Websecurity - Веб безпека

18.07.2012

У липні, 02.07.2012, я дослідив SQL Injection та Cross-Site Scripting уразливості на сайті http://www.asv.gov.ua. Про які мені повідомив AmplenuS, а коли я ці дві дірки перевірив, то знайшов іще одну. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.11.2012

SQL Injection:

http://www.asv.gov.ua/content.php?lang=uk&page=gallery&theme=-1%20or%20version()%3E5

У липні в них була версія MySQL 5.1.63-log, зараз MySQL 5.1.66-log. СУБД оновити не забули, але дірки на сайті як не виправляли, так і не виправляють.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Social Discussions, Download Monitor та DM FileManager. Для котрих з’явилися експлоіти. Social Discussions - це плагін для інтеграції сайта з соціальними мережами, Download Monitor - це плагін для ведення статистики скачувань файлів, DM FileManager - це файловий менеджер.

• Multiple Vulnerabilities in Wordpress Social Discussions Plugin (деталі)
• Wordpress Download Monitor - Download Page Cross-Site Scripting (деталі)
• DM FileManager Remote File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP AssetManager, Remote Cross Site Scripting (XSS) and Unauthorized Data Modification (деталі)
• phptax 0.8 <= Remote Code Execution Vulnerability (деталі)
• XSS Vulnerabilities in phpFreeChat (деталі)
• Omnistar Mailer v7.2 - Multiple Web Vulnerabilities (деталі)
• DoS vulnerability in libxslt (деталі)
• Interspire Email Marketer v6.0.1 - Multiple Vulnerabilites (деталі)
• Omnistar Document Manager v8.0 - Multiple Vulnerabilities (деталі)
• vOlk Botnet Framework v4.0 - Multiple Web Vulnerabilities (деталі)
• Iomega StorCenter/EMC Lifeline Remote Access Vulnerability (деталі)
• FileBound - Privilege Escalation Vulnerability (деталі)

19.06.2012

У травні, 19.05.2012, я знайшов Information Leakage уразливість в веб сервері Apache. Про що найближчим часом повідомлю розробникам Apache httpd.

Раніше я вже писав про уразливість в Apache.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам додатку.

31.10.2012

Information Leakage:

В функціоналі Apache Server Status відбувається витік інформації - зокрема про запити до сервера (до всіх віртуальних хостів на ньому), при включеному ExtendedStatus. Про цей функціонал мені відомо ще з 2001 року, але лише в цьому році я дослідив його з точки зору безпеки.

http://site/server-status/

Також можуть використовуватися параметри notable, auto і refresh.

Цей функціонал знаходиться в модулі mod_status. По замовчуванню він відключений, але випадково чи навмисно (не розуміючи секюриті ризиків) він може бути включений та ще й без обмежень по IP для доступу до статусу. Папка /server-status/ - це шлях по замовчуванню і він може бути змінений в httpd.conf (але в основному використовується саме цей шлях).

Окрім Information Leakage також можлива DoS атака, якщо включена директива ExtendedStatus (доступна починаючи з Apache 1.3.2). Зазначу, що починаючи з версії 2.3.6 включення mod_status призводить до включення ExtendedStatus по замовчуванню. На можливість навантажити сервер при включеному ExtendedStatus звертають увагу і розробники в документації. Це при тому, що Server Status включений (і публічно доступний) на офіційному сервері Apache та ще й з розширеним статусом. Тобто самі вони не стали на це звертати увагу і проігнорували моє звернення про включений і публічно доступний Server Status у них на сервері та необхідність обмежити доступ до нього паролем (для виправлення IL уразливості в mod_status, а також захисту від DoS атак).

http://apache.org/server-status/

Уразливі Apache 1.1 - 2.4.3, що включають mod_status.

Лише в Гуглі (на запит intitle:”Apache Status”) можна знайти біля 5030 проіндексованих сайтів, частина з яких - це сторінки server-status (реальна кількість таких сайтів в Інтернеті значно більша).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Better WP Security, Slideshow та Archin. Для котрих з’явилися експлоіти. Better WP Security - це секюріті плагін для движка, Slideshow - це плагін для створення слайдшоу, Archin - це комерційна (преміум) тема движка.

• Better WP Security v3.4.3 Wordpress - Web Vulnerabilities (деталі)
• Multiple Vulnerabilities in Wordpress Slideshow Plugin (деталі)
• WordPress Archin Theme Unauthenticated Configuration Access (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP StorageWorks File Migration Agent RsaFTP.dll Remote Code Execution Vulnerability (деталі)
• Cross-Site Scripting (XSS) Vulnerabilities in Flogr (деталі)
• Multiple Vulnerabilities in TorrentTrader 2.08 (деталі)
• Atlassian Confluence Wiki XSS Vulnerability (деталі)
• HP StorageWorks File Migration Agent RsaCIFS.dll Remote Code Execution Vulnerability (деталі)
• Vbulletin (blog_plugin_useradmin) v4.1.12 Sql Injection Vulnerability (деталі)
• Axis VoIP Manager v2.1.5.7 - Multiple Web Vulnerabilities (деталі)
• NeoBill CMS v0.8 Alpha - Multiple Web Vulnerabilities (деталі)
• Microsoft Windows Unauthorized Digital Certificates (деталі)
• Switchvox Asterisk v5.1.2 - Multiple Web Vulnerabilities (деталі)

Сьогодні я виявив Cross-Site Scripting уразливість в CorePlayer. Це флеш відео плеєр, що використовується на vybory2012.gov.ua та webvybory2012.ru - сайтах онлайн трансляції виборів в Україні та Росії. Розробники цих сайтів використали один і той же самий дірявий флеш відео плеєр.

XSS:

http://site/core_player.swf?callback=alert(document.cookie)

Уразливі CorePlayer 4.0.6 та попередні версії. На сайті webvybory2012.ru використовується версія 1.3.2, а на сайті vybory2012.gov.ua - 4.0.6.

Подібно до уразливості на vybory2012.gov.ua, аналогічна уразливість є на сайті http://webvybory2012.ru. Сьогодні я знайшов Cross-Site Scripting уразливість на цьому сайті, де відбувалася онлайн-трансляція на цьогорічних виборах президента Росії.

XSS:

• alert(document.cookie)
• цікавий

На сайті використовується той же дірявий флеш відео плеєр - з тією самою XSS уразливістю (лише версія флешки на українському сайті більш новіша, але вона так само дірява).

Як видно з цієї флешки та уразливості в ній, за безпекою російського сайту для трансляції виборів так само погано слідкували. А також видно те, що наші урядовці не тільки ідею відео-трансляцій скопіювали у росіян, так ще й той же флеш відео плеєр використали з аналогічною діркою. Самі вони ні до чого не спромоглися додумалися, в тому числі до проведення аудиту безпеки веб сайта.

Сьогодні в Україні вибори до Парламенту. Я вже проголосував і всім українцям, хто ще не встиг, раджу це зробити.

А тим часом зверну вашу увагу на дірявість сайта http://vybory2012.gov.ua, де відбувається онлайн-трансляція виборів. Сьогодні, ще перед голосуванням, я знайшов Cross-Site Scripting уразливість на цьому сайті (а також інші уразливості, ця одна з найменш небезпечних).

XSS:

• alert(document.cookie)
• цікавий

По капчам на всіх зовнішніх сторінках сайта здається, що vybory2012.gov.ua засекюрений. Але це лише на перший погляд. Як видно з цієї та інших дірок на сайті, за його безпекою особливо не слідкували. При тому що на веб камери для голосування, сюди ж входить і створення веб сайта, уряд виділив майже 1 мільярд гривень (993,6 мільйонів). Але, враховуючи розкрадання коштів, на безпеку не вистачило (подібно до інших державних сайтів).

20.08.2012

У серпні, 12.08.2012, я виявив численні Content Spoofing та Cross-Site Scripting уразливості в Bitrix Site Manager. Які обходять WAF та захисні фільтри Bitrix. Уразливості були виявлені на www.1c-bitrix.ua та www.1c-bitrix.ru. Про що на минулому тижні вже повідомив розробникам системи.

Раніше я вже писав про уразливості в Bitrix.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2012

XSS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?playerready=alert(document.cookie)

Та інші Content Spoofing та Cross-Site Scripting уразливості в JW Player, що використовується в Bitrix (версія JW Player Pro).

CS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі Bitrix Site Manager 11.5 та попередні версії.

Розробник виправив уразливість в CMS шляхом видалення даного флеш файла.