Websecurity - Веб безпека

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні Exploit Scanner для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/exploit-scanner/exploit-scanner.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA різними версіями даного плагіна та методи їх обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі Exploit Scanner для WordPress 1.3.3 та попередні версії.

В даній добірці уразливості в веб додатках:

• Unauthenticated remote access to D-Link DCS cameras (деталі)
• [SQLi] vBilling for FreeSWITCH (деталі)
• Password Disclosure in D-Link IP Cameras (CVE-2012-4046) (деталі)
• Local file inclusion in RoundCube Webmail (деталі)
• Vulnerability in Python Keyring (деталі)
• Multiple Vulnerabilities in phpMyAdmin (деталі)
• SonicWall Email Security 7.4.1.x - Persistent Web Vulnerability (деталі)
• Joomla! <= 3.0.3 (remember.php) PHP Object Injection Vulnerability (деталі)
• Polycom HDX Video End Points Web Management Cross Site Scripting (XSS) vulnerability (деталі)
• Syslog Watcher Pro ‘Date’ Parameter Cross Site Scripting Vulnerability (деталі)

05.04.2013

У лютому, 20.02.2013, я знайшов Cross-Site Scripting, Content Spoofing та Information Leakage уразливості в aCMS. Про що вже повідомив розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

25.05.2013

Cross-Site Scripting (WASC-08):

Для ZeroClipboard10.swf можливі XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/assets/swf/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/assets/swf/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Content Spoofing (WASC-12):

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.flv
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?autoStart=false&startImage=http://site2/1.jpg
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.flv&autoStart=false&startImage=http://site2/1.jpg
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

Cross-Site Scripting (WASC-08):

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flv_player.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flv_player.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flv_player.swf (з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Information Leakage (WASC-13):

http://site/assets/1

На сторінці з 404 помилкою мають місце Source Code Disclosure, Full Path Disclosure і виведення списку файлів та іншої інформації.

Вразливі aCMS 1.0 та попередні версії.

В даній добірці уразливості в веб додатках:

• RSA NetWitness Informer Cross-Site Request Forgery and Click-jacking Vulnerabilities (деталі)
• Reflected XSS in phpMyAdmin 3.5.7 (деталі)
• security advisory: AirDroid 1.0.4 beta (деталі)
• Multiple vulnerabilities in Open-Xchange (деталі)
• FortiGate FortiDB 2kB 1kC & 400B - Cross Site Vulnerability (деталі)
• Multiple Vulnerabilities in KrisonAV CMS (деталі)
• FortiWeb 4kC,3kC,1kC & VA - Cross Site Vulnerabilities (деталі)
• Multiple vulnerabilities in Sosci Survey (деталі)
• HP OpenVMS LOGIN or ACMELOGIN, Remote or Local Denial of Service (DoS) (деталі)
• Matrix42 Service Desk XSS (деталі)

У травні, 16.05.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темі I Love It New для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії VideoJS та Audio Player. Раніше я писав про уразливості в VideoJS.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveitnew/videojs/videojs/video-js.swf?readyFunction=alert(document.cookie)
http://site/wp-content/themes/iloveitnew/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Full path disclosure (WASC-13):

FPD уразливості є в index.php та майже в усіх інших php-файлах (в папці та підпапках).

http://site/wp-content/themes/iloveitnew/

http://site/wp-content/themes/iloveitnew/videojs/video-js.php

http://site/wp-content/themes/iloveitnew/videojs/admin.php

Вразливі всі версії теми I Love It New для WordPress.

В даній добірці уразливості в веб додатках:

• Cisco AnyConnect VPN Client Verification Bypass Remote Code Execution Vulnerability (деталі)
• SQL Injection Vulnerability in Symphony (деталі)
• Cisco AnyConnect VPN Client Arbitrary Program Instantiation Remote Code Execution Vulnerability (деталі)
• PHP Code Injection in FUDforum (деталі)
• Multiple Vulnerabilities in Cisco AnyConnect Secure Mobility Client (деталі)
• Reflected Cross-Site-Scripting (XSS) vulnerability in e107 CMS v1.0.2 (деталі)
• TVMOBiLi Media Server Multiple Remote DoS Vulnerabilities (деталі)
• Vanilla Forums 2.0.18 / SQL-Injection / Insert arbitrary user & dump usertable (деталі)
• SonicWALL CDP 5040 v6.x - Multiple Web Vulnerabilities (деталі)
• Multiple Full Path Disclosure Vulnerabilities in TinyWebGallery <= v1.8.9 (деталі)

У вересні, 12.09.2012, я знайшов Denial of Service уразливість на сайті http://tryruby.org. Ця уразливість працює й досі. Про що найближчим часом сповіщу адміністрацію сайта.

TryRuby - це онлайновий інтерпретатор Ruby. Подібний до мого інтерпретатору MustLive Perl Pascal Programs Interpreter, що я розробив в 2006 році.

DoS:

http://tryruby.org/levels/1/challenges/0

“aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa” * 1000000

При відправленні даного коду в інтерпретатор (повторення рядка на 1 мільйон або більше разів), відбувається сильне навантаження сервера. Для атаки потрібно постійно слати подібний код через спеціальний PUT запит, щоб тримати сайт недоступним.

DoS відбувається через забивання доступної пам’яті сервера. Спочатку інтерпретатор відповідає “Something’s gone wrong”, а потім починає відповідати “java.lang.OutOfMemoryError: Java heap space” (з чого видно, що він зроблений на Java). Серверні обмеження JVM захищають від забивання усієї пам’яті сервера одним запитом, але пославши серію запитів можна повністю завантажити сервер.

03.04.2013

У лютому, 20.02.2013, я знайшов Arbitrary File Uploading уразливості в Moxiecode Image Manager (MCImageManager) для TinyMCE. Про що вже повідомив розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.05.2013

Arbitrary File Uploading (WASC-31):

http://site/path/tiny_mce/plugins/imagemanager/pages/im/index.html

Плагін MCImageManager для TinyMCE вразливий до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

Код виконається через завантаженні файла. Програма вразлива до двох методів виконання коду: через використання символа “;” (1.asp;.jpg) в імені файла (IIS), через подвійне розширення (1.php.jpg) (Apache).

Вразливі Moxiecode Image Manager 3.1.5 та попередні версії. В квітні розробник пообіцяв виправити дані уразливості в новій версії веб додатку.

02.04.2013

У лютому, 20.02.2013, я знайшов Arbitrary File Uploading уразливості в Moxiecode File Manager (MCFileManager) для TinyMCE. Про що вже повідомив розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

17.05.2013

Arbitrary File Uploading (WASC-31):

http://site/path/tiny_mce/plugins/filemanager/pages/fm/index.html

Плагін MCFileManager для TinyMCE вразливий до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

Код виконається через завантаженні файла. Програма вразлива до трьох методів виконання коду: через використання символа “;” (1.asp;.txt) в імені файла (IIS), через “1.asp” в імені папки (IIS), через подвійне розширення (1.php.txt) (Apache).

Вразливі Moxiecode File Manager 3.1.5 та попередні версії. В квітні розробник пообіцяв виправити дані уразливості в новій версії веб додатку.

В даній добірці уразливості в веб додатках:

• Nagios XI Network Monitor Blind SQL Injection (деталі)
• icinga security update (деталі)
• Nagios XI Network Monitor OS Command Injection (деталі)
• Path Traversal in AWS XMS (деталі)
• IBM System Director Remote System Level Exploit (CVE-2009-0880 extended zeroday) (деталі)
• MailOrderWorks v5.907 - Multiple Web Vulnerabilities (деталі)
• HP Integrated Lights-Out iLO3 and iLO4, Remote Disclosure of Information (деталі)
• Update Spoofing Vulnerability in mRemote 1.50 (деталі)
• MPC (Media Player Classic) WebServer Multiple Vulnerabilities (деталі)
• Update Spoofing Vulnerability in Royal TS 2.1.5 (деталі)