Websecurity - Веб безпека

Сьогодні я виявив Cross-Site Scripting та Insufficient Anti-automation уразливості в плагіні Wordfence Security. Це секюріті плагін для WordPress. Дані уразливості я виявив на security-testlab.com. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Floating Tweets.

XSS:

Wordfence Security XSS.html

Insufficient Anti-automation:

Wordfence Security IAA.html

Немає захисту (капчі) від автоматизованого підбору емайла адміна. А якщо знати емайл адміна, то таким чином можна буде автоматизовано спамити йому листами з сайта.

Уразливі Wordfence Security 3.3.5 та попередні версії.

P.S.

Після мого повідомлення, розробник виправив дані уразливості в версії 3.3.7. Але при цьому IAA дірка була виправлена неякісно.

06.06.2012

Сьогодні я знайшов Brute Force та Insufficient Anti-automation уразливості (не кажучи вже про всі інші дірки в WordPress) на http://security-testlab.com - сайті секюріті компанії Security-TestLab. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

18.10.2012

Сайт на WordPress, тому в ньому наявні всі дірки, що є в цьому движку (а існує багато дірок, про які я писав, що багато років наявні в ньому і не виправляються розробника WP). На сайті використовується стара версія WordPress 3.4.1, тому в ньому є всі ті дірки, що були виправлені в WordPress 3.4.2.

Brute Force:

В WP э п’ять BF дірок, що мають місце на цьому сайті. Як на http://security-testlab.com/wp-login.php, так й інші. Як раз на wp-login.php вони вже виправили BF уразливість.

Insufficient Anti-automation:

http://security-testlab.com/kontakty/

В контактній формі немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені, окрім однієї BF (але блокування відбувається на дуже короткий термін). При цьому встановивши Wordfence плагін для захисту від BF в формі логіна, адміни сайта додали ще дві уразливості - XSS й IAA в самому плагіні. Про які я згодом напишу.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ABC-Test, Archin та Token Manager. Для котрих з’явилися експлоіти. ABC-Test - це плагін для проведення тестування, Archin - це комерційна (преміум) тема движка, Token Manager - це плагін для створення компонентів під час розробки для даної CMS.

• WordPress ABC-Test 0.1 Cross Site Scripting (деталі)
• WordPress Archin Cross Site Scripting (деталі)
• Wordpress Plugin Token Manager Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Certain HP Photosmart Printers, Remote Denial of Service (DoS) (деталі)
• Joomla 2.5.6 Multiple Cross-site scripting vulnerabilities (деталі)
• gajim security update (деталі)
• Atlassian Confluence - Multiple Cross-Site Request Forgery (CSRF) Vulnerabilities (деталі)
• HP DataDirect OpenAccess oaagent.exe GIOP Remote Code Execution Vulnerability (деталі)
• XSS in OSSEC wui 0.3 (деталі)
• HP DataDirect OpenAccess GIOP Parsing Remote Code Execution Vulnerability (деталі)
• Microcart 1.0 Checkout Cross-Site Scripting Security Vulnerability (деталі)
• HP DataDirect OpenAccess GIOP Opcode 0×0E Remote Code Execution Vulnerability (деталі)
• Microcart 1.0 _Admin Cross-Site Scripting Security Vulnerability (деталі)

13.07.2012

У липні я знайшов численні Cross-Site Scripting уразливості в Megapolis.Portal Manager. Це комерційна CMS від компанії Cофтлайн. Дірки я виявив на сайтах www.kmu.gov.ua та portal.rada.gov.ua. Про що найближчим часом повідомлю розробникам.

Окрім сайтів Кабміну і Парламенту інші сайти на даному движку, зокрема українські державні сайти, також можуть бути уразливі. Раніше я вже писав про уразливість в Megapolis.Portal Manager (до якої були вразливі десятки сайтів в Україні).

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

06.10.2012

XSS:

http://site/control/news?date=04.07.2012'%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/news?cat_id=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left?cat_id=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left/news_left?cat_id=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left?from=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left/news_left?from=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left?to=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left/news_left?to=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дані уразливості досі не виправлені. Розробник Megapolis.Portal Manager відмовився їх виправляти.

В даній добірці уразливості в веб додатках:

• Tftpd32 DNS Server Denial Of Service Vulnerability (деталі)
• Cross-Site Scripting (XSS) in Kayako Fusion (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)
• Сross-Site Request Forgery (CSRF) in TestLink (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)
• moin security update (деталі)
• Vulnerabilities in OpenSSL (деталі)
• THE STUDIO (prod.php?id) Remote SQL injection Vulnerability (деталі)
• openssl security update (деталі)
• zabbix security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Add Multiple Users, Sexy Add Template та Download Monitor. Для котрих з’явилися експлоіти. Add Multiple Users - це плагін для додання багатьох користувачів, Sexy Add Template - це плагін для розширення тем движка, Download Monitor - це плагін для ведення статистики скачувань файлів.

• WordPress Add Multiple Users Cross Site Request Forgery (деталі)
• WordPress Sexy Add Template CSRF Shell Upload (деталі)
• Wordpress Download Monitor - Download Page Cross-Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

29.12.2011

У жовтні, 20.10.2011, я знайшов Insufficient Anti-automation та Denial of Service уразливості на http://incom.ua - сайті секюріті компанії Інком. Дані уразливості є також на інших сайтах Інкома (на всіх піддоменах incom.ua, де використовується Джумла). Про що найближчим часом детально сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на it-consulting.incom.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.10.2012

Insufficient Anti-automation:

http://incom.ua/images/CaptchaSecurityImages.php?width=150&height=100&characters=2

DoS:

http://incom.ua/images/CaptchaSecurityImages.php?width=1000&height=9000

Вказавши великі значення width і height можна створити велике навантаження на сервер.

Дані уразливості досі не виправлені. Дірки в CaptchaSecurityImages - першу з них я оприлюднив ще в жовтні 2008, а другу оприлюднив в березні 2010. Але ні з часу мого оприлюднення дірок в цьому веб додатку та великій кількості веб додатків, що його використовують, ні після мого повідомлення адмінам Інкому, вони так і не виправили ці та багато інших уразливостей (на головному сайті та на всіх інших своїх сайтах).

В даній добірці уразливості в веб додатках:

• Squid URL Filtering Bypass (деталі)
• ocPoral CMS 8.x | Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• McAfee Web Gateway URL Filtering Bypass (деталі)
• ocPoral CMS 8.x | Session Hijacking Vulnerability (деталі)
• Vulnerabilities in expat (деталі)
• Admidio 2.3.5 Multiple security vulnerabilities (деталі)
• Cyberoam advisory (деталі)
• Group-Office Calendar SQL Injection (деталі)
• Avaya IP Office Customer Call Reporter ImageUpload Remote Code Execution Vulnerability (деталі)
• eFront Educational v3.6.11 - Multiple Web Vulnerabilities (деталі)

У вересні була виявлена та оприлюднена Cross-Site Request Forgery уразливість в WordPress. Яка стосується останньої версії WP. Вона була знайдена Akastep.

Раніше я вже писав про XSS, Redirector та CSRF уразливості в WordPress.

CSRF:

Дана уразливість в /wp-admin/index.php дозволяє відправити міжсайтовий запит залогіненому адміну та змінити RSS лінку на дошці оголошень.

• WordPress 3.4.2 Cross Site Request Forgery (деталі)

Уразливі WordPress 3.4.2 та попередні версії.