Websecurity - Веб безпека

22.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://energobank.com.ua - сайті банка ЕНЕРГОБАНК (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про kredobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в двох клієнт-банкінгах банка КРЕДОБАНК. Всього 109 уразливостей в системи IFOBS (всі ці уразливості наявні в кожній з двох інсталяцій системи).

https://ifobs1.energobank.com.ua/ifobsClient/
https://ifobs1.energobank.com.ua/ifobsClientEnergo/

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SolveMedia, OpenInviter та Spam Free. Для котрих з’явилися експлоіти. SolveMedia - це плагін, що являє собою онлайн капча-сервіс, OpenInviter - це плагін для запрошення користувачів через контакти в адресній книзі, Spam Free - це анти-спам плагін.

• WordPress SolveMedia 1.1.0 CSRF Vulnerability (деталі)
• WordPress OpenInviter Information Disclosure (деталі)
• WordPress Spam Free 1.9.2 Filter Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

20.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://kredobank.com.ua - сайті банка КРЕДОБАНК (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про forum.ua.

Детальна інформація про уразливості з’явиться пізніше.

15.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка КРЕДОБАНК. Всього 109 уразливостей в системи IFOBS.

https://ifobs.kredobank.com.ua/ifobsClient/

Дані уразливості досі не виправлені.

17.05.2012

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема Cross-Site Request Forgery, Cross-Site Scripting та Redirector. Це третя порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

15.02.2013

CVE: CVE-2012-4842, CVE-2012-4844.

Cross-Site Request Forgery (WASC-09):

Відсутність капчі в формі логіна (http://site/names.nsf) призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), нижченаведені XSS і Redirector атаки, Brute Force (що я описав в окремому записі) та інші автоматизовані атаки.

Cross-Site Scripting (WASC-08):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Domino XSS.html

Redirector (URL Redirector Abuse) (WASC-38):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Domino Redirector.html

Уразливі Lotus Domino 8.5.3 та попередні версії. Як повідомили мені з IBM наприкінці листопада, вони планують виправити уразливості (зокрема XSS і Redirector) в версії 9.0. Що повинна вийти 14.03.2013. Свій адвізорі по даним уразливостям IBM оприлюднила 30.11.2012.

До виходу нової версії всі користувачі вразливих версій IBM Lotus Domino вразливі до даних атак. При цьому представники IBM не запропонували жодних рішень цієї проблеми (Workaround чи Mitigation). Зате я запропоную обхідне рішення, яке можна використовувати до виходу версії 9.0 з виправленнями уразливостей. Воно полягає у відключенні html-форми логіна і використанні замість неї Basic Authentication.

14.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://forum.ua - сайті банка Форум (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на alfabank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка Форум. Всього 109 уразливостей в системи IFOBS.

https://ifobs.forum.ua/ifobsClient/

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Disclosure of Information (деталі)
• Kohana Framework v2.3.3 - Directory Traversal Vulnerability (деталі)
• HP SiteScope SOAP Security Issues, Remote Disclosure of Information, Remote Code Execution (деталі)
• DataLife Engine 9.7 (preview.php) PHP Code Injection Vulnerability (деталі)
• GTA UTM Firewall GB 6.0.3 - Multiple Web Vulnerabilities (деталі)
• XSS in Elgg 1.8.12, 1.7.16 (core module “Twitter widget”) (деталі)
• GTA UTM Firewall GB 6.0.3 - Multiple Web Vulnerabilities (деталі)
• rails security update (деталі)
• Hard-coded credentials and command-injection vulnerabilities on BigPond 3G21WB (деталі)
• nagios3 security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Developer Formatter, Advanced Custom Fields та Valums Uploader. Для котрих з’явилися експлоіти. Developer Formatter - це плагін для форматування тексту вихідних кодів, Advanced Custom Fields - це плагін для додання додаткових полів, Valums Uploader - це плагін для завантаження файлів.

• Wordpress Developer Formatter CSRF Vulnerability (деталі)
• WordPress Advanced Custom Fields Remote File Inclusion (деталі)
• WordPress Valums Uploader Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Рік тому, Trustwave’s SpiderLabs опублікували численні уразливості в WordPress (що вони виявили наприкінці 2011 року). Я дещо відклав публікацію цих уразливостей, тому роблю це лише зараз. Вирішив детальніше з ними розібратися, бо з опису вони виглядають такими, що важко експлуатуються. І після повідомлення розробникам WP (та подальшого оприлюднення уразливостей), вони відмовилися їх виправляти саме з цієї причини.

В WordPress були виявлені PHP Code Execution, Cross Site Scripting (persistent і reflected) та Brute Force (логінів і паролів MySQL) уразливості. Причому через останню уразливість можна проводити підбор логінів і паролів MySQL Server як на локальному хості, так і зовнішніх хостах.

Раніше я вже писав про XSS уразливість в swfupload в WordPress.

CE / XSS / BF:

Уразливості наявні в setup-config.php. Особливістю атак на них є невелике “вікно атаки” - ці уразливості використати лише коли не встановлений движок на сайті. Тобто коли файли WP були розміщені на сайті, але движок ще не встигли встановити (зазвичай це дуже невеликий проміжок часу, бо движок інсталюють оперативно, тому нападникам важко буде підібрати вдалий час для проведення атаки).

Також я вважаю, що іншими умовами для проведення цих атак може бути використання відповідних уразливостей в WordPress, про які я писав раніше. Коли видалити файл wp-config.php через Arbitrary File Deletion дірку в WP.

• Multiple Vulnerabilities in WordPress (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• DoS/Authorization Bypass in Samsung Kies Air (деталі)
• Cross-site Scripting in iTop (деталі)
• libunity-webapps vulnerability (деталі)
• DigiLIBE Management Console - Execution After Redirect (EAR) Vulnerability (деталі)
• Insecure default WPA2 passphrase in multiple Belkin wireless routers (деталі)
• movabletype-opensource security update (деталі)
• Microsoft Security Bulletin MS12-062 - Important Vulnerability in System Center Configuration Manager Could Allow Elevation of Privilege (2741528) (деталі)
• ganglia security update (деталі)
• Lynx vulnerabilities (деталі)
• nCircle PureCloud Vulnerability Scanner - Multiple Web Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cardoza, WordPress Uploader та Xerte Online. Для котрих з’явилися експлоіти. Cardoza - це плагін для голосування, WordPress Uploader - це плагін для завантаження файлів (це php-експлоіт для даного плагіна), Xerte Online - це плагін для електронного навчання.

• Multiple SQL injection vulnerabilities in Cardoza Wordpress poll plugin (деталі)
• WordPress Uploader 1.0.4 Shell Upload (деталі)
• WordPress Xerte Online 0.32 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.