Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wp-TopBar, Notices Ticker та Sociable. Для котрих з’явилися експлоіти. Wp-TopBar - це плагін для створення панелей на сторінках сайта, Notices Ticker - це плагін для створення приміток, Sociable - це плагін для додання соціальних функцій на сайт.

• WordPress Wp-TopBar 4.02 CSRF / XSS (деталі)
• WordPress Notices CSRF / XSS (деталі)
• WordPress Sociable Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Symantec Message Filter Session Hijacking via session fixation (деталі)
• Total Shop UK eCommerce Generic Cross-Site Scripting (деталі)
• libraptor - XXE in RDF/XML File Interpretation (Multiple office products affected) (деталі)
• TCExam Edit SQL Injection (деталі)
• raptor security update (деталі)
• TCExam Edit Cross-Site Scripting (деталі)
• libspring-2.5-java security update (деталі)
• Group-Office Cleartext Credentials Stored in Cookies (деталі)
• Checkpoint Abra - Vulnerabilities (деталі)
• Cross-Site Scripting (XSS) in Jease (деталі)

19.05.2012

У травні, 12.05.2012, під час пентесту, я виявив багато уразливостей в IBM Lotus Notes Traveler, зокрема Brute Force, Cross-Site Scripting, Cross-Site Request Forgery та Redirector. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IBM Lotus Domino.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.09.2012

CVE: CVE-2012-4824, CVE-2012-4825.

Brute Force (WASC-11):

http://site/servlet/traveler

Cross-Site Scripting (WASC-08):

Спрацює в різних браузерах (у випадку Mozilla Firefox спрацює для версій до Firefox 3.0.9):

http://site/servlet/traveler?deviceType=700&redirectURL=javascript:alert(document.cookie)

Спрацює в усіх версіях Firefox, але без доступу до кукісів:

http://site/servlet/traveler?deviceType=700&redirectURL=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Cross-Site Scripting (WASC-08):

IBM Lotus Notes Traveler XSS-1.html

IBM Lotus Notes Traveler XSS-2.html

Cross-Site Request Forgery (WASC-09):

IBM Lotus Notes Traveler CSRF.html

Redirector (URL Redirector Abuse) (WASC-38):

http://site/servlet/traveler?deviceType=700&redirectURL=http://websecurity.com.ua

Уразливі Lotus Notes Traveler 8.5.3 та попередні версії. Як деякий час тому мені повідомили з IBM, вони виправили частину з даних уразливостей. XSS в ILNT.mobileconfig виправлені у версії Traveler 8.5.3.2 ще 29.02.2012, а XSS і Redirector в traveler виправлені у версії Traveler 8.5.3.3 Interim Fix 1 (випущеній 15.09.2012) та Traveler 8.5.3 Upgrade Pack 1 Interim Fix 1 (випущеній 14.09.2012).

Brute Force вони не планують виправляти (як я зрозумів, раз вони нічого не сказали про неї), а над CSRF вони все ще думають. Стосовно інших дірок в продуктах IBM, про які я повідомив їм, то вони ще працюють над їх виправленням.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Krea3AllMedias, Tierra’s Audio Playlist Manager та MF Gig Calendar. Для котрих з’явилися експлоіти. Krea3AllMedias - це плагін для роботи з медіа, Tierra’s Audio Playlist Manager - це плагін для управління аудіо плейлістами, MF Gig Calendar - це плагін для розміщення календаря.

• WordPress Krea3AllMedias SQL Injection (деталі)
• WordPress Tierra Audio Path Disclosure (деталі)
• WordPress MF Gig Calendar 0.9.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP OpenView Performance Agent coda.exe Opcode 0×8C Remote Code Execution Vulnerability (деталі)
• XSS Vulnerabilities in LabWiki (деталі)
• XSS and SQL Injection Vulnerabilities in Jara (деталі)
• SaltOS 3.1 Cross-Site Scripting vulnerability (деталі)
• HP OpenView Performance Agent coda.exe Opcode 0×34 Remote Code Execution Vulnerability (деталі)
• Ad Manager Pro v. 4 Remote FLI (деталі)
• Vulnerabilities in python-django (деталі)
• Elcom CMS - Community Manager Insecure File Upload Vulnerability (деталі)
• HP Operations Agent for AIX, HP-UX, Linux, Solaris and Windows, Remote Execution of Arbitrary Code (деталі)
• Magy cms v 2.0.1121 BETA Blind Sql injection (деталі)

У січні, 07.01.2012, я знайшов нові уразливості на сайті http://www.cisco.com. Це Content Spoofing та Cross-Site Scripting уразливості і вони мають місце в JW Player та в JW Player Pro, про які я писав раніше. Мало того, що Cisco роками тримає ці дірки в себе на сайті та ще й пройшло чимало часу після того, як я оприлюднив дірки в JW Player (а пізніше й в JW Player Pro), але вони до сих пір не виправили їх в себе на сайті.

Раніше я вже писав про уразливості на www.cisco.com.

Content Spoofing:

http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?config=http://site/1.xml
http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?file=http://site/1.flv&image=http://site/1.jpg
http://www.cisco.com/assets/swa/flash/mediaplayer/jw4.swf?abouttext=Player&aboutlink=http://site

При підключенні плагіна captions також можна проводити CS атаку через параметр captions.file.

XSS:

• alert(document.cookie)
• цікавий

У вересні, 16.09.2012, коли я виявив, що Mozilla приховано виправила два вектори атаки через редиректори (зі статусом 302), про які я розповідав в 2009 році в своїх адвізорі та статті Cross-Site Scripting атаки через редиректори, я також звернув увагу, що деякі XSS атаки працюють і при інших статусах. Тому я вирішив перевірити різні браузери на предмет XSS атак через редиректори з кодами статусу 301 і 303. Раніше я дослідив тільки refresh-редиректори і 302 location-редиректори (а 301 редиректори дослідив лише в атаці №3 через data: URI), а зараз вирішив доповнити це дослідження новою інформацією.

І я виявив Cross-Site Scripting уразливості в браузерах Mozilla Firefox та Opera. Атака відбувається через заголовок location при статусах 301 і 303. Браузери IE6, IE7, IE8 та Chrome невразливі. Атаки через інші 30x статуси не працюють.

Атака №1:

При запиті до скрипта на сайті:
http://site/script.php?param=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B
Що поверне у відповіді 301 код:

HTTP/1.1 301 Moved Permanently
Location: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

Або поверне у відповіді 303 код:

HTTP/1.1 303 See other
Location: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

Атака працює в Firefox 3.0.19, 3.5.19, 3.6.28, 10.0.7, 15.0.1 та Opera 10.62 без доступу до кукісів.

Атака №2:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді 301 код:
HTTP/1.1 301 Moved Permanently
Location: javascript:alert(document.cookie)
Або поверне у відповіді 303 код:
HTTP/1.1 303 See other
Location: javascript:alert(document.cookie)

Атака працює в Opera 10.62 (як Strictly social XSS) без доступу до кукісів.

В даній добірці уразливості в веб додатках:

• Western Digital ShareSpace WEB GUI Sensitive Data Disclosure (деталі)
• Squiz CMS Directory Traversal (деталі)
• Moodle CMS stored XSS (деталі)
• SysAid Helpdesk blind SQL injection (деталі)
• Cross-site scripting vulnerability in Mono (деталі)
• SysAid Helpdesk stored XSS (деталі)
• apache struts2 remote code execute (деталі)
• XSS and Blind SQL Injection Vulnerabilities in Banana Dance CMS (деталі)
• IBM Edge Components Caching Proxy XSS Followup (деталі)
• XSS and SQL Injection Vulnerabilities in OrderSys (деталі)

17.07.2012

У червні, 29.06.2012, я знайшов Denial of Service та Cross-Site Scripting уразливості на сайті http://www.my-comfort.com.ua. Це сайт для клієнтів (”Програма комфорту”) онлайн магазину www.foxtrot.com.ua, про уразливості на якому я вже писав. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на fotos.ua.

Детальна інформація про уразливості з’явиться пізніше.

24.09.2012

DoS:

http://www.my-comfort.com.ua/img.aspx?size=10000&id=64904

XSS:

• alert(document.cookie)
• цікавий

На сайті використовується ASP.NET для захисту від XSS атак, який легко обходиться. XSS атака з використанням MouseOverJacking для обходу захисту від XSS в ASP.NET.

Дані уразливості досі не виправлені.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Forum, Cloudsafe365 та HD Webplayer. Для котрих з’явилися експлоіти. Simple Forum - це плагін для створення форуму, Cloudsafe365 - це секюріті плагін (і при цьому дірявий, як й інші плагіни для WP), HD Webplayer - це флеш відео плеєр.

• WordPress Simple Forum Shell Upload (деталі)
• WordPress Cloudsafe365 Local File Inclusion (деталі)
• WordPress HD Webplayer 1.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.