Websecurity - Веб безпека

Минулого місяця компанія Netcraft повідомила про наявність XSS уразливості на сайті PayPal, що активно використовувалася проти користувачів платіжної системи. Однак, як виявилося, уразливість на сторінці пожертвування для тимчасово відсторонених користувачів, була виявлена ще 2 роки тому.

Кріс Марлоу намагався попередити PayPal про виявлену уразливість ще в червні 2004 року, але представник PayPal, з яким він спілкувався, не розумів що таке XSS уразливість. В зв’язку з тим, що політика компанії забороняє розкривати адреси електронної пошти співробітників, Кріс не зміг продемонструвати можливість експлуатації уразливості. У результаті Кріс розкрив подробиці уразливості на своєму веб сайті, однак PayPal ніяк не відреагував на цю публікацію.

Уразливість була виправлена лише минулого місяця після того, як компанія Netcraft повідомила про спроби обману користувачів PayPal за допомогою цієї уразливості. Однак, як стало відомо, дотепер існує декілька незакритих уразливостей міжсайтового скриптінга на сайті PayPal.

XSS:

paypal.com/cgi-bin/webscr?cmd=p/gen/–></script><script>alert(’websecurity.com.ua’)</script>

По матеріалам http://www.securitylab.ru.

P.S.

До речі, не тільки PayPal не звертає уваги на уразливості в себе на сайті. Як я писав, і про Cross-Site Scripting на Яндексі (який не пофіксений вже майже два місяці) та Cross-Site Scripting на Рамблері (4 XSS які я два дні тому знайшов і до сих пір їх не виправили).

22.07.2006

Знайшов сьогодні 4 XSS уразливості на Рамблері.

Про що вже сповістив адміністрацію Рамблера.

Прикладів XSS поки не приводжу, треба дати час адмінам на виправлення уразливостей. Пізніше я приведу конкретні приклади XSS на Рамблері.

24.07.2006

Вже дві доби пройшло з тих пір як я знайшов уразливості на сайті Рамблера, і повідомив про них адмінів, але жодної відповіді від них не отримав. І дані уразливості до сих пір доступні на Рамблері.

Як і планував привожу приклади XSS:

Скрипт: http://adstat.rambler.ru/wrds/ (Статистика по поисковым запросам)

1. alert(document.cookie)
2. alert(document.cookie)
3. alert(document.cookie)
4. alert(document.cookie)

Дані уразливості типу міжсайтовий скриптінг доступні доки їх не пофіксять адміни Рамблера

В даній добірці уразливості в веб додатках:

• SQL-ін’єкція в Professional Home Page Tools Guestbook (деталі)
• Міжсайтовий скриптінг (XSS) в hwdeGUEST (деталі)
• Міжсайтовий скриптінг в osDate (деталі)
• SQL-ін’єкція в Eskolar CMS (деталі)
• Завантаження довільних файлів в toendaCMS (деталі)
• Міжсайтовий скриптінг в WebScarab (деталі)

По матеріалам http://www.securitylab.ru.

В даній добірці уразливості в веб додатках:

• CMS Mundo SQL Injection Vulnerabilities (деталі)
• FLV Players Multiple Input Validation Vulnerabilities (деталі)
• Lazarus Guestbook Cross Site Scripting Vulnerabilities (деталі)
• TOPo v.2.2.178 Account Reset (деталі)
• SQuery <= 4.5(libpath) Remote File Inclusion Exploit (деталі)

По матеріалам http://www.security.nnov.ru.

В даній добірці уразливості в веб додатках:

• CzarNews “tpath” File Inclusion Vulnerability (деталі)
• SubberZ[Lite] - Remote File Include (деталі)
• perForms <= 1.0 ([mosConfig_absolute_path]) Remote File Inclusion (деталі)
• flatnuke <= 2.5.7 arbitrary php file upload (деталі)
• Flipper Poll <= 1.1.0 Remote File Inclusion Vulnerability (деталі)
• Orbitmatrix PHP Script v1.0 (деталі)
• Photocycle v1.0 - XSS (деталі)
• ScozNews Final-Php <=1.1 Remote File Inclusion Vulnerability (деталі)
• Multiple Mambo/Joomla Component Remote File Include Vulnerabilities (деталі)

По матеріалам http://www.security.nnov.ru.

Першою новиною буде XSS (Cross-Site Scripting) на images.yandex.ru.

Перша інформація про дану уразливість з’явилася ще на початку минулого місяця, але Яндекс до сих пір її не виправив.

XSS:

alert(document.cookie)