Websecurity - Веб безпека

У жовтні, 20.10.2011, я знайшов нові уразливості на http://iss.incom.ua та http://it-consulting.incom.ua. Це Insufficient Anti-automation та Denial of Service уразливості на сайтах секюріті компанії Інком. Я вже писав про аналогічні уразливості на incom.ua (вони є також на інших сайтах Інкома). Про що найближчим часом детально сповіщу адміністрацію сайта.

Раніше я вже писав про уразливості на iss.incom.ua.

Детальна інформація про уразливості з’явиться пізніше.

01.06.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Cross-Site Request Forgery та Cross-Site Scripting. Це третя порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IFOBS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.09.2012

Це наступні 35 уразливостей в IFOBS: 1 CSRF та 34 XSS.

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force в формі логіна (http://site/ifobsClient/loginlite.jsp), згадану раніше, також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак.

Cross-Site Scripting (WASC-08):

http://site/ifobsClient/regclientalerts.jsp?labelname=%3Cscript%3Ealert(document.cookie)%3C/script%3E

POST запит на сторінці http://site/ifobsClient/regclientform.jsp параметрах: secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, passportSerialpassportNumber, PassportDay, PassportMonth, PassportYear, passportIssueAgency, tempDocSerialtempDocNumber, tempDocSerial, DocMonth, DocYear, idCodeNumber, CodeRegDay, CodeRegMonth, CodeRegYear, idCodeRegPlace, phone, email, pmcountry, pmnumber, keyword, password, bankAddress, bankContacts, typeclient.

Експлоіти для перших п’яти уразливостей (в параметрах secondName, firstName, thirdName, BirthDay, BirthMonth):

IFOBS XSS-11.html

IFOBS XSS-12.html

IFOBS XSS-13.html

IFOBS XSS-14.html

IFOBS XSS-15.html

Розробники системи проігнорували і не виправили дані уразливості.

В даній добірці уразливості в веб додатках:

• EMC Data Protection Advisor Multiple Vulnerabilities (деталі)
• Flynax General Classifieds v4.0 CMS - Multiple Vulnerabilities (деталі)
• NeoInvoice Blind SQL Injection (деталі)
• 7sepehr CMS 2012 - Multiple SQL Injection Vulnerabilities (деталі)
• Firefox security bug (proxy-bypass) in current Tor BBs (деталі)
• Multiple vulnerabilities in GLPI (деталі)
• ManageEngine OpStor v7.4 - Multiple Web Vulnerabilities (деталі)
• Nike+ Panel & Mobile App - Multiple Web Vulnerabilities (деталі)
• SAP Netweaver Dispatcher Multiple Vulnerabilities (деталі)
• Social Engine v4.2.5 - Multiple Web Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SEM WYSIWYG, Finder та Count Per Day. Для котрих з’явилися експлоіти. SEM WYSIWYG - це новий rich-редактор, що використовує код fckeditor, Finder - це плагін для пошуку даних, Count Per Day - це плагін для ведення статистики відвідувань.

• WordPress SEM WYSIWYG Arbitrary File Upload (деталі)
• WordPress Finder Cross Site Scripting (деталі)
• WordPress Count Per Day 3.2.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

31.05.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Brute Force та Cross-Site Scripting. Це друга порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в IFOBS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

18.09.2012

Це наступні 36 уразливостей в IFOBS: 2 BF та 34 XSS.

Brute Force (WASC-11):

В формі логіна консолі сертифікатів (http://site/ifobsClient/certmasterlogin.jsp) відсутній захист від підбору пароля (капча).

В формах перевірки статусу реєстрації та редагування реєстраційного профіля відсутній захист від підбору пароля (капча). Обидві форми розміщені на сторінці http://site/ifobsClient/regclientmain.jsp (їх ще можна викликати за адресами http://site/ifobsClient/regclientmain.jsp?myaction=getloginformForStatus і http://site/ifobsClient/regclientmain.jsp?myaction=getloginformForEdit) і вони використовують один і той же скрипт.

Cross-Site Scripting (WASC-08):

POST запит на сторінці http://site/ifobsClient/regclientmain.jsp параметрах: furtherAction, secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, passportSerial, passportNumber, PassportDay, PassportMonth, PassportYear, passportIssueAgency, tempDocSerial, tempDocNumber, DocDay, DocMonth, DocYear, idCodeNumber, CodeRegDay, CodeRegMonth, CodeRegYear, idCodeRegPlace, phone, email, pmcountry, pmnumber, keyword, password, bankAddress, bankContacts, typeclient.

Експлоіти для перших п’яти уразливостей (в параметрах furtherAction, secondName, firstName, thirdName, BirthDay):

IFOBS XSS-6.html

IFOBS XSS-7.html

IFOBS XSS-8.html

IFOBS XSS-9.html

IFOBS XSS-10.html

Розробники системи проігнорували і не виправили дані уразливості.

В даній добірці уразливості в веб додатках:

• McAfee Web Gateway URL Filtering Bypass (деталі)
• tekno.Portal 0.1b - SQLi Vulnerability in “anket.php” (деталі)
• Distimo Monitor 6.0 - Multiple Cross Site Vulnerabilities (деталі)
• ME Application Manager 10 - Multiple Web Vulnerabilities (деталі)
• RealNetworks Helix Server rn5auth Credential Parsing Remote Code Execution Vulnerability (деталі)
• ME Mobile Application Manager v10 - SQL Vulnerabilities (деталі)
• Flogr v2.5.6 & v2.3 - Cross Site Script Vulnerabilities (деталі)
• Joomla com_fireboard - SQL Injection Vulnerability (деталі)
• HP Business Service Management (BSM), Remote Unauthorized Disclosure of Information, Unauthorized Modification, Denial of Service (DoS) (деталі)
• Arasism (IR) CMS - File Upload Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах fckeditor, ShopperPress Theme та Monsters Editor. Для котрих з’явилися експлоіти. fckeditor - це rich-редактор для WP, ShopperPress Theme - це тема для WP, Monsters Editor - це новий rich-редактор, що використовує код fckeditor.

• Wordpress fckeditor Arbitrary File Upload Vulnerability (деталі)
• ShopperPress WordPress Theme 2.7 Cross Site Scripting (деталі)
• WordPress Monsters Editor Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

29.05.2012

У травні, 04.05.2012, під час пентесту, я виявив багато уразливостей в системі Інтернет-банкінгу IFOBS, зокрема Brute Force та Cross-Site Scripting. Це перша порція уразливостей в IFOBS, яка використовується багатьма українськими банками. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

14.09.2012

Це перші 38 уразливостей в IFOBS: 2 BF та 36 XSS.

Brute Force (WASC-11):

В формі логіна http://site/ifobsClient/loginlite.jsp відсутній захист від підбору пароля (капча).

В формі логіна http://site/ifobsClient/loginsecurity.jsp відсутній захист від підбору пароля (капча).

Cross-Site Scripting (WASC-08):

POST запит на сторінці http://site/ifobsClient/regclientprint.jsp в параметрах: secondName, firstName, thirdName, BirthDay, BirthMonth, BirthYear, address, livePlace, nationality, passportSerial, passportNumber, passportIssueAgency, PassportDay, PassportMonth, PassportYear, tempDocSerial, tempDocNumber, DocDay, DocMonth, DocYear, idCodeNumber, idCodeRegPlace, CodeRegDay, CodeRegMonth, CodeRegYear, phone, email, pmcountry, pmnumber, keyword, bankOblastSelect, bankCitySelect, bankRegionSelect, bankDepSelect, bankAddress, bankContacts.

Експлоіти для перших п’яти уразливостей (в параметрах secondName, firstName, thirdName, BirthDay, BirthMonth):

IFOBS XSS-1.html

IFOBS XSS-2.html

IFOBS XSS-3.html

IFOBS XSS-4.html

IFOBS XSS-5.html

Розробники системи проігнорували і не виправили дані уразливості.

В даній добірці уразливості в веб додатках:

• HP Data Protector Express Opcode 0×320 Parsing Remote Code Execution Vulnerability (деталі)
• Sistem Biwes Multiple Vulnerability (деталі)
• rtfm security update (деталі)
• otrs2 security update (деталі)
• HP Data Protector Express Opcode 0×330 Parsing Remote Code Execution Vulnerability (деталі)
• typo3-src security update (деталі)
• Security advisory for Bugzilla 4.3.3, 4.2.3, 4.0.8 and 3.6.11 (деталі)
• Multiple Vulnerabilities in Scrutinizer NetFlow & sFlow Analyzer (деталі)
• Squid URL Filtering Bypass (деталі)
• CodeIgniter <= 2.1.1 xss_clean() Cross Site Scripting filter bypass (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mz-Jajak, ShopperPress Theme та Rich Widget. Для котрих з’явилися експлоіти. Mz-Jajak - це плагін для створення голосувань, ShopperPress Theme - це тема для WP, Rich Widget - це віджет з WYSIWYG-редактором.

• WordPress Mz-Jajak 2.1 SQL Injection (деталі)
• ShopperPress WordPress Theme 2.7 SQL Injection (деталі)
• WordPress Rich Widget File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.