Websecurity - Веб безпека

Декілька днів тому, 07.01.2007, я знайшов Cross-Site Scripting уразливість на Офiцiйному представництві Президента України http://www.president.gov.ua - сайті Президента України. Про що найближчим часом сповіщу адміністрацію сайту.

Раніше я вже писав про Уразливість на сайті Кабінета Міністрів України та про мій аудит безпеки сайту Верховної Ради України. І тоді результати були невтішні. Ситуація з сайтом президента не набагато краща - уразливості також мають місце (зокрема, я повідомлю адміністраторів про знайдену XSS).

Детальна інформація про уразливість не буде опублікувана (не планую). За для безпеки сайту президента, його працівників та відвідувачів.

P.S.

До речі, це перший приклад з серії уразливих президентських сайтів. Тому очікуйте на продовження.

В даній добірці уразливості в веб додатках:

• CentiPaid <= 1.4.2 [$class_pwd] Remote File Include (деталі)
• Coppermine 1.4.9 SQL injection (деталі)
• phpLedAds 2.0(dir) File Include (деталі)
• Ban v0.1 (bannieres.php) File Include (деталі)
• PLS-Bannieres 1.21 (bannieres.php) File Include (деталі)
• ArticleBeach Script <= 2.0 Remote File Inclusion Vulnerability (деталі)
• GestArt <= vbeta 1 Remote File Include Vulnerabilities (деталі)
• Dynamic variable evaluation vulnerability in SquirrelMail (деталі)
• Обхід аутентифікації в DeluxeBB (деталі)
• XSS vulnerability in Novell GroupWise WebAccess 6.5 and WebAccess 7 (деталі)

Раніше я згадував, що XSS набирає обертів. Тоді виникла цікава ситуація: секюріті компанії F5 та Acunetix знайшли XSS уразливості на сайті один одного (кожна знайшла діри на сайті свого конкурента). І після цього обидві компанії почали заперечувати наявність уразливостей на їх сайтах. Бо не могли сказати ні собі ні всьому світу, що на їх сайтах були секюріті уразливості - на сайтах компаній, які займаються безпекою. Після чого секюріті спільнота знайшла чимало дір на сайтах цих компаній - що визвало додаткову бурю емоцій. Компаніям намагалися пояснити те, що не варто відрикатися від дір чи приховувати їх, треба діри виправляти.

Тоді обидві компанії пофіксили всі знайдені діри, по їх словам (це вони так думали). І на деякий час розслабилися, зокрема Acunetix. І з тоді вже весь гомін припинився, вже всі позабули про той випадок. Поки я не дістався (в жовтні) до сайта відомої секюріті компанії , щоб знайти масу різних уразливостей, про що зараз вам і повідомляю. Це свіжий погляд на безпеку сайтів секюріті компаній (про подібні випадки я неодноразово згадував в записах Безпека сайтів про безпеку та Безпека сайтів про безпеку 2).

У жовтні, 03.10.2006, я знайшов численні уразливості на http://acunetix.com - сайті відомої секюріті компанії Acunetix (зокрема на сайті http://test.acunetix.com - призначеному для тестування їх власного сканера безпеки Acunetix WVS). Уразливостей різних чимало: Cross-Site Scripting, Full path disclosure, SQL Injection, File Inclusion, Directory Traversal, Script Source Disclosure та Information Leakage (зокрема, уразливості дозволяють дістатися до довільних файлів на сервері). Про що найближчим часом сповіщу адміністрацію компанїї.

Детальна інформація про уразливості з’явиться пізніше.

07.11.2006

У вересні, 15.09.2006, я знайшов декілька Cross-Site Scripting уразливостей на http://www.securit.ru - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

Секюріті компаніям варто слідкувати за безпекою власних сайтів.

11.01.2007

XSS:

• alert(document.cookie)

І ще 5 інших уразливостей в цьому самому скрипті. Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• ProgSys verion 0.151 XSS vulnerability (деталі)
• Application orders Linux in WebAPP v0.9.9.2.1 (деталі)
• Multiple HTTP response splitting vulnerabilities in SHOP-SCRIPT (деталі)
• PHP Nuke <= 7.9 SQL Injection and Bypass SQL Injection Protection vulnerabilities (деталі)
• AROUNDMe 0.6.9 remonte file inclusion (деталі)
• WHM 10.8.0 cPanel 10.9.0 R50 CentOS 4.4 i686 WHM X v3.1.0 Xss Vulnerability (деталі)
• XSS in Zwahlen Online Shop (деталі)
• Multiple XSS vulnerabilities in Archangel Management Archangel Weblog 0.90.02 (деталі)
• Cross-site scripting vulnerability in mojoscripts.com mojoGallery (деталі)
• PHP-інклюдинг в Article System (деталі)

13.11.2006

У вересні, 18.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.books.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

09.01.2007

XSS:

• alert(document.cookie)

Уразливість вже виправлена. Бажано лише було мені повідомити про це.

В даній добірці уразливості в веб додатках:

• Mambo component remote inclusion vulneribility (деталі)
• com_videodb Mambo Componenet <= 0.3en Remote Include Vulnerability (деталі)
• Another Mambo module remote inclusion vulneribility (деталі)
• PHP Generator of Object SQL Database (path) Remote File Include Vulnerability (деталі)
• PacPoll <= 4.0 Multiple Vulnerabilities (деталі)
• CruiseWorks Directory Traversal and Buffer Overflow Vulnerabilities (деталі)
• WikiNi Multiple Cross Site Scripting Vulnerabilities (деталі)
• Multiple cross-site scripting vulnerabilities in CivicSpace 0.8.5 (деталі)
• PHP-інклюдинг в SAPID CMS (деталі)
• PHP-інклюдинг в phpFaber CMS (деталі)

Продовжу тему уразливостей на сайтах спецслужб (в даному випадку спецслужб США). Як раз перед Різдвом пропоную вашій увазі уразливість на сайті ЦРУ .

До раніше згаданих дір на сайтах ФБР (FBI) і АНБ (NSA), додам Cross-Site Scripting уразливість на сайті ЦРУ (CIA) - сайті Центрального Развідувального Управління США (Central Intelligence Agency) www.cia.gov, і зокрема на сайті його інформаційного відділу www.foia.cia.gov.

XSS:

• alert(document.cookie)
• alert(’XSS’)
• цікавий

Уразливість знаходиться в pdf-файлі, і вона являє собою універсальну XSS в PDF уразливість (про даний тип XSS я буду окремо розповідати).

Повідомляти адмінам ЦРУ я не стану - враховуючи що адміни сайтів спецслужб США не реагують на мої повідомлення і не виправляють уразливості най своїх сайтах. Нехай самі слідкують за власним сайтом і проводять секюріті аудити (а також слідкують за інформацією на моєму сайті). Бо дана уразливість доволі небезпечна, і чимало користувачів сайта можуть від неї постраждати (це відноситься як до сайту ЦРУ, так і до усіх інших сайтів, вразливих до цієї уразливості - ще додатково розповім про даний тип XSS атак).

16.10.2006

До раніше згадуваних уразливостей на meta.ua (Уразливості на meta.ua та Уразливість на lib.meta.ua), додам про нові уразливості на проектах пошукової системи МЕТА. Зокрема на проектах http://rabota.meta.ua та http://zakon.meta.ua.

Деякий час тому, 08.10.2006, після дослідження сайту про пошук роботи (Уразливість на www.prorobotu.net.ua), які періодично попадають в моє поле зору, я зайшов на ще один подібний сайт, на цей раз на Меті, і знайшов декілька Cross-Site Scripting уразливостей на rabota.meta.ua. А 12.10.2006, досліджуючи Безпеку сайту Верховної Ради України, знайшов уразливість на zakon.meta.ua. Про що найближчим часом сповіщу адміністрацію Мети.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.12.2006

XSS:

zakon.meta.ua

• alert(document.cookie)

Уразливість вже виправлена.

06.01.2007

XSS:

rabota.meta.ua

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

На жаль Мета виправляє помилки вібірково - частину виправляє, частину ні (при тому, що нові діри, про які писав нещодавно, вони вже виправили і повідомили мені про це, а от деякі зі старих дір досі так і не виправили).

В даній добірці уразливості в веб додатках:

• YapBB <= 1.2 Beta2 (yapbb_session.php) Remote File Include Exploit (деталі)
• PHP-Post <= 1.01 (template) Remote Code Execution Exploit (деталі)
• PH Pexplorer <= 0.24 (Cookie/language.php) Remote Code Execution Exploit (деталі)
• JaxUltraBB <= 2.0 (delete.php) Defaced Exploit (деталі)
• trawler <= 1.8.1 Remote File Inclusion (деталі)
• speedberg <= 1.2beta1 Remote File Inclusion (деталі)
• Net_DNS: Remote File Inclusion by ToXiC CreW (деталі)
• SQL-ін’єкція в XennoBB (деталі)
• Multiple XSS vulnerabilities in Archangel Management Archangel Weblog 0.90.02 (деталі)
• Cross-site scripting (XSS) vulnerability in Webligo BlogHoster 2.2 (деталі)