Websecurity - Веб безпека

06.03.2008

У серпні, 05.08.2007, я знайшов Cross-Site Scripting уразливість на проекті http://files.uaportal.com. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів Українського портала я писав про уразливості на www.uaportal.com.

Детальна інформація про уразливість з’явиться пізніше.

26.07.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR5)

Дана уразливість досі не виправлена.

Вчора я знайшов численнні уразливості в FireStats плагіні для WordPress (та інших CMS). Про що найближчим часом повідомлю розробникам плагіна. Я вже розповідав про деякі уразливості в FireStats, зараз оприлюдню другу частину уразливостей в плагіні - Insufficient Authorization, Information Leakage, Insufficient Anti-automation, Denial of Service та Cross-Site Scripting.

Insufficient Authorization та Information Leakage:

http://site/wp-content/plugins/firestats/

Можна без авторизації дивитися статистику відвідувань та дізнатися повний шлях на сервері. А також можна змінювати деякі налаштування, зокрема Bots list, Excluded IPs та інші налаштування в Settings.

Insufficient Anti-automation:

Можливі автоматизовані запити, зокрема до функції Recalculate database cache та до функцій зміни Bots list та Excluded IPs.

FireStats Insufficient Anti-automation.html

DoS:

При автоматизованих запитах до функції Recalculate database cache можливе велике навантаження на сервер.

FireStats Insufficient Anti-automation.html

XSS:

FireStats XSS.html

Уразливі FireStats 1.0.2 та попередні версії.

В даній добірці уразливості в веб додатках:

• Apple Safari: cookie stealing (деталі)
• AzDG Dating Gold v3.0.5 ===> Remote File Include Vulnerability (деталі)
• HP System Management Homepage (SMH) for Linux, Remote Privileged Access (деталі)
• DokuWiki suffers XSS (деталі)
• Geoblog v1 administrator bypass (деталі)
• MailMarshal Spam Quarantine Password Retrieval Vulnerability (деталі)
• Security Advisory: Login bypass in LedgerSMB 1.2.0 through 1.2.6 (деталі)
• Clarifications on LedgerSMB vulnerability with Bugtraq ID:24940 (деталі)
• Dovecot vulnerability (деталі)
• Міжсайтовий скриптінг і SQL-ін’єкція в VirtueMart (деталі)

Сьогодні я знайшов численнні уразливості в FireStats плагіні для WordPress (та інших CMS). Про що найближчим часом повідомлю розробникам плагіна. Зараз я оприлюдню першу частину уразливостей в FireStats - Full path disclosure та Cross-Site Scripting.

Full path disclosure:

http://site/wp-content/plugins/firestats/js/firestats.js.php
http://site/wp-content/plugins/firestats/php/ajax-handler.php?FS_FULL_INSTALLATION=1
http://site/wp-content/plugins/firestats/php/footer.php
http://site/wp-content/plugins/firestats/php/page-help.php
http://site/wp-content/plugins/firestats/php/page-import.php
http://site/wp-content/plugins/firestats/php/page-settings.php
http://site/wp-content/plugins/firestats/php/page-stats.php
http://site/wp-content/plugins/firestats/php/tabbed-pane.php
http://site/wp-content/plugins/firestats/php/ezsql/mysql/demo.php
http://site/wp-content/plugins/firestats/php/ezsql/mysql/disk_cache_example.php
http://site/wp-content/plugins/firestats/php/ip2c/benchmark.php
http://site/wp-content/plugins/firestats/php/ip2c/ip2c_test.php
http://site/wp-content/plugins/firestats/php/unzip/sample.php

XSS:

Persistent XSS уразливість в полі UserAgent. При відвідуванні сайта зі спеціально створеним заголовком UserAgent, дане значення UA відображується на сторінці статистики без попередньої фільтрації.

Уразливі FireStats 1.0.2 та попередні версії.

04.03.2008

У серпні, 01.08.2007, я знайшов Cross-Site Scripting уразливість на проекті http://multilex.online.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів online.ua я писав про уразливості на market.online.ua та market-ru.online.ua.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

24.07.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

Нещодавно, 19.07.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі PostNuke Phoenix. Дірки я виявив на декількох сайтах, що використовують даний движок. Про що найближчим часом повідомлю розробникам системи.

Insufficient Anti-automation:

Уразливість в user.php (в модулі NS-NewUser).

http://site/user.php?uname=test&pass=12345&vpass=12345&email=test@test.com&vemail=test@test.com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

Уразливість в user.php (в модулі NS-NewUser) в параметрі op.

http://site/user.php?module=NS-NewUser&op=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дірки перевірив на версіях 0.7.2.3 і 0.7.2.6. Тому уразливі PostNuke Phoenix 0.7.2.6 та попередні версії (та потенційно наступні версії).

В даній добірці уразливості в веб додатках:

• SUN Java JNLP Overflow (деталі)
• Sun Java WebStart JNLP Stack Buffer Overflow Vulnerability (деталі)
• CVE-2007-3693: Cross site scripting and information disclosure in gobi/helma (деталі)
• eSoft InstaGate EX2 Cross-Site Request Forgery Attack (деталі)
• Dotclear remote script execution (деталі)
• Powered By Dvbbs Version 7.1.0 Sp1 By Pass (деталі)
• paFileDB 3.6 (search.php) Remote SQL Injection (деталі)
• Element CMS script insertion vulnerability (деталі)
• Session Riding and multiple XSS in WebCit (деталі)
• PHP-інклюдинг в DreamStats (деталі)

17.06.2008

У жовтні, 27.10.2007, я знайшов Full path disclosure, SQL DB Structure Extraction, SQL Injection, Cross-Site Scripting та Insufficient Anti-automation уразливості в системі Nucleus. Раніше я вже згадував про деякі з цих уразливостей в даному движку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

22.07.2008

Full path disclosure:

http://site/action.php?action=addcomment

SQL DB Structure Extraction:

http://site/action.php?action=addcomment

SQL Injection:

Уразливості в http://site/action.php в параметрах itemid, myid.

Nucleus SQL Injection.html

XSS:

POST запит на сторінці http://site/action.php
"><script>alert(document.cookie)</script>В параметрах: itemid, myid, remember.

Insufficient Anti-automation:

Nucleus CAPTCHA bypass.html

Nucleus CAPTCHA bypass2.html

Про дані уразливості я писав торік в записах MoBiC-20: Nucleus CAPTCHA bypass та MoBiC-20 Bonus: another Nucleus CAPTCHA bypass.

Уразливі Nucleus 3.01 та попередні версії.

На початку минулого року була оприлюднена Cross-Site Scripting уразливість в Invision Power Board. Уразливий скрипт admin.php. Враховуючи, що дірка в адмінці IPB, то атакувати потрібно залогіненого адміна, а враховуючи роздільну авторизацію на форумі і в адмінці в IPB, то необіхно атакувати саме в той час, коли адмін є залогіненим в адмінку.

На securitylab.ru та на інших сайтах помилково повідомляється, що уразливим є параметр phpinfo в скрипті admin.php. Насправді такого параметра в адмінці IPB немає , і уразливість знаходиться в розділі “Данные сервера” (у параметра code значення phpinfo), і при цьому задається новий масив з XSS кодом.

XSS:

http://site/admin.php?adsess=...&act=op&code=phpinfo&a[]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

При цьому потрібно знати значення поточної сесії адміна (параметр adsess), щоб провести атаку (що ускладнює атаку). Це можна зробити через витік інформації або за допомогою іншої XSS.

Уразливі версії Invision Power Board 1.0.x, 1.1.x, 2.0.x і 2.1.x (та потенційно наступні версії).

• Cross-site scripting vulnerability in Invision Power Board (деталі)

В даній добірці уразливості в веб додатках:

• Apple Safari for Windows feed:// URL Denial of Service Vulnerability (деталі)
• Safari for Windows, 0day URL protocol handler command injection (деталі)
• Cross Site Scripting in Oliver Library Management System (деталі)
• MySQLDumper vulnerability: Bypassing Apache based access control possible (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in in Webmin and Usermin (деталі)
• SQL-ін’єкція в enVivo!CMS (деталі)
• AsteriDex (Asterisk / Trixbox) remote code execution (деталі)
• phpTrafficA <=1.4.3 Admin Login Bypass (деталі)
• HomestayFinder XSS Vulnerability in Wikipedia Mirror (деталі)
• Обхід обмежень безпеки в Drupal Captcha Module (деталі)