Websecurity - Веб безпека

06.10.2007

У травні, 13.05.2007, я знайшов численні Cross-Site Scripting уразливості (21 XSS) на проекті http://top.mail.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів mail.ru я писав про уразливість на drive.mail.ru.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

10.03.2008

XSS:

Уразливості в скрипті code в параметрах type_8, group, type_9, type_10, type_11, type_12. type_13, type_14, type_15, type_16, type_17, type_18, mode, version, type_1, type_2, type_3, type_4, type_5, type_6, type_7.

• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• Cross-site Scripting / HTML injection on F5 FirePass 4100 SSL VPN ‘download_plugin.php3′ server-side script (деталі)
• Cross-site scripting (XSS) vulnerability in NukeSentinel (деталі)
• SQL injection vulnerability in NukeSentinel (деталі)
• XSS In Script deviantART (деталі)
• Php Nuke POST XSS on steroids (деталі)
• Weekly Drawing Contest <= (check_vote.php) Remote File Disclosure Vuln (деталі)
• MySQL Commander <= 2.7 (home) Remote File Inclusion Vulnerability (деталі)
• PHP remote file inclusion vulnerability in MySpeach (деталі)
• PHP remote file inclusion vulnerability in Sangwan Kim phpIndexPage (деталі)
• PHP-інклюдинг в Limbo CMS event (деталі)
• Обхід обмежень безпеки в AlstraSoft Web Host Directory (деталі)
• PHP remote file inclusion vulnerability in Bradabra (деталі)
• PHP remote file inclusion vulnerability in Mafia Scum Tools 2.0.0 in Matthew Wardrop Advanced Random Generators (деталі)
• SQL injection vulnerability in webSPELL 4.01.02 (деталі)
• Декілька уразливостей в Cacti (деталі)

У серпні, 04.08.2007, я знайшов Cross-Site Scripting та Content Spoofing уразливості на http://search.live.com - в пошуці по зображенням пошукової системи Live Search. Про що найближчим часом сповіщу адміністрацію системи.

XSS (Remote XSS/HTML Include):

• редиректор
• редиректор (друга версія)

Remote XSS Include та Remote HTML Include - це різновид XSS уразливостей, про який я розповідав раніше.

Content Spoofing:

• html включення

Дані уразливості подібні до уразливостей в пошуці Гугла по зображенням, про які я писав в записі MOSEB-15: Vulnerabilities at images.google.com.

04.10.2007

У травні, 04.05.2007, я знайшов Cross-Site Scripting уразливості на проекті http://www.epp.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

07.03.2008

XSS:

POST запит на сторінці http://www.epp.org.ua/contact-us:

"><script>alert(document.cookie)</script>В полях: Ваше имя, Ваш адрес, Тема.

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Cross-site Scripting (XSS) / HTML injection on F5 FirePass 4100 SSL VPN ‘my.logon.php3′ server-side script (деталі)
• Cross-site Scripting (XSS) / HTML injection on F5 FirePass 4100 SSL VPN ‘my.activation.php3′ server-side script (деталі)
• Lazarus Guestbook (admin.php) Remote File Include Expliot (деталі)
• dynaliens v2.0/v2.1 bypass admin authentification + XSS (деталі)
• xss in phpmyadmin >=2.8.0 and < 2.10.0 (деталі)
• Remote File Include In Script copyright (c) James Coyle; JCcorp (деталі)
• WEBO (Web Organizer) <= 1.0 (baseDir) Remote File Inclusion Vulnerability (деталі)
• Vulnerability in RubyGems (деталі)
• Vulnerability in BEA AquaLogic Enterprise Security (деталі)
• Обхід обмежень безпеки в Fishyshoop (деталі)
• SQL-ін’єкція в Calendar MX BASIC (деталі)
• PHP remote file inclusion vulnerability in Neon Labs Website (nlws) (деталі)
• Обхід обмежень безпеки в GOsa (деталі)
• Міжсайтовий скриптінг в PHP iCalendar (деталі)
• PHP remote file inclusion vulnerability in Upload-Service 1.0 (деталі)

Виявлений міжсайтовий скриптінг в IPB. Уразливість дозволяє віддаленому користувачу зробити XSS напад.

Уразливі версії: Invision Power Board 2.3.4 до 20.02.2008, можливо більш ранні версії.

Уразливість існує через недостатню обробку вхідних даних у BBCodes і вона працює тільки в браузері Internet Explorer. Віддалений користувач може за допомогою спеціально сформованого запиту виконати довільний код сценарію в браузері жертви в контексті безпеки уразливого сайта.

• Межсайтовый скриптинг в Invision Power Board (деталі)

29.09.2007

У квітні, 17.04.2007, я знайшов Cross-Site Scripting та Full path disclosure уразливості на проекті http://ukrbs.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Про одну з них я вже писав раніше стосовно уразливості в Google Custom Search Engine.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

05.03.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

XSS:

POST запит на сторінці http://ukrbs.org.ua/blog/contact/:

"><script>alert(document.cookie)</script>В полях: Ім’я, Пошта, Сайт.

</textarea><script>alert(document.cookie)</script>В полі: Повідомлення.

Full path disclosure:

http://ukrbs.org.ua/blog/index.php?m[]=

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• CA Products That Embed Ingres Multiple Vulnerabilities (деталі)
• Ingres Database Multiple Heap Corruption Vulnerabilities (деталі)
• Authentication bypass in Audins Audiens 3.3 (деталі)
• WWWboard password disclosure (деталі)
• Fystyq Duyuru Scripti Remote Sql Injection Exploit (деталі)
• Vulnerability in OpenSolution Quick.Cart (деталі)
• Remote File Include In Script Coppermine Photo Gallery (деталі)
• SQL injection vulnerability in Easebay Resources Paypal Subscription Manager (деталі)
• Vulnerability in BEA AquaLogic Service Bus (деталі)
• Vulnerability in BEA AquaLogic Enterprise Security (деталі)
• SQL-ін’єкція в Mxmania File Upload Manager (деталі)
• PHP remote file inclusion vulnerability in PhpSherpa (деталі)
• PHP-інклюдинг в Fantastic News (деталі)
• Міжсайтовий скриптінг в Knusperleicht Shoutbox (деталі)
• Обхід обмежень безпеки в OpenNewsletter (деталі)

У грудні, 12.12.2007, я знайшов Cross-Site Scripting уразливість (причому persistent XSS) в форумному движку Invision Power Board. Про що найближчим часом сповіщу розробникам.

Те що IPB є вразливим для даної атаки я підозрював вже давно - ще з 2006 року, як почав цікавитися темою XSS атак через флеш. Але тільки наприкінці 2007 року знайшов час щоб перевірити можливість даної уразливості в IPB. Причому я був упевнений, що уразливість є в IPB 1.x, але сподівався, що вже в IPB 2.x розробники виправили її. Але виявилось, що в другій версії движка нічого в цьому плані не змінилося - уразливі як IPB 1.x так і IPB 2.x (перевірив на Invision Power Board v1.3, 2.1.5 та 2.2.2).

XSS:

[flash=1,1]http://site/flash.swf[/flash]

XSS є активним (persistent), тому будуть атаковані всі ті, хто подивиться тему, де розміщений даний код. Єдиною умовою є включена підтримка флеша в повідомленнях. А багато адмінів забувають про те, що в них флеш включений, або зовсім не знають, що він був включений раніше (іншим адміном, або при апгрейді движка). А деяким власникам форумів потрібна підтримка флеша.

Атака може бути проведена через публікацію флешки в повідомленні на форумі, або встановлення її в якості аватора.

Патчі для виправлення даних уразливостей я вже приготував (ще в грудні), і вони незабаром вийдуть в новій версії мого Security Pack.

28.09.2007

У квітні, 17.04.2007, я знайшов Cross-Site Scripting уразливість на проекті http://rutube.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

03.03.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.