Websecurity - Веб безпека

У травні, 07.05.2012, я знайшов Insufficient Anti-automation уразливості на сайтах компанії Google https://www.google.com та https://www.google.com.ua. Я вже неодноразово писав про IAA уразливості на сайтах Гугла - компанія полюбляє ці дірки.

Раніше я вже писав про уразливості на www.google.com та gmodules.com.

Insufficient Anti-automation:

https://www.google.com/webmasters/tools/paidlinks

https://www.google.com.ua/quality_form - ця дірка аналогічна IAA на www.google.com, про яку я писав в 2010 році. Вона наявна на основному і на всіх регіональних доменах Гугла.

В даних формах немає захисту від автоматизованих запитів (капчі).

Якщо ці форми не мають капчі, то багато інших форм (де раніше її не було) зараз мають капчу. В тому числі форма повідомлення про спам, яка ще 07.05.2012 не мала капчі, а зараз вже обзавелась нею. Постійне нагадування дірявому Гуглу (та активне навантаження спамерів на вразливі форми) змушує компанію встановлювати захист на контактні форми. Але все ще залишилось багато незахищених форм.

В даній добірці уразливості в веб додатках:

• Cyberoam Unified Threat Management: Insecure Password Handling (деталі)
• Local File Inclusion in PluXml (деталі)
• Multiple vulnerabilities in OrangeHRM (деталі)
• Cross-Site Scripting (XSS) in Pivotx (деталі)
• Serendipity 1.6 Backend Cross-Site Scripting and SQL-Injection vulnerability (деталі)
• Security Advisories for GnuTLS and Libtasn1 (деталі)
• Horizon vulnerabilities (деталі)
• rails security update (деталі)
• Drupal 7.14 <= Full Path Disclosure Vulnerability (деталі)
• chevreto_XSS_file_existence_enum_vulns (деталі)

В даній добірці уразливості в веб додатках:

• Cyberoam UTM v10.01.2 build 059 - File Include Vulnerabilities (деталі)
• PHP Volunteer Management (get_messages.php) SQL Injection Vulnerabilities (деталі)
• OpenConf <= 4.11 (author/edit.php) Blind SQL Injection Vulnerability (деталі)
• Reflected XSS in Joomla 1.5.26 “ja_purity” template (деталі)
• Reflected XSS in Joomla 2.5.4 admin sysinfo page (деталі)
• Cyberoam Unified Threat Management: OS Command Execution (деталі)
• SQL Injection and other issues in Micro Technology Services, Inc. Lynx (деталі)
• Funnel Web (pages.php?page) Remote SQL injection Vulnerability (деталі)
• Indonesia Web Design (link-directory.php?cid) (link-directory.php?pid) Remote SQL injection Vulnerability (деталі)
• DotComEgypt (products.php?cat_id) Remote SQL injection Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• at32 ReverseProxy - Multiple HTTP Header Field Denial Of Service Vulnerability (деталі)
• PHP Volunteer Management ‘id’ 1.0.2 Multiple Vulnerabilities (деталі)
• Websense Triton 7.6 stored XSS in report management UI (деталі)
• Websense Triton 7.6 - unauthenticated remote command execution as SYSTEM (деталі)
• Websense Triton 7.6 - authentication bypass in report management UI (деталі)
• Security Notice for CA ARCserve Backup (деталі)
• Websense Triton 7.6 - reflected XSS in report management UI (деталі)
• Pritlog v0.821 CMS - Multiple Web Vulnerabilities (деталі)
• C4B XPhone UC Web 4.1.890S R1 - Cross Site Vulnerability (деталі)
• Opial CMS v2.0 - Multiple Web Vulnerabilities (деталі)

На початку 2009 року я розповідав про Charset Remembering уразливість в Mozilla Firefox через UTF-7 та EUC-JP і SHIFT_JIS кодування. А учора я писав про численні уразливості в Microsoft Internet Explorer, що були виправлені Microsoft у вівторок. І серед них була уразливість CVE-2012-1872.

Ця уразливість мене здивувала. Тому що інформація про XSS через EUC-JP в IE6 була відома ще в 2006 році - про це писав Cheng Peng Su (він перевірив декілька кодувань в браузерах Internet Explorer 6, Firefox 1.5.0.6 та Opera 9.0.1). В тому числі мій експлоіт для XSS через EUC-JP і SHIFT_JIS кодування в Mozilla Firefox також підходив і для IE (лише в ньому потрібно було додати один символ). Тільки атака через EUC-JP працювала в IE 6 і 7, а в IE 8 вона була виправлена. Схоже, що були знайдені нові символи EUC-JP кодування, через які можна проводити атаку.

Зазначу, що в MFSA 2011-47 Mozilla виправила можливість XSS атак через кодування Shift-JIS - проігнорувавши моє повідомлення у березні 2009 року і лише через 2,5 роки виправивши одну з декількох повідомлених мною уразливостей.

Тому я розробив новий експлоіт (щоб він працював в різних браузерах) і дослідив XSS атаку через різні кодування в багатьох браузерах. В результаті я виявив, що чимало браузерів вразливі до атак через EUC-JP, SHIFT_JIS та Chinese Simplified (HZ) кодування. А деякі браузери також вразливі до атак через інші кодування. І додам, що Charset Remembering атака, описана мною три роки тому, окрім Mozilla і Firefox (всіх браузерів на движку Gecko) також працює в Internet Explorer і Opera.

PoC:

XSS_charsets_in_browsers.html

Код виконається при встановленні відповідного кодування в браузері.

Дана атака через EUC-JP, SHIFT_JIS та Chinese Simplified (HZ) кодування спрацьовує в Mozilla Firefox 3, 4 і попередніх версіях (а також повинна в наступних версіях), в Internet Explorer 6, 7, 8 (і повинна в інших версіях), в Opera 10.62 (і повинна в інших версіях).

Також в IE 6, 7 і 8 атака спрацьовує через кодування Chinese Simplified (GB2312 і Big5), а в IE 6 і 7 атака спрацьовує через кодування Korean (в інших браузерах позначається як EUC-KR). В версії IE8 (і явно в IE9) не працює атака через кодування EUC-JP та Korean. А в Opera 10.62 також спрацьовує в Chinese Simplified (GB2312, GB18030 і Big5-HKSCS), але не в Big5 і HZ.

В продовження попередніх публікацій про дірки в плагіні Organizer, наведу ще 5 уразливостей в цьому дуже дірявому плагіні для WordPress.

Ще 15.04.2012 я знайшов Directory Traversal, Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress. Це четверта порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує його.

Раніше я писав про уразливості в Organizer для WordPress.

Directory Traversal:

http://site/wp-admin/wp-admin/admin.php?page=organizer/page/view.php

В полях Rename File to та Copy File As можна вказувати відносні шляхи (для переносу чи копіювання файлів в довільні каталоги, в тому числі перезапису існуючих файлів).

XSS:

POST запит на сторінці http://site/wp-admin/admin.php?page= organizer/page/dir.php
"><script>alert(document.cookie)</script>В полях dirname і newdirname.

Як я вже зазначав раніше, скрипт dir.php уразливий до CSRF, що спрощує проведення даних XSS атак.

FPD:

http://site/wp-admin/admin.php?page=organizer/page/users.php

Якщо для всіх ролей (в полі User) зроблені налаштування (в списку User Setting), то в тілі сторінки виводиться повідомлення про помилку з повним шляхом на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• RSA enVision Multiple Vulnerabilities (деталі)
• ChurchCMS 0.0.1 ‘admin.php’ Multiple SQLi (деталі)
• Multiple vulnerabilities in Piwigo (деталі)
• mysqldumper 1.24.4 LFI XSS CSRF PHPEXEC TRAVERSAL INFO DISCLOS (деталі)
• spip security update (деталі)
• ManageEngine DeviceExpert 5.6 Java Server ScheduleResultViewer servlet Unauthenticated Remote Directory Traversal Vulnerability (деталі)
• DirectAdmin v1.403 - Multiple Cross Site Vulnerabilities (деталі)
• Car Portal CMS v3.0 - Multiple Web Vulnerabilities (деталі)
• C4B XPhone UC Web 4.1.890S R1 - Cross Site Vulnerability (деталі)
• DIY CMS v1.0 Poll - Multiple Web Vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• Aruba Networks multiple advisories: OS command injection in RAP web interface and 802.1X EAP-TLS user authentication bypass (деталі)
• Multiple XSS vulnerabilities in XOOPS (деталі)
• Security advisory for Bugzilla 4.2.1, 4.0.6 and 3.6.9 (деталі)
• Specially crafted Json service request allows full control over a Liferay portal instance (деталі)
• Liferay 6.1 can be compromised in its default configuration (деталі)
• VMware vCenter Server, Orchestrator, Update Manager, vShield, vSphere Client, ESXi and ESX address several security issues (деталі)
• Specially crafted webdav request allows reading of local files on liferay 6.0.x (деталі)
• XSS in Kaseya version 6.2.0.0 web interface (деталі)
• PHP Ticket System Beta 1 ‘p’ SQL Injection (деталі)
• WebCalendar <= 1.2.4 Two Security Vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• Apache OFBiz information disclosure vulnerability (деталі)
• Apache OFBiz information disclosure vulnerability (деталі)
• Siche Search v.0.5 Zerboard - Multiple Web Vulnerabilities (деталі)
• Total Quality Machines (productdetail.php) SQL Injection Vulnerabilities (деталі)
• Joomla! Plugin - Beatz 1.x <= Multiple Cross Site Scripting Vulnerabilities (деталі)
• ABB WebWare RobNetScanHost.exe Remote Code Execution Vulnerability (деталі)
• Acuity CMS 2.6.x <= Cross Site Scripting (деталі)
• DokuWiki Ver.2012/01/25 CSRF Add User Exploit (деталі)
• Multiple web-vulnerabilities in ownCloud 3.0.0 (деталі)
• Multiple vulnerabilities in Newscoop (деталі)

В даній добірці уразливості в веб додатках:

• Endian UTM Firewall v2.4.x & v2.5.0 - Multiple Web Vulnerabilities (деталі)
• t3_dbtools_seditio_plugin_CSRF (деталі)
• seditio_PmOS_plugin_XSS_vuln (деталі)
• sfquickban_plugin_CSRF (деталі)
• seditio-build170.20120302_sql_injection_CSRF_info_disclosure_XSS (деталі)
• Cisco Small Business SRP 500 Series Multiple Vulnerabilities (деталі)
• DHTMLX Suite v.3.0 - Multiple Web Vulnerabilities (деталі)
• Netjuke 1.0 RC1 - SQL Injection Vulnerabilities (деталі)
• ACC PHP eMail v1.1 - Multiple Web Vulnerabilites (деталі)
• FastPath Webchat | Multiple Cross Site Scripting Vulnerabilities (деталі)