Websecurity - Веб безпека

Раніше я вже писав про Content Spoofing та XSS уразливості в JW Player. І зазначав, що сайтів з вразливою флешкою біля мільйону - це лише проіндексованих Гуглом, а насправді їх ще більше. Аналогічні уразливості присутні в сотнях веб додатків. Зокрема в наступних п’яти плагінах для движків MODx CMS, Joomla, Moodle та WordPress, що використовують флешку JW Player.

В травні, 25.05.2012, я знайшов Content Spoofing та Cross-Site Scripting уразливості в плагінах JWPlayer для MODx, Simple video flash player для Joomla, Poodll для Moodle, RokBox для Joomla та RokBox для WordPress.

Content Spoofing та XSS уразливості аналогічні описаним у вищезгаданому записі. Лише в плагінах (старих версіях, що я бачив) Simple video flash player для Joomla та RokBox для Joomla і WP, в яких використовується JWPlayer 4.x, немає CS через плейліст і логотип та XSS через параметр playerready і через логотип.

Шляхи до флешки наступні:

JWPlayer for MODx plugin (extra):

http://site/embed/player.swf

Приклад однієї XSS уразливості.

XSS:

http://site/embed/player.swf?playerready=alert(document.cookie)

Simple video flash player for Joomla:

http://site/modules/mod_simple_video_flash_player/jwplayer.swf

Poodll for Moodle:

http://site/poodll/jwplayer59/jwplayer.swf

Приклад однієї XSS уразливості.

XSS:

http://site/poodll/jwplayer59/jwplayer.swf?playerready=alert(document.cookie)

RokBox for Joomla:

http://site/plugins/system/rokbox/jwplayer/jwplayer.swf

RokBox for WordPress:

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf

Уразливі всі версії JWPlayer для MODx, всі версії Simple video flash player для Joomla, всі версії Poodll для Moodle, всі версії RokBox для Joomla та всі версії RokBox для WordPress.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах editormonkey, Count Per Day та Front End Upload. Для котрих з’явилися експлоіти. editormonkey - це новий rich-редактор для WP, Count Per Day - це плагін для ведення статистики відвідувань, Front End Upload - це плагін для надання можливості завантажувати файли на сайт.

• Wordpress (editormonkey) Arbitrary File Upload Vulnerability (деталі)
• WordPress Plugin ‘Count Per Day’ 3.1.1 Multiple Cross-site scripting vulnerabilities (деталі)
• WordPress Front End Upload 0.5.4.4 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

08.03.2012

У лютому, 28.02.2012, я знайшов Abuse of Functionality, Insufficient Anti-automation та Cross-Site Scripting уразливості на сайті http://stopthehacker.com. Це секюріті сервіс що є конкурентом моій Web VDS. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.07.2012

AoF:

http://panel.stopthehacker.com/services/validate-payflow?target=http://site&email=1@1.com&callback=a

Можна проводити атаки на інші сайти. Про що я писав в своїй статті Використання сайтів для атак на інші сайти.

IAA:

Із-за відсутності захисту від автоматизованих запитів (капчі) в даному функціоналі, атаки на інші сайти можна автоматизувати. Наприклад, з використанням DAVOSET.

XSS:

http://panel.stopthehacker.com/services/validate-payflow?target=%3Cbody%20onload=alert(document.cookie)%3E&email=1@1.com&callback=a

Якщо XSS дірка вже виправлена, то Abuse of Functionality та Insufficient Anti-automation уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• SQL injection in python-sqlalchemy (деталі)
• GuestBook Scripts PHP v1.5 - Multiple Web Vulnerabilites (деталі)
• CLscript CMS v3.0 - Multiple Web Vulnerabilities (деталі)
• 7sepehr SQL Injection Vulnerability (деталі)
• HP Performance Manager Running on HP-UX, Linux, Solaris and Windows, Remote Execution of Arbitrary Code, Denial of Service (DoS) (деталі)
• 7sepehr SQL Injection Vulnerability (деталі)
• 7sepehr SQL Injection Vulnerability (деталі)
• Blind SQL Injection in Webmatic (деталі)
• Microsoft Security Bulletin MS12-039 - Important Vulnerabilities in Lync Could Allow Remote Code Execution (2707956) (деталі)
• PHP NUKE ALL VERSION MULTI VULNERABILITY (деталі)

В даній добірці уразливості в веб додатках:

• gnash security update (деталі)
• Nagios XI Network Monitor OS Command Injection (деталі)
• Nagios XI Network Monitor Stored and Reflected XSS (деталі)
• Forum Oxalis 0.1.2 <= SQL Injection Vulnerability (деталі)
• plow 0.0.5 <= Buffer Overflow Vulnerability (деталі)
• HP OpenView Performance Manager PMParamHandler Remote Code Execution Vulnerability (деталі)
• plow 0.0.5 <= Buffer Overflow Vulnerability (деталі)
• Freeside SelfService CGI|API 2.3.3 - Multiple Vulnerabilities (деталі)
• Classified Ads Script PHP v1.1 - SQL Injection Vulnerabilities (деталі)
• Event Script PHP v1.1 CMS - Multiple Web Vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• BackupPC vulnerability (деталі)
• Zend Framework - Local file disclosure via XXE injection (деталі)
• SugarCRM CE <= 6.3.1 "unserialize()" PHP Code Execution (деталі)
• Apache Roller Cross-Site-Resource-Forgery (XSRF) vulnerability (деталі)
• Apache Roller Cross-Site-Scripting (XSS) vulnerability (деталі)
• Vulnerabilities in OpenSSL (деталі)
• TEMENOS T24 Cross-Site Scripting (XSS) Vulnerability (деталі)
• Bookmark4U lostpasswd.php env[include_prefix] Parameter RFI (деталі)
• Basilic RCE bug (деталі)
• Nagios XI Network Monitor Blind SQL Injection (деталі)

В даній добірці уразливості в веб додатках:

• Arbor Networks Peakflow SP web interface XSS (деталі)
• Squiz CMS Multiple Vulnerabilities (деталі)
• Swoopo Gold Shop CMS v8.4.56 - Multiple Web Vulnerabilities (деталі)
• Webify Product Series - Multiple Web Vulnerabilities (деталі)
• News Script PHP v1.2 - Multiple Web Vulnerabilites (деталі)
• Vulnerability in Mono (деталі)
• Commentics 2.0 <= Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in web@all (деталі)
• Mybb 1.6.8 ‘announcements.php’ Sql Injection Vulnerabilitiy (деталі)
• traq-2.3.5_CSRF_XSS_SQL_INjeCTION_vulns (деталі)

В даній добірці уразливості в веб додатках:

• HP Business Availability Center (BAC) Running on Windows, Remote Cross Site Scripting (XSS) (деталі)
• Jobs Portal v3.0 NetArtMedia - Multiple Web Vulnerabilities (деталі)
• Simple Forum PHP 2.1 - SQL Injection Vulnerabilities (деталі)
• Cells Blog CMS v1.1 - Multiple Web Vulnerabilities (деталі)
• MYRE Real Estate Mobile 2012|2 - Multiple Vulnerabilities (деталі)
• HP Onboard Administrator (OA), Remote Unauthorized Access, Unauthorized Information Disclosure, Denial of Service (DoS), URL Redirection (деталі)
• Cross-Site Scripting vulnerabilities in Nagios XI < 2011R3.0 (деталі)
• SQL injection in Serendipity (деталі)
• Multiple vulnerabilities in TinyWebGallery (деталі)
• Airlock WAF overlong UTF-8 sequence bypass (деталі)

Після семи попередніх уразливостей в Akismet, ось нові дірки. У лютому, 23.02.2012, я знайшов Cross-Site Scripting, Redirector та Cross-Site Request Forgery уразливості в плагіні Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. Це друга порція уразливостей в плагіні Akismet.

Раніше я вже писав про XSS, Redirector та FPD уразливості в WordPress.

XSS:

Якщо включена опція “Auto-delete spam submitted on posts more than a month old” і відправці спам коментарю для посту, який старше 30 діб, можлива XSS і Redirector атаки (and they can be conducted as on logged in admins and users, as on any visitors of the site). Вразливі всі версії Akismet з даним функціоналом (до версії 2.5.6).

Потрібно відправити POST запит http://site/wp-comments-post.php (подібно до мого попереднього експлоіту для XSS в коментарях) з вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

Redirector (URL Redirector Abuse):

Атака відбувається при вищенаведених умовах. Потрібно відправити POST запит http://site/wp-comments-post.php (подібно до мого попереднього експлоіту для Redirector в коментарях) з вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: http://attackers_site

При цьому в останній версії Akismet 2.5.6 ці дві уразливості вже виправлені (причому приховано, без жодного згадування в readme.txt). Схоже, що це трапилося після моєї березневої чи квітневої публікації про XSS і Redirector уразливості через редиректори в WP.

CSRF:

В Akismet < 2.0.2 (WordPress < 2.0.11) взагалі не було захисту від CSRF, окрім поля введеня API key. Починаючи з версії Akismet 2.0.2 захист з'явився, але не в усьому фунціоналі.

CSRF уразливість в функції збереження конфігурації. Через POST запит до скрипта http://site/wp-admin/plugins.php ?page=akismet-key-config можна змінювати конфігурацію.

Атака спрацює лише на WP < 2.0.3 (де не було захисту від CSRF в движку) в старих версіях Akismet (таких як 2.0.2 і попередні та деяких наступних).

CSRF уразливість в функції "Check network status". При GET запиті до сторінки http://site/wp-admin/plugins.php ?page=akismet-key-config відбується запит до чотирьох серверів Akismet з кешуванням запиту.

Для відправки запитів до серверів Akismet в обхід кешування, можна відправити POST запит до цієї сторінки. При активних CSRF запитах можна створити навантаження на сервери Akismet (особливо якщо атакувати з багатьох серверів).

WordPress Akismet CSRF.html

Уразливі Akismet 2.5.6 та попередні версії та WordPress 2.0 - 3.4.1.

В даній добірці уразливості в веб додатках:

• McAfee Email and Web Security Appliance v5.6 - Reflective XSS allowing an attacker to gain session tokens (деталі)
• Interspire Shopping Cart v6 - Multiple Web Vulnerabilities (деталі)
• iScripts EasyCreate CMS v2.0 - Multiple Web Vulnerabilites (деталі)
• ADICO CMS v1.1 - Blind SQL Injection Vulnerability (деталі)
• QuickBlog v0.8 CMS - Multiple Web Vulnerabilities (деталі)
• HP-UX WBEM, Remote Unauthorized Access to Diagnostic Data (деталі)
• Boonex Dolphin v7.0.9 CMS & Mobile App - Multiple Web Vulnerabilities (деталі)
• eSyndiCat Pro v2.4.1 - Multiple Web Vulnerabilities (деталі)
• Squirrelcart Cart Shop v3.3.4 - Multiple Web Vulnerabilities (деталі)
• Swoopo Gold Shop CMS v8.4.56 - Multiple Web Vulnerabilities (деталі)