Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ThisWay, Gallery Bank та Kernel. Для котрих з’явилися експлоіти. ThisWay - це тема движка, Gallery Bank - це плагін для створення галерей зображень, Kernel - це тема движка.

• WordPress ThisWay Shell Upload (деталі)
• WordPress Gallery Bank 2.0.19 Cross Site Scripting (деталі)
• WordPress Theme Kernel Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

18.06.2013

Сьогодні я знайшов Cross-Site Scripting уразливості на сайті http://www.ipay.ua. Про що найближчим часом сповіщу адміністрацію сайта.

iPay.ua - це електронна платіжна система, причому з PCI DSS сертифікатом, але дірява.

Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua. Дірки на сайтах ЕПС з PCI DSS сертифікатами мені доводилося знаходити не раз, зокрема на easypay.ua та www.payu.ua. А також в 2011 і 2012 роках я проводив аудити безпеки двох ЕПС (які були PCI DSS сертифіковані), в яких я виявив чимало уразливостей. Всі ці випадки демонструють якість PCI DSS аудитів, проведених на цих сайтах.

Детальна інформація про уразливості з’явиться пізніше.

30.01.2014

XSS:

• alert(document.cookie)
• цікавий

В старих браузерах, де можна використовувати одинарні лапки:

https://www.ipay.ua/ru/bills/popolnit-schet-life-cherez-internet/?a=';alert(document.cookie)//

Друга дірка виправлена, але перша дірка досі не виправлена. Також в цій EPS є багато інших уразливостей.

В даній добірці уразливості в веб додатках:

• Linksys EA - 2700, 3500, 4200, 4500 w/ Lighttpd 1.4.28 Unauthenticated Remote Administration Access (деталі)
• HTTP Response Splitting Vulnerability in WebCollab <= v3.30 (деталі)
• WebTester 5.x Multiple Vulnerabilities (деталі)
• Elite Graphix ElitCMS 1.01 & PRO - Multiple Web Vulnerabilities (деталі)
• Linksys EA2700, EA3500, E4200v2, EA4500 Unspecified unauthenticated remote access (деталі)

09.10.2013

У вересні, 17.09.2013, я виявив нові уразливості в плагіні Contact Form 7 для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про Code Execution в Contact Form 7 для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.01.2014

Code Execution (WASC-31):

Атака відбувається через аплоадер. Для виконання коду треба використати обхідні методи для IIS і Apache. Можна використати “;” в імені файла (1.asp;.txt) на IIS або подвійні розширення (1.php.txt) на Apache.

В контактній формі потрібно, щоб був тег аплоадера.

[file file-423]

Файли завантажуються в папку:

http://site/wp-content/uploads/wpcf7_uploads/

При створенні цієї папки створюється файл .htaccess (Deny from all).

Це можна обійти або при використанні інших веб серверів окрім Apache (де .htaccess ігнорується), або на Апачі можна використати уразливості в WP для видалення файлів, або через LFI уразливість включити файл з цієї папки.

Уразливі Contact Form 7 3.5.3 та попередні версії. В версії 3.5.3 розробник виправив попередню CE уразливість, але не ці дві. Тому що атаки можливі на більш ранніх версіях WordPress, а в останніх версіях код самого WP блокує атаки через “крапку з комою” та подвійні розширення, тому розробник не хоче реалізовувати захист в своєму плагіні й радить використовувати останні версії движка.

В даній добірці уразливості в веб додатках:

• RSA Authentication Agent Cross-Site Scripting (XSS) Vulnerability (деталі)
• Security Advisory for Bugzilla 4.4.1, 4.2.7 and 4.0.11 (деталі)
• Zikula CMS v1.3.5 - Multiple Web Vulnerabilities (деталі)
• MODx 2.2.10 Reflected Cross Site Scripting (деталі)
• telepathy-idle vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Curvo, WP-Checkout та Think Responsive. Для котрих з’явилися експлоіти. Curvo - це тема движка, WP-Checkout - це плагін для створення онлайн-магазину, Think Responsive - це тема движка.

• WordPress Curvo Shell Upload (деталі)
• WordPress WP-Checkout Cross Site Scripting / Shell Upload (деталі)
• WordPress Think Responsive 1.0 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Минулого року, 07.06.2013 і 07.07.2013, я виявив Brute Force, Insufficient Process Validation та Insufficient Session Expiration уразливості в LiqPAY для Android та iOS. Перевіряв в клієнті для Android, але в клієнті для iOS повинно бути те саме (аналогічно, як це є в мобільному Приват24 для різних ОС).

Brute Force (WASC-11):

OTP код всього 4 символи, що всього 10000 комбінацій. Це легко підбирається. Для атаки достатньо знати тільки логін жертви (мобільний телефон, що можна взяти просто навмання, наприклад, будь-який номер мобільного телефону в Україні), то можна легко отримати доступ до LiqPAY акаунту, без наявності мобільного телефону жертви (бо 4 символьний OTP код підбирається легше, ніж 8 символьний у веб версії LiqPAY).

На це ПриватБанк зауважив мені, що в мобільних додатках (Приват24, LiqPAY та інших) де використовуються 4-символьні OTP - у всіх них наявні такі Brute Force уразливості - цей код працює лише для трьох спроб. Тобто після трьох спроб код скидається і треба робити запит на новий код. Але тим не менш, можна довго довбати запитами, поки не вгадаєш 4 цифри з 3 спроб. Вірогідність цього достатньо велика для проведення успішних атак.

Insufficient Process Validation (WASC-40) / Insufficient Session Expiration (WASC-47):

Можна входити в LiqPAY акаунт без OTP. Тому що має місце прив’язка до пристрою, подібно до мобільного Приват24. Тобто дані про авторизацію зберігаються локально після першого входу в акаунт з введенням OTP и далі вхід в акаунт відбувається автоматично (при натисканні іконки LiqPAY клієнта).

При цьому сесія діє необмежений час (хоч рік) - на відміну від мобільного Приват24, де сесія діє обмежений час. Я навіть через пів року все ще міг входити в акаунт, бачити всю інформацію (про карту, частину її номера, суму на рахунку, історію операцій) без введення OTP.

Перевірено в LiqPay 2.0 для Android.

Дані уразливості досі не виправлені, бо ПБ не бачить в них ризику.

Після відправлення листа 07.07.2013 і отримання відмови від ПриватБанку, я зробив 19.07.2013 відео демонстрацію Insufficient Process Validation уразливості. Яке надав ПБ, вони заявили, що після перегляду відео будуть думати, але в результаті довго думали і жодних відповідей не надавали, лише “розробники працюють”. І після багатьох моїх нагадувань, в січні нарешті отримав від них офіційну відмову у виправленні цих уразливостей.

Тому 16.01.2014 я розмістив демонстраційне відео Vulnerability in LiqPAY.

В даній добірці уразливості в веб додатках:

• HP Managed Printing Administration (MPA), Remote Cross Site Scripting (XSS) (деталі)
• Symantec Workspace Streaming 7.5.0.493 SWS Streamlet Engine Invoker Servlets Remote Code Execution (деталі)
• ZAPms v1.42 CMS - Client Side Cross Site Scripting Web Vulnerability (деталі)
• DornCMS Application v1.4 - Multiple Web Vulnerabilities (деталі)
• HP LaserJet MFP Printers, HP Color LaserJet MFP Printers, Certain HP LaserJet Printers, Remote Unauthorized Access to Files (деталі)

Завтра чергове віче на Євромайдані в Києві. Перше після прийняття парламентом в четвер скандальних законів та підписання їх в п’ятницю президентом. Дане зібрання може бути визнане екстремістським і незаконним відповідно до нових законів, що значно звужують свободу слова і права людей в Україні.

Мої відео з Євромайдану можете подивися в моєму акаунті на YouTube. Останні повідомлення читайте в моєму Твіттері.

До речі, виявив на president.gov.ua Cross-Site Scripting та Content Spoofing уразливості. Стосовно державних сайтів в останнє я писав про уразливості на www.bank.gov.ua.

XSS:

• alert(document.cookie)
• alert(document.cookie)

Content Spoofing:

http://president.gov.ua/js/jw/player.swf?file=http://site/1.flv
http://president.gov.ua/js/jw/player.swf?config=http://site/1.xml
http://president.gov.ua/js/jw/player.swf?abouttext=Player&aboutlink=http://websecurity.com.ua

P.S.

Прибрав з сайту інформацію про Януковича в зв’язку зі вступом в дію нових законів.

І розмістив лінку на відео з Януковичем у Twitter. А пізніше, коли виявив, що на сайті президента додали блокуючі фільтри, то розмістив нову лінку в Facebook.

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в Lotus Notes Traveler, зокрема Cross-Site Request Forgery, Cross-Site Scripting та Redirector. Раніше я писав про BF, XSS, CSRF та Redirector уразливості в IBM Lotus Notes Traveler.

Про ці уразливості я повідомив розробникам системи в грудні 2012. Вони аналогічні CSRF, XSS та Redirector уразливостям в IBM Lotus Domino, тому що логін-форма базується на функціоналі Domino.

Cross-Site Request Forgery (WASC-09):

Відсутність капчі в формі логіна (http://site/servlet/traveler) призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), нижченаведені XSS і Redirector атаки, Brute Force (що я описав в окремому записі) та інші автоматизовані атаки.

Cross-Site Scripting (WASC-08):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Notes Traveler XSS.html

Redirector (URL Redirector Abuse) (WASC-38):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Notes Traveler Redirector.html

Уразливі IBM Lotus Notes Traveler 8.5.3 та попередні версії. Як повідомили мені з IBM в грудні, вони виправили уразливості (зокрема XSS і Redirector) в патчі для Domino 9.0, що вийшла 14.03.2013.

До оновлення на нову версію всі користувачі вразливих версій Lotus Notes Traveler вразливі до даних атак. Але я пропоную обхідне рішення, яке можна використати для попередніх версій програми. Воно полягає у відключенні html-форми логіна і використанні замість неї Basic Authentication.