Websecurity - Веб безпека

У листопаді, 26.11.2007, я знайшов нові Cross-Site Scripting уразливості в плагіні WP-ContactForm. Причому це persistent XSS. Вразлива версія плагіна WP-ContactForm 1.5 alpha (та попередні).

Раніше я вже писав про уразливості в WP-ContactForm (в оригінальній версії) та в новій версії плагіна (зробленій іншим автором) - WP-ContactForm CAPTCHA bypass та XSS in WP-ContactForm. В новій версії плагіна були виправлені деякі дірки попередньої версії, деяки залишились та були додані нові дірки. Зараз розповім про уразливості в оригінальній версії плагіна.

XSS:

POST запит на сторінці http://site/wp-admin/admin.php? page=wp-contact-form/options-contactform.php:

"><script>alert(document.cookie)</script>В полях: E-mail Address, Subject - для атаки тільки на адміна.

<script>alert(document.cookie)</script>В полях: Success Message, Error Message - для атаки на користувачів.

</textarea><script>alert(document.cookie)</script>В полях: Success Message, Error Message - для атаки на адміна та на користувачів.

Розробнику плагіна я повідомлю найближчим часом.

P.S.

Також версія WP-ContactForm 1.5-alpha та попередні версії плагіна вразливі до Insufficient Anti-automation, тому що не мають капчі.

В даній добірці уразливості в веб додатках:

• GeekLog <= 2. (BaseView.php) Remote File Include Vulnerabilities (деталі)
• GeekLog <= 2. (BaseView.php) Remote File Include Vulnerabilities (деталі)
• SQL injection vulnerability in Mambo (деталі)
• PHP remote file inclusion vulnerability in Flipsource Flip (деталі)
• PHP remote file inclusion vulnerability in Categories hierarchy (aka CH or mod-CH) 2.1.2 (деталі)
• Directory traversal vulnerability in admin/subpages.php in GGCMS (деталі)
• Cross-site scripting (XSS) vulnerability in MediaWiki (деталі)
• Vulnerability in TorrentFlux 2.2 (деталі)
• Cross-site scripting (XSS) vulnerability in TorrentFlux 2.2 (деталі)
• Декілька уразливостей в chetcpasswd (деталі)
• Міжсайтовий скриптінг і SQL-ін’єкція в Rapid Classified (деталі)
• PHP remote file inclusion vulnerability in osprey (деталі)
• PHP remote file inclusion vulnerability in Genepi (деталі)
• PHP remote file inclusion vulnerability in YapBB (деталі)
• Численні уразливості в IBM WebSphere Application Server (деталі)

В червні була оприлюднена Cross-Site Scripting уразливість в WordPress. Дірка в стандартній темі движка (в файлі functions.php).

XSS:

http://site/wp-admin/themes.php?page=functions.php&xss"><script>alert(document.cookie)</script>

Вразлива версія WordPress 2.2 (і потенційно попередні версії). Як я перевірив, дана уразливість може спрацювати в залежності від налаштувань PHP.

• Wordpress default theme XSS (admin) and other problems (деталі)

24.07.2007

У січні, 31.01.2007, я знайшов Cross-Site Scripting уразливість на проекті http://www.obozrevatel.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.12.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

Нещодавно, 05.12.2007, я знайшов дві Information disclosure уразливості в WordPress. Як раз коли досліджував SQL Injection в WordPress (котра виявилася фейком). Це SQL DB Structure Extraction та Full path disclosure уразливості.

SQL DB Structure Extraction:

http://site/?feed=rss2&p=1

Full path disclosure:

http://site/?feed=rss2&p=1

Де p - це id неіснуючого запису (потрібно вказати номер неіснуючого посту, щоб виникли дані уразливості). Серед сайтів де я виявив ці дірки, SQL DB Structure Extraction траплялася на всіх, а Full path disclosure лише на деяких (це може залежати від налаштувань WP).

Вразливі версії WordPress 2.2.x та 2.3.x. Версії движка 2.0.x та 2.1.x не вразливі (я перевірив декілька версій даних гілок WP).

Інформація отримана за допомогою SQL DB Structure Extraction стане у нагоді при SQL Injection атаці, а інформація отримана за допомогою Full path disclosure - при File Include та Directory Traversal атаках. Тому власникам даних версій движка варто виправити зазначені уразливості власноруч.

В даній добірці уразливості в веб додатках:

• WebBuilder <= 2.0 Remote File Include Vulnerability (деталі)
• GeekLog <= 2. (BaseView.php) Remote File Include Vulnerabilities (деталі)
• GeekLog <= 2. (BaseView.php) Remote File Include Vulnerabilities (деталі)
• Ki.isel Site 2007 (tr) == SQL Injection Vulnerability (деталі)
• LightRO CMS 1 beta(inhalt.php) Remote File Include Vulnerability (деталі)
• VBulletin AdminCP Index.PHP Multiple Cross-Site Scripting Vulnerability (деталі)
• SQL injection vulnerability in pms.php in Woltlab Burning Board (wBB) Lite (деталі)
• Виконання довільних сценариїв в Yahoo Messenger (деталі)
• Cross-site Scripting with Local Privilege Vulnerability in Yahoo Messenger (деталі)
• Directory traversal vulnerability in TorrentFlux 2.2 (деталі)
• Декілька уразливостей в Conti FTPServer (деталі)
• Міжсайтовий скриптінг и SQL-ін’єкція в Rialto (деталі)
• Cross-site scripting (XSS) vulnerability in Moodle (деталі)
• Vulnerability in WeBWorK Program Generation (PG) Language (деталі)
• PHP remote file inclusion vulnerability in osprey 1.0 (деталі)

Нещодавно, 05.12.2007, ще до SQL Injection уразливості в WordPress, про котру я писав два дні тому, була опублікована SQL ін’єкція в WordPress. До якої вразливий WordPress 2.3.1 (та потенційно попередні версії).

• Sql Injection in wordpress 2.3.1 (деталі)

Як я перевірив на багатьох сайтах одразу коли дізнався про цю дірку, вона не працює. Схоже чи це фейк (обманка), чи це так автор ціє знахідки вирішив пожартувати , чи в нього був специфічний Вордпрес - або він вносив зміни в код, або використовув деякий плагін, що і призвело до того, що в нього дірка працює. Бо на багатьох сайтах на WP 2.3.1 (та інших версіях) вона зовсім не працює. І як повідомив в BugTraq один з користувачів останньої версії WP, вона не вразлива (як і попередні версії).

Цікаво те, що досліджуючи дану уразливість я виявив дві нові уразливості в WordPress, про котрі я повідомлю найближчим часом.

30.01.2007

У січні, 30.01.2007, я знайшов SQL Injection та Full path disclosure уразливості на сайті http://altersys-ua.com (дана компанія зокрема займається аудитом безпеки). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

14.12.2007

SQL Injection:

http://altersys-ua.com/?index=-20%20or%20id=2

Full path disclosure:

http://altersys-ua.com/?index=-20

Дані уразливості вже виправлені.

Продовжуючи тему експлоітів для Apache, пропоную вам нову добірку експлоітів і уразливостей в цьому веб сервері.

Дані експлоіти для уразливостей в Apache MyFaces Tomahawk, libapache-mod-auth-kerb та Apache Tomcat. Адмінам варто слідкувати за оновленням своїх серверів.

• Apache MyFaces Tomahawk JSF Framework Cross-Site Scripting (XSS) Vulnerability (деталі)
• New libapache-mod-auth-kerb packages fix remote denial of service (деталі)
• Apache Tomcat (webdav) Remote File Disclosure Exploit (деталі)

В даній добірці уразливості в веб додатках:

• ePortfolio version 1.0 Java Multiple Input Validation Vulnerabilities (деталі)
• Arbitrary file disclosure vulnerability in rrdbrowse <= 1.6 (деталі)
• Uphotogallery Multiple Cross-Site Scripting Vulnerability (деталі)
• Mina Ajans Script Remote File Inclusion Vuln. (деталі)
• Les News v2.2 [Admin news without password] (деталі)
• Java fullscreen PWNage (деталі)
• SMA-DB <= 0.3.9 (settings.php) Remote File Inclusion Vulnerability (деталі)
• PHP remote file inclusion vulnerability in mx_modsdb 1.0.0 module for MxBB (aka MX-System) Portal (деталі)
• Multiple SQL injection vulnerabilities in ScriptMate User Manager (деталі)
• Міжсайтовий скриптінг та SQL-ін’єкція в BestWebApp Dating Site (деталі)
• Виконання довільного PHP коду в PHP Easy Download (деталі)
• Vulnerability in HyperAccess 8.4 (деталі)
• Argument injection vulnerability in HyperAccess 8.4 (деталі)
• Directory traversal vulnerability in TorrentFlux (деталі)
• SQL-ін’єкція в Active News Manager (деталі)