-Site Scripting уразливість в системі CoBreeder. Це система управління контентом (CMS).

Деталі уразливості з’являться пізніше, спочатку повідомлю розробникам системи.

26.11.2008

XSS:

http://site/%22style=%22xss:expression(alert(document.cookie))%22/*
Варіант для IE (можна також в усіх браузерах через onMouseOver) для сайтів на PHP <= 5.2.4.

http://site/"style="xss:expression(alert(document.cookie))"/*
Варіант для IE для сайтів на будь-яких версіях PHP.

На PHP > 5.2.4 дана уразливість працює лише в IE, коли посилати запит з лапками в ASCII, а не UTF-8 форматі (Mozilla і Firefox завжди конвертують запит в UTF-8). Що показали мої дослідження на декількох сайтах на CoBreeder з різними версіями PHP.

Атака з першим запитом може робити в залежності від версії PHP на веб сервері, другий запит є універсальним. XSS атака відбувається через PHP_SELF.

Уразлива версія coBreeder 2005 та попередні версії.

В даній добірці уразливості в веб додатках:

• Alcatel-Lucent OmniPCX Remote Command Execution (деталі)
• SkyPortal vRC6 Multiple Remote Vulnerabilities (деталі)
• Owning Big Brother: How to Crack into Axis IP cameras (деталі)
• Irola My-Time v3.5 SQL Injection (деталі)
• VigileCMS <= 1.8 Stealth Remote Command Execution Exploit (деталі)
• NetAuctionHelp Classified Ads v1.0 SQL Injection (деталі)
• vBTube v1.1 - Beta ( Vbulletin Tube) Xss Vulnerable (деталі)
• PBLang <= 4.99.17.q Remote File Rewriting / Remote Command Execution (деталі)
• Vulnerability in CoolShot E-Lite POS 1.0 (деталі)
• Bitcomet Resource Browser v1.1 XSS (деталі)

15.05.2008

У жовтні, 19.10.2007, я знайшов численні Cross-Site Scripting уразливості на http://www.nstalker.com - сайті секюріті компанії N-Stalker, розробника N-Stalker Web Application Security Scanner. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.11.2008

XSS:

POST запит на сторінці http://www.nstalker.com/about/contact
"><script>alert(document.cookie)</script>В полях: Company, Name, Job Title, E-mail, Phone, City/State.

</textarea><script>alert(document.cookie)</script>В полі: Comments.

XSS через GET:

• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Yandex.ru (до раніше згаданих редиректорів на Яндексі):

http://fotki.yandex.ru/…&retpath=http://websecurity.com.ua

H.ua:

http://h.ua:8000/openads/…?dest=http://websecurity.com.ua

Techlabs.by:

http://file.techlabs.by/…?download=http://websecurity.com.ua

В даній добірці уразливості в веб додатках:

• Several XSS, Cross-domain Redirection and Frame Injection on Sun Java System Identity Manager (деталі)
• Remote Shell Command Execution in “KB-Bestellsystem” (amensa-soft.de) (деталі)
• MyBlog (MyCMS) Remote PHP Code execution / PHP Code injection (деталі)
• Wheatblog (wB) Remote File inclusion (деталі)
• NetAuctionHelp SQL Injection (деталі)
• alstrasoft E-Friends <= 4.98 (seid) Multiple Remote SQL Injection Vulnerabilities (деталі)
• GetBlog local File inclusion (деталі)
• E-vanced Solutions Multiple Vulnerabilites (деталі)
• GWextranet Multiple Vulnerabilites (деталі)
• Ucms <= 1.8 Backdoor Remote Command Execution Exploit (деталі)

Учора я писав про Code Execution через XSS в Internet Explorer (розроблену мною 14.11.2008) - це була атака лише через IE. А зараз я розповім про міжбраузерний Code Execution через XSS.

Дана атака через IE через Cross-Site Scripting уразливість в Opera.

Атака працює при збереженні веб сторінки в Opera як Web Archive файла з іменем .htm (.html) на комп’ютер користувача і наступному її відкритті в IE. Дана методика може використовуватися для обходу різних проксі й фаєрволів, що аналізують зміст веб сторінок на предмет шкідливого коду (тому що атакуючий код з’являється в сторінці вже після збереження). А також може використовуватися для обходу антивірусів.

Code Execution:

http://site/?--%3E%3Cscript%3Ec=new%20ActiveXObject('WScript.Shell');c.Run('calc.exe');%3C/script%3E

Для проведення прихованої атаки можна використати iframe:

<iframe src="http://site/?--%3E%3Cscript%3Ec=new%20ActiveXObject('WScript.Shell');c.Run('calc.exe');%3C/script%3E" height="0" width="0"></iframe>

На відміну від попередньої атаки (що відбувається лише через IE), дана міжбраузерна атака працює в IE навіть без ввімкненої опції “Initialize and script ActiveX control not marked as safe”.

Уразлива версія Opera 9.52 та попередні версії (і потенційно наступні версії). Запуск коду відбудеться в будь-якій версії Internet Explorer (IE6 та IE7).

Аналогічна атака також може бути проведена в браузері Google Chrome - через Cross-Site Scripting уразливість в Google Chrome. Тільки в Chrome треба зберігати сторінку не як Web Archive, а так само як і в IE, зберігти як Web Page, complete.

Але тільки в старих версіях (Chrome <= 0.2.149.30), бо в версіях починаючи з Chrome 0.3.154.9 дана XSS вже виправлена. Дані XSS уразливості в Opera та Chrome відносяться до типу Saved XSS.