Websecurity - Веб безпека

У листопаді, 01.11.2007, я знайшов Cross-Site Scripting уразливість на популярному проекті http://craigslist.org. Тоді ж я також знайшов Insufficient Anti-automation, про яку писав в записі MoBiC-02: craigslist.org CAPTCHA bypass.

Дана Cross-Site Scripting уразливість не є звичайною XSS, вона є новим підкласом XSS уразливостей (про мою просунуту класифікацію XSS я з часом розповім), котрий я виявив в минулому році. Дана уразливість - це Виключно соціальний XSS (Strictly social XSS). Для запуску даної уразливості потрібно зробити деякі дії в браузері. Я вже розповідав раніше про подібну XSS (що також відноситься до Strictly social XSS) - Cross-Site Scripting в Mozilla та Firefox. Про даний клас уразливостей я ще розповім детально.

Стосово уразливості на craigslist.org, що, як я сьогодні перевірив, вже була виправлена, але вона варта, щоб про неї згадати. Зазначу, що я знайшов ще й інші уразливості на craigslist.org, про які напишу окремо.

XSS:

Уразливість була в пошуці на http://sfbay.craigslist.org.

• alert(document.cookie)

Вона спрацьовувала лише через клік в меню Site Navigation Bar в браузері (котре повинно бути включене - або Show Always, або Show Only As Needed). В цьому й особливість данної уразливості, для запуску якої потрібно було в Site Navigation Bar в меню More вибрати RSS фід сайта.

В даній добірці уразливості в веб додатках:

• CreaDirectory v1.2 Remote SQL Injection Vulnerability (деталі)
• osp <= 1.2.1 (cfgPathToProjectAdmin) Remote File Include Vulnerablities (деталі)
• AjPortal2Php (PagePrefix) Remote File Inclusion Vulnerabilities (деталі)
• StoreFront for Gallery (GALLERY_BASEDIR) Remote File Inclusion Vulnerabilities (деталі)
• sunshop 4 (index.php) Remote File Include Vulnerability (деталі)
• CNStats 2.9 (who_r.php) Remote File Include Vulnerability (деталі)
• Pixaria Gallery 1.x (class.Smarty.php) Remote File Include Vulnerability (деталі)
• QDBlog v0.4 - MULTIPLE VULNERABILITIES (деталі)
• Expow 0.8 File manager Autoindex.php (cfg_file) Remote File Inclusion Vulnerability (деталі)
• Cross-site scripting (XSS) vulnerability in Community Server (деталі)

19.05.2008

У жовтні, 21.10.2007, я знайшов Cross-Site Scripting уразливості в системі PHP-Nuke. Дірки я виявив на її офіційному сайті http://phpnuke.org.

Дані уразливості я виявив як раз коли знайшов дві Insufficient Anti-automation уразливості в даній системі, про що я писав в записах MoBiC-10: PHP-Nuke CAPTCHA bypass та MoBiC-10 Bonus: another PHP-Nuke CAPTCHA bypass.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

23.06.2008

XSS:

POST запит на сторінці http://site/modules.php?name=Your_Account &op=new_user

"><script src=http://site/script.js>В полях: gfx_check та random_num.

Експлоіт:

PHP-Nuke CAPTCHA bypass + XSS.html

Уразливі версії PHP-Nuke 7.7 та 8.1.

Ще в позаминулому році, 28.09.2006, я знайшов Cross-Site Scripting та Redirector уразливості на проекті http://dnevnik.bigmir.net. І ці уразливості як були довгий час на сервісі блогів Бігміра до вказаної дати, так й залишилися після неї - вони по сьогодні так і не були виправлені. Лише після початку використання WAF (з осені минулого року) на Бігмірі, можливості використання даних уразливостей зменшились, але самі дірки так і не були виправлені .

Що відповідним чином характеризує даний блог-сервіс, як й інші сервіси блогів, де я регулярно знаходжу уразливості. Останніми я згадував уразливості на livejournal.com та на blog.i.ua.

XSS (через HTTP Response Splitting):

• alert(document.cookie)

Дана XSS уразливість вже не працює (в зв’язку з WAF).

Redirector:

http://dnevnik.bigmir.net/go/?url=http://websecurity.com.ua

В даній добірці уразливості в веб додатках:

• DB Manager XSS vuln. (деталі)
• Directory Image Gallery XSS vuln. (деталі)
• Minki XSS vuln. (деталі)
• Wikepage XSS vuln (деталі)
• drupal Zend Hash Del Key Or Index php injection (деталі)
• SQL-ін’єкція в E-Xoopport (деталі)
• Drupal < 5.1 (post comments) Remote Command Execution Exploit v2 (деталі)
• Drupal < 4.7.6 (post comments) Remote Command Execution Exploit v2 (деталі)
• Cisco Unified IP Conference Station and IP Phone Vulnerabilities (деталі)
• SQL injection vulnerability in Sphider (деталі)

19.02.2008

У липні, 15.07.2007, я знайшов Cross-Site Scripting уразливості, в тому числі і Persistent XSS, на проекті http://www.skyse.ru (мета пошукова система). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.06.2008

XSS:

• alert(document.cookie)
• alert(document.cookie)

XSS (Persistent):

• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• dBlog CMS Open Source database retrieval (деталі)
• Critical Sql Injection in NukeSentinel 2.5.12 (деталі)
• Stuffed Tracker Multiple Cross-Site Scripting VULN (деталі)
• TorrentTrader Classic Mutiple Remote vulnerabilities (деталі)
• new vuln in snewscms.net.ru in lang file (деталі)
• Else If cms Multiple Remote vulnerabilities (деталі)
• idmos-phoenix cms Remote File inclusion (деталі)
• CMS Creamotion - Remote File inclusion (деталі)
• dbList XSS vuln. (деталі)
• Vulnerability in Portal Search (деталі)

13.02.2008

У липні, 12.07.2007, я знайшов Cross-Site Scripting уразливості на проекті http://exchengine.ru (сервіс обміну веб грошей). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно обмінників веб грошей я писав про уразливість на onlinechange.com.

Детальна інформація про уразливості з’явиться пізніше.

18.06.2008

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• PHP Remote File Inclusion in Comet-Server (деталі)
• Gelato SQL Injection exploit (деталі)
• new XSS vulnerability in php-stats -tracking.php (деталі)
• Численні уразливості в Stride v1.0 (деталі)
• PHPBBPLUS 1.5.3 RFI BUG (деталі)
• GCALDaemon Remote DoS (деталі)
• XSS on Obedit v3.03 (деталі)
• b1gmail Cross Site Scripting (деталі)
• Coppermine <= 1.4.12 Cross Site Scripting and Local File Inclusion (деталі)
• Vulnerability in Virtual Calendar (деталі)

11.02.2008

У липні, 11.07.2007, я знайшов Cross-Site Scripting уразливість на проекті http://shop.a.ua (пошук інтернет-магазинів порталу A.UA). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів A.UA я писав про уразливості на ref.a.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.06.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.