Websecurity - Веб безпека

Сьогодні я виявив Arbitrary File Upload уразливість в FCKeditor (що є вбудованою функцією). Це відомий онлайновий html текстовий редактор з широкими можливостями форматування (rich редактор). В FCKeditor наявний вбудований аплоадер, що не має розмеження прав доступу (тобто доступний для всіх), який може використовуватися для завантаження на сайт довільних файлів.

Uploader в FCKeditor не дозволяє закачувати на сайт скрипти (php та інші), що зменшує ризик даної уразливості. Але при наявності на сайті Local File Inclusion уразливості, достатньо буде через аплоадер закачати скрипт у вигляді txt-файла та інклюднути його, щоб виконати довільний код.

Уразливі всі версії веб додатку - FCKeditor 2.6.3 та попередні версії. FCKeditor може бути розміщеним адміном для використання на сайті, а також він постачається разом з різними CMS.

Arbitrary File Upload:

http://site/path/editor/filemanager/upload/test.html - для FCKeditor <= 2.4 (та потенційно 2.4.x).

http://site/path/editor/filemanager/connectors/test.html - для FCKeditor <= 2.6.3.

Для FCKeditor який чи використовується окремо, чи постачається разом з CMS, я розробив універсальний дорк.

Для FCKeditor 2.4 (та потенційно 2.4.x) та попередніх версій:

inurl:editor/filemanager/upload/

Для FCKeditor 2.6.3 та попередніх версій:

inurl:editor/filemanager/connectors/

09.04.2008

У вересні, 24.09.2007, я знайшов Insufficient Anti-automation уразливість на проекті http://glinks.ru (веб брокер). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.09.2008

Insufficient Anti-automation:

Уразливість в капчі на http://glinks.ru/?cnt=auth_register.

Яка вразлива до MustLive CAPTCHA bypass method, що я описав в проекті Місяць багів в Капчах.

Для атаки потрібно посилати одні й ті самі значення параметрів loginid і turing (наприклад, loginid = 239049 та turing = 535110).

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• Olate Download 3.4.2~modules/core/uim.php~XSS (деталі)
• Security Advisory for Bugzilla 3.0, 2.22.1, and 2.20.4 (деталі)
• Tikiwiki 1.9.7 HTML/embed object injection (деталі)
• SPIP v1.7 Remote File Inclusion Bug (деталі)
• XSS vulnerability in Cisco MeetingPlace (деталі)
• RE: XSS vulnerability in Cisco MeetingPlace (деталі)
• Ragnarok Online Control Panel Authentication Bypass Vulnerability [new method] (деталі)
• Non-persistent Cross-site Scripting (XSS) on Absolute Poll Manager XE admin page (деталі)
• 212cafeBoard Sql injection (деталі)
• Multiple vulnerabilities in Joomla 1.5 RC 1 (деталі)

У грудні, 07.12.2007, я знайшов Cross-Site Scripting уразливість на секюріті проекті http://www.infosyssec.com. Про що найближчим часом сповіщу адміністрацію сайта.

XSS (RXI):

Дана уразливість є Remote XSS Include.

• редиректор
• редиректор (друга версія)

В даному випадку XSS код виконує редирекцію. Так само може бути виконаний будь-який код, в тому числі й шкідливий. Для цього потрібно лише розмістити необхідний для RXI атаки файл.

04.04.2008

У вересні, 21.09.2007, а також додатково сьогодні, я знайшов Cross-Site Scripting уразливості на проекті http://reuters.viewdle.com (сервіс пошуку в відео). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

20.09.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR6)

XSS:

POST запит на сторінці http://reuters.viewdle.com/feedback
"><script>alert(document.cookie)</script>В полі: Your name.

</textarea><script>alert(document.cookie)</script>В полі: Feedback.

Дані уразливості досі не виправлені.

Наступними уразливостями в проекті День багів в браузерах стануть Denial of Service уразливості в Firefox, Opera та Google Chrome, що я виявив сьогодні, 19.09.2008.

Дану атаку я назову DoS через друк (printing DoS attack).

DoS:

Firefox DoS Exploit3.html - браузер зависає.

Opera DoS Exploit3.html - браузер не зависає, але ним стає неможливо користуватися і його можна лише закрити (через Task Manager).

Google Chrome DoS Exploit-6.html - браузер не зависає, але ним стає неможливо користуватися і його можна лише закрити (через Task Manager).

Уразлива версія Firefox 3.0.1 та попередні версії.

Уразлива версія Opera 9.52 та попередні версії.

Уразлива версія Google Chrome 0.2.149.29 та попередні версії.

Наступними уразливостями в проекті День багів в браузерах стануть Denial of Service уразливості в Firefox, Internet Explorer, Opera та Google Chrome, що я виявив 11.09.2008.

Дану атаку я назову DoS через оновлення (refresh DoS attack).

При запуску експлоітів усі браузери одразу починають забирати 100% процесорних ресурсів, що перенавантажує увесь комп’ютер (CPU overload).

DoS:

Firefox DoS Exploit2.txt

IE DoS Exploit2.txt

Opera DoS Exploit2.txt

Google Chrome DoS Exploit-5.txt

Дані експлоіти потрібно зберегти на комп’ютер і запустити з локального диску (або розмістити на довільному сайті). Особливістю данної атаки є те, що вона є двонаправленою DoS (bidirectional DoS), тому що навантажує як браузер, так і веб сервер. Тому я і виклав експлоіти у вигляді txt-файлів.

Уразлива версія Firefox 3.0.1 та попередні версії.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії (та потенційно й наступні версії).

Уразлива версія Opera 9.52 та попередні версії.

Уразлива версія Google Chrome 0.2.149.29 та попередні версії.

Першими уразливостями в проекті День багів в браузерах стануть Denial of Service уразливості в Firefox, Internet Explorer та Opera, що я виявив 07.09.2008.

Дану атаку я назвав DoS через букмарки (DoS via bookmarks attack).

DoS:

Firefox DoS Exploit.html - браузер зависає.

IE DoS Exploit.html - браузер не зависає, але ним стає неможливо користуватися і його можна лише закрити (через Task Manager).

Opera DoS Exploit.html - браузер тормозить і забирає 100% CPU.

Opera DoS Exploit (freeze).html - друга (більш потужна) версія експлоіта, що підвішує браузер.

Уразлива версія Firefox 3.0.1 та попередні версії.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії (та потенційно й наступні версії).

Уразлива версія Opera 9.52 та попередні версії.

Ідею атаки (на Firefox) запроновув Aiko ще 20.07.2005 - Bug 301424. І вона так досі й не була виправлена ні Mozilla в своєму браузері, ні Microsoft і Opera не спромоглися запобігти цій атаці в своїх браузерах.

Також нещодавно з’явилися подібні експлоіти для браузерів Flock та Maxthon:

• Flock Social Web Browser 1.2.5 (loop) Remote Denial of Service Exploit (деталі)
• Maxthon Browser 2.1.4.443 UNICODE Remote Denial of Service PoC (деталі)

В даній добірці уразливості в веб додатках:

• Multiple PHP remote file inclusion vulnerabilities in Linkliste 1.2 (деталі)
• Secure Computing - Security Reporter Auth Bypass and Directory Traversal Vulnerability (деталі)
• Ripe Website Manager SQL Injection and Cross Site Scripting Vulnerabilities (деталі)
• Firesoft Remote File Inclusion (деталі)
• Dalai Forum Remote File Inclusion Exploit (деталі)
• Joomla Component SimpleFAQ V2.11 - Remote SQL Injection (деталі)
• phpress 0.2.0 (adisplay.php) Remote File Inclusion (деталі)
• myphotographer image shop script /events/index.asp sql injection (деталі)
• Olate Download 3.4.2~download.php ~ sql injection (деталі)
• Olate Download 3.4.2~modules/core/fldm.php~comments tag [url] XSS (деталі)

Сьогодні я знайшов SQL Injection уразливість в Simple Download Counter. Як раз коли досліджував даний додаток. Про що найближчим часом повідомлю розробнику веб додатку.

SQL Injection:

Дірку можна використати як для отримання інформації (зокрема інших веб додатків) з БД:

http://site/xmlout.php?file='%20union%20select%20*%20from%20table/*
http://site/xmlout.php?file='%20union%20select%201,1%20from%20table/*

Так і для проведення DoS атак:

http://site/xmlout.php?file='%20and%20benchmark(10000000,benchmark(10000000,md5(now())))/*

Атака можлива при magic quotes off. Уразлива версія Simple Download Counter 1.0.