Websecurity - Веб безпека

21.10.2006

В минулому місяці, 04.09.2006, я знайшов декілька Cross-Site Scripting уразливостей на популярному проекті http://bin.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.11.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Уразливості досі не виправлені.

У вересні, 16.09.2006, я знайшов чимало Cross-Site Scripting уразливостей на http://www.imena.ua - веб сайті мого домен провайдера. Про що найближчим часом сповіщу адміністрацію сайту.

Детальна інформація про уразливості з’явиться пізніше.

Детальна інформація.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені.

В даній добірці уразливості в веб додатках:

• phpBB XS <= 0.58 (phpbb_root_path) Remote File Include Vulnerability(2) (деталі)
• Yblog => Cross Site Scripting (деталі)
• OlateDownload 3.4.0 Multiple Vulnerabilities (деталі)
• digishop v 4.0.0 Xss Vuln. (деталі)
• Dayfox Blog v2.0 Remote file include (деталі)
• Pebble 2.0.0 RC[1,2] XSS vulnerability (деталі)
• Kerio Multiple insufficient argument validation of hooked SSDT function Vulnerability (деталі)
• Yener Haber Script v2.0 SQL injection (деталі)
• Multiple PHP remote file inclusion vulnerabilities in UHP (User Home Pages) 0.5 (деталі)
• SQL injection vulnerability in XMB (aka extreme message board) 1.9.6 (деталі)

18.10.2006

В минулому місяці, 03.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://bbn.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

10.11.2006

XSS:

• alert(document.cookie)

Уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• phpSecurePages <= 0.28b (secure.php) Remote File Include Vulnerability (деталі)
• phpMyWebmin <= 1.0 (target) Remote File Include Vulnerabilities (деталі)
• VAMP Webmail <= 2.0beta1 (yesno.phtml) Remote Include Vulnerability (деталі)
• Forum82 <= 2.5.2b (repertorylevel) Multiple File Include Vulnerabilities (деталі)
• JAF CMS <= 4.0 RC1 Remote File Include Exploit (деталі)

В даній добірці уразливості в веб додатках:

• com_ugbannerspos Remote File Include Vulnerabilities (деталі)
• Forum82 <= v2.5.2b (repertorylevel) Multiple R.F.I. Vulnerabilities (деталі)
• Mercury SiteScope 8.2 (8.1.2.0) Cross Site Scripting (XSS) Vulnerability (деталі)
• EasyBannerFree (functions.php) Remote File Include Exploit (деталі)
• WWWthreads “Cat” Cross-Site Scripting Vulnerabilities (деталі)
• DeluxeBB “templatefolder” File Inclusion Vulnerability (деталі)
• Google Mini Search Appliance Path Disclosure Weakness (деталі)
• phpMyAdmin Multiple CSRF Vulnerabilities (деталі)
• PHP remote file inclusion vulnerability in PHP Layers Menu 2.3.5 (деталі)
• NX5Linkx Multiple Vulnerabilities (деталі)

В серпні, 08.08.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://begun.ru. Про що вже попередньо сповістив адміністрацію проекту (ще в серпні).

XSS:

• alert(document.cookie)

І вже адміни Бєгуна виправили дану уразливість.

Я вже писав про попередню уразливість на begun.ru. З приводу Бєгуна, я лише хотів зауважити (ще з серпня), про некоректну поведінку Бєгуна і його адмінів.

Крім того, що вони не відповіли на мої листи - це поширене явище, і таких випадків в моїй практиці багато. Не це головне. Головне що вони прореагували і виправили уразливості, і головне як це вони зробили.

Бєгун в наглую, мало того що він допускає уразливості на своєму сайту і не слідкує за його безпекою (не проводить аудит), так ще й виправляє уразливості не дочекавшись моїх попереджень (і не відповідаючи на них). Адміні явно аналізують логи (або сервера, або ті, що веде система сайта). Причому роблять це тривалий проміжок часу, тобто вони реагують з великим запіздненням, і зловмисник може провести свої атаки.

І базуючись на цьому, вони знаходять в логах мої запити до системи з метою її аудиту (чим їм самим було лінь займатися), вони через деякий час, поки я відклав, щоб написити їм повідомлення, виправляють уразливість - мовляв це ми самі знайши, і ми тут самі розумні. Навіть не подякувавши, неначебто ніхто і не шукав на їх сайті уразливості (і не писав їм повідомлення).

Поведінка цієї компанії не викликає позитивних емоцій (звісно наступні уразливості нехай самі шукають - немає чого задарма експлуатувати інших). Якщо з відвідувачами своїх сайтів (і секюріті консультантами) вони так нахабно чинять, то ще невідомо як вони поводяться зі своїми клієнтами. Всім клієнтами Бєгуна варто бути обачними.

13.10.2006

В минулому місяці, 02.09.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.mignews.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

08.11.2006

XSS:

• alert(document.cookie)

Уразливість вже виправлена. Адмінам www.mignews.com варто лише було мені повідомити про це.

Поки адміни виправили одну уразливість, на них чекає ще одна (яку я знайшов щойно).

В даній добірці уразливості в веб додатках:

• ConPresso CMS - Multiple Cross Site Scripting and SQL Injection Issues (деталі)
• Joomla gsg Component <= 1.0.4 Remote File Include Vulnerability (деталі)
• PHProjekt (Remote) Include Vulnerabilities (деталі)
• SAP Internet Transaction Server XSS vulnerability (деталі)
• Multitple XSS Vulnerabilities in Red Mombin 0.7 (деталі)
• Multiple XSS Vulnerabilities in Zen Cart 1.3.5 (деталі)
• phpBB XS 2 spain version (phpbb_root_path) Remote File Inclusion (деталі)
• MkPortal UrloBox Increment Zize Desfiguration (деталі)
• PHP-інклюдинг в Knusperleicht FileManager (деталі)
• Численні уразливості в Jetbox CMS (деталі)

11.10.2006

В минулому місяці, 02.09.2006, я знайшов Cross-Site Scripting уразливості на популярному секюріті проекті http://www.cybersecurity.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

06.11.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)

Уразливості вже виправлені. Лише адмінам cybersecurity.ru варто було мені повідомити про це (нерідко подібні випадки мають місце, коли власники сайтів взагалі не відповідають на мої листи).