Websecurity - Веб безпека

У жовтні, 31.10.2007, я знайшов Cross-Site Scripting уразливості на проекті http://opennet.ru. Як раз коли розробив експлоіт для Insufficient Anti-automation уразливості на даному сайті. Про що найближчим часом сповіщу адміністрацію проекту.

В минулому році я згадув про уразливість в капчі на проекті opennet.ru (який зокрема публікує новини на тему безпеки) - MoBiC-09: opennet.ru CAPTCHA bypass. Наведений експлоіт може бути використаний для перевірки даних XSS дірок.

XSS:

POST запит на сторінці http://www.opennet.ru/guestbook.shtml
<script>alert(document.cookie)</script>В полях: username, email та message. Також атака може бути проведена через значення User Agent.

Обов’язково потрібно задавати реферер, тому що скрипт перевіряє реферер. Це може бути зроблено через Flash, зокрема через ті версії флеша, що дозволяють підробку реферера.

10.06.2008

У жовтні, 26.10.2007, а також додатково сьогодні, я знайшов Insufficient Anti-automation, Denial of Service та Full path disclosure уразливості на проекті http://www.itblog.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

23.12.2008

Insufficient Anti-automation:

Уразливість в капчі на сторінках постів. Яка вразлива до MustLive CAPTCHA bypass method, що я описав в проекті Місяць багів в Капчах.

Для атаки потрібно посилати одні й ті самі значення параметрів random_num і check (наприклад, random_num = 902547 та check = 0035).

DoS:

http://www.itblog.com.ua/modules.php?sa=Search&name=Search&query=%

Виводить з БД сайта інформацію про усі записи.

Full path disclosure:

http://www.itblog.com.ua/go.php?url=%0A1

А також редиректор .

Redirector:

http://www.itblog.com.ua/go.php?url=websecurity.com.ua

Дані уразливості досі не виправлені.

У лютому, 13.02.2008, після попередніх уразливостей на aukcion.ua та auction.ua, я знайшов численні Cross-Site Scripting уразливості на сайті http://auction.meta.ua (інтернет аукціон). Що є версією сайта http://auction.ua на Меті (які є новим власником даного аукціону).

Як і попередні власники проекту, Мета також не стала достатньо слідкувати за його безпекою. Що є звичним явищем для Мети, про діряві сайти якої я часто писав в себе в новинах.

XSS (IE):

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

В даній добірці уразливості в веб додатках:

• MDAP ANTs PWNAGE: dumping the admin password of the BT Home Hub (деталі)
• BT Home Flub: Pwnin the BT Home Hub (деталі)
• Logaholic Web Analytics Software (деталі)
• Jupiter Cms Multiple Vulnerabilities (деталі)
• Sensitive info disclosure in CuteNews <= 1.4.5 (деталі)
• Tikiwiki CMS is vulnerable to path traversal attack (деталі)
• Tikiwiki 1.9.8.3 tiki-special_chars.php XSS Vulnerability (деталі)
• My Blog Rfi (деталі)
• Dokeos Multiple Cross-Site Scripting Vulnerabilities (деталі)
• Moodle SQL Injection (деталі)

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. В лютому, 16.02.2008, я виявив Cross-Site Scripting і Abuse of Functionality уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

XSS:

Це reflected і persistent XSS.

http://site/edCss.php?action=create+new&fields%5Bcss%5D=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Код в подальшому виконується при відвіданні сторінок http://site/edUserprofile.php і http://site/edCss.php.

Abuse of Functionality:

Якщо відправити запит (зокрема через CSRF атаку на залогіненого користувача) з action=create+new і з вказанням fields[css], без вказання fields[userid] поточного користувача, то нова CSS запишеться в системі як дефолтна і користувач не зможе її видалити. Чим можна засмітити БД системи.

http://site/edCss.php?action=create+new&fields%5Bcss%5D=1

Дану уразливість також можна використати, щоб провести вищенаведену persistent XSS атаку не тільки в рамках одного акаунта, а в рамках всіх акаунтів системи.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це сьома частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

09.06.2008

У жовтні, 26.10.2007, я знайшов Local File Inclusion та Directory Traversal уразливості на проекті http://www.iacc-ev.eu. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

20.12.2008

Local File Inclusion та Directory Traversal:

http://www.iacc-ev.eu/html/autohtml.php?filename=../file.php
http://www.iacc-ev.eu/html/autohtml.php?filename=../robots.txt

Дані уразливості досі не виправлені.

У лютому, 02.02.2008, я знайшов Cross-Site Scripting уразливості на сайті http://aukcion.ua (інтернет аукціон). Який є іншим доменом http://auction.ua. На якому знайдені дірки також мають місце.

Раніше я вже писав про уразливість на auction.ua. Минулого разу адміністрація проекту дуже несерйозно віднеслася до проблем з безпекою на сайті. Що добре видно по новим уразливостям.

XSS (IE):

http://aukcion.ua

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

http://auction.ua

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий

В даній добірці уразливості в веб додатках:

• HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS) (деталі)
• PHP remote file inclusion vulnerability in Scorp Book 1.0 (деталі)
• Cross-site scripting (XSS) vulnerability in Pineapple Technologies QuizShock (деталі)
• IBM DB2 DB2JDS Multiple Vulnerabilities (деталі)
• Multiple xss in mambo 4.6.2 (деталі)
• PHP Security Framework: Vuln and Security Bypass (деталі)
• Uber Uploader <= 5.3.6 Remote File Upload Vulnerability (деталі)
• SurgeMail v.38k4 webmail Host header crash (деталі)
• neuron news1.0 Multiple Remote Vulnerabilities (sql injection/xss) (деталі)
• xeCMS 1.x.x Remote File Disclosure Vulnerability (деталі)

У лютому, 05.02.2008, я знайшов Insufficient Anti-automation уразливість, а з часом також Cross-Site Request Forgery, SQL Injection, Full path disclosure та Cross-Site Scripting уразливості на сайті http://www.blog.privatbank.ua (блог ПриватБанка). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно банка ПриватБанк раніше я вже писав про уразливості на www.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

11.06.2008

У жовтні, 26.10.2007, а також додатково сьогодні, я знайшов Cross-Site Scripting уразливості на популярному проекті http://www.metacafe.com (відео хостінг). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.12.2008

XSS:

• alert(document.cookie) (виправлена)
• alert(document.cookie) (IE)
• цікавий (IE)

Перша уразливість вже виправлена, але друга досі не виправлена.