Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Image Resizer, WP Realty та WooCommerce. Для котрих з’явилися експлоіти. Image Resizer - це плагін для масштабування зображень, WP Realty - це плагін, WooCommerce - це е-комерс плагін для додання кошика покупця.

• WordPress Image Resizer Cross Site Scripting (деталі)
• WordPress WP Realty Blind SQL Injection (деталі)
• WordPress WooCommerce 2.0.17 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжую проект День багів в WordPress 3. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Зараз я оприлюдню URL Redirector Abuse та Cross-Site Scripting уразливості в WordPress.

Які я знайшов 26.04.2012, одразу як оприлюднив попередні Redirector та XSS уразливості в WP. Тоді я знайшов багато подібних уразливостей - це лише декілька Redirector та XSS дірок в WP.

Redirector (URL Redirector Abuse) (WASC-38):

http://site/wp-admin/edit-tags.php?action=delete&_wp_http_referer=http://websecurity.com.ua/?edit-tags.php

XSS (WASC-08):

http://site/wp-admin/edit-tags.php?action=delete&_wp_http_referer=data:text/html;edit-tags.php;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі WordPress 3.6 та попередні версії.

Redirector (URL Redirector Abuse) (WASC-38):

Можливий лише Redirector, але не XSS (в зв’язку з фільтрацією важливих символів). Для атаки потрібно знати значення _wpnonce.

http://site/wp-admin/edit-tags.php?action=add-tag&_wpnonce=096ea8dbbd&_wp_original_http_referer=http://websecurity.com.ua/?edit-tags.php

Уразливі WordPress 3.0 - 3.6.

http://site/wp-admin/edit-tags.php?action=bulk-delete&_wpnonce=ebee6d0330&_wp_http_referer=http://websecurity.com.ua/?edit-tags.php
http://site/wp-admin/media.php?action=editattachment&_wpnonce=2fa131c992&_wp_original_http_referer=http://websecurity.com.ua/?upload.php

Уразливі WordPress 3.6 та попередні версії.

Продовжую проект День багів в WordPress 3. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Зараз я оприлюдню Cross-Site Request Forgery, Denial of Service та Information Leakage уразливості в WordPress, які я знайшов 06.08.2007 (IL) і 31.03.2012 (CSRF і DoS).

Cross-Site Request Forgery (WASC-09) / Denial of Service (WASC-10):

В функціоналі retrospam немає захисту від CSRF.

http://site/wp-admin/options-discussion.php?action=retrospam

Запит запускає перевірку коментарів по стоп-словам, що створює навантаження на сервер. Чим більше слів у списку (а через XSS уразливість їх туди можна додати будь-яку кількість) і чим більше коментарів на сайті, тим більше навантаження.

Cross-Site Request Forgery (WASC-09):

http://site/wp-admin/options-discussion.php?action=retrospam&move=true&ids=1

Запит переносить коментарі, включаючи відмодеровані, до списку модерації. Потрібно лише вказати id коментарів.

Уразливі WordPress 2.0.11 та попередні версії (де був даний функціонал).

Information Leakage (WASC-13):

При звернені до скрипта options.php можна отримати всі важливі дані з БД. Як при доступі в адмінку, так і можна отримати зміст сторінки через XSS атаку. Зокрема різні ключі, солі, логіни і паролі, такі як auth_key, auth_salt, logged_in_key, logged_in_salt, nonce_key, nonce_salt, mailserver_login, mailserver_pass (кількість параметрів залежить від версії WP). Про витік логіну і паролю до електронної пошти в іншому розділі адмінки я вже писав раніше (це друга сторінка, де має місце витік цих даних).

http://site/wp-admin/options.php

Уразливі WordPress 3.7.1 та попередні версії (та в WP 3.8, що вийшов у грудні).

Сьогодні, в День багів в WordPress 3, я оприлюдню багато цікавих уразливостей в WP. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Першими я оприлюдню Information Leakage та Backdoor уразливості в WordPress, що відомі мені ще з червня 2006, коли тільки почав користуватися WP. І які все ще актуальні для всіх версій движка.

Information Leakage (WASC-13):

В БД зберігаються логін і пароль від емайла у відкритій формі в Writing Settings (http://site/wp-admin/options-writing.php), якщо використовується цей функціонал. Тому отримавши дані з БД через SQL Injection чи Information Leakage уразливість, чи отримавши зміст цієї сторінки через XSS, чи отримавши доступ в адмінку через будь-яку уразливість, можна отримати логін і пароль від емайла.

Що дозволить захопити доступ як до цього сайта (через функцію зміни пароля), коли знову знадобиться отримати доступ до сайта, так і до інших сайтів, де є функція відновлення/зміни пароля, що надішлють листи на цей емайл. Бо користувач може використати свій основний емайл (що мені доводилося зустрічати в Інтернеті).

Backdoor:

Цей функціонал також може використовуватися як бекдор. Коли в опціях Writing Settings задається емайл зловмисника, звідки будуть розміщуватися повідомлення на сайт. З XSS кодом, з black SEO лінками, з кодом malware, тощо.

Уразливі WordPress 3.7.1 та попередні версії (та в WP 3.8, що вийшов у грудні).

Окрім виправлення декількох уразливостей у версії WordPress 3.6.1, про які згадали у анонсі, розробники ще виправили три уразливості. Але про них розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

В цьому місяці я дослідив зміни в версії 3.6.1 движка і виявив три Full path disclosure уразливості. Про які не згадали ні в описі релізу WP 3.6.1, ні в Codex (при тому, що вони іноді згадують про FPD). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про FPD уразливості в WordPress.

Full path disclosure (WASC-13):

В функції get_allowed_mime_types().
В функції set_url_scheme().
В функції comment_form().

Уразливі WordPress 3.6 та попередні версії.

В даній добірці уразливості в веб додатках:

• Sitecom WLM-3500 backdoor accounts (деталі)
• Moodle 2.5.0-1 (badges/external.php) PHP Object Injection Vulnerability (деталі)
• Multiple vulnerabilities in MediaWiki (деталі)
• ExpressionEngine 2.6 Persistent XSS (деталі)
• SQL Injection in vtiger CRM (деталі)

14.08.2013

У травні, 22.05.2013, я знайшов Content Spoofing та Cross-Site Scripting уразливості на http://www.bank.gov.ua - сайті Національного банку України. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на www.bank.gov.ua. Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.blog.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.11.2013

XSS (через Flash Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&skin=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Flash Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&skin=http://site/1.swf

Content Spoofing (Content Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv
http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site/1.flv&pic=http://site/1.jpg

Content Spoofing (HTML Injection):

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site&comment=test%3Cimg%20src=%27http://site/1.jpg%27%3E

XSS:

http://www.bank.gov.ua/js/uflvplayer_500x375.swf?way=http://site&comment=+%3Cimg%20src=%27xss.swf%27%3E

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені. Також можлива Strictly social XSS атака.

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cart66, Finalist та Dexs PM System. Для котрих з’явилися експлоіти. Cart66 - це е-комерс плагін для додання кошика покупця, Finalist - це плагін, Dexs PM System - це плагін.

• WordPress Cart66 1.5.1.14 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress Finalist Cross Site Scripting (деталі)
• WordPress Dexs PM System Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in D-Link devices (деталі)
• Multiple Vulnerabilities in Gnew (деталі)
• phpbb3 security update (деталі)
• Cross-Site Scripting (XSS) in WikkaWiki (деталі)
• OWASP ESAPI Security Advisory: MAC Bypass in ESAPI Symmetric Encryption (деталі)

В даній добірці експлоіти в веб додатках:

• FortiAnalyzer 5.0.4 - CSRF Vulnerability (деталі)
• Pirelli Discus DRG A125g - Remote Change WiFi Password Vulnerability (деталі)
• ProcessMaker Open Source Authenticated PHP Code Execution (деталі)
• ISPConfig Authenticated Arbitrary PHP Code Execution Vulnerability (деталі)
• Zabbix Authenticated Remote Command Execution Vulnerability (деталі)