Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• McAfee Email and Web Security Appliance v5.6 - Any logged-in user can bypass controls to reset passwords of other administrators (деталі)
• Ganesha Digital Library 4.0 Multiple Vulnerabilities (деталі)
• Social Engine Multiples Vulnerabilities (XSS and CSRF) (деталі)
• Multiple XSS in pragmaMx (деталі)
• Multiple vulnerabilities in Pligg CMS (деталі)
• McAfee Email and Web Security Appliance v5.6 - Session hijacking and bypassing client-side session timeouts (деталі)
• SQL injection in Bigware shop software (деталі)
• Arbitrary File Upload/Execution in Collabtive (деталі)
• imp4 security update (деталі)
• Nuked Klan SP CMS v4.5 - SQL injection Vulnerability (деталі)

У лютому, 23.02.2012, я знайшов Cross-Site Scripting, Redirector та Full path disclosure уразливості в плагіні Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. Це перша порція уразливостей в плагіні Akismet.

Раніше я вже писав про IAA, Redirector та XSS уразливості в WordPress.

XSS:

При GET запиті до скрипта http://site/wp-admin/edit.php ?page=akismet-admin&recheckqueue=1, або http://site/wp-admin/ edit-comments.php?page=akismet-admin&recheckqueue=1 або http://site/wp-admin/admin.php?action=akismet_recheck_queue (в залежності від версії, в WP 3.x використовується остання адреса).

З вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

Redirector (URL Redirector Abuse):

При GET запиті до скрипта http://site/wp-admin/edit.php ?page=akismet-admin&recheckqueue=1, або http://site/wp-admin/ edit-comments.php?page=akismet-admin&recheckqueue=1 або http://site/wp-admin/admin.php?action=akismet_recheck_queue (в залежності від версії, в WP 3.x використовується остання адреса).

З вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: http://attackers_site

В WP <= 2.0.11 (Akismet <= 2.0.2) через помилку в плагіні не працюють XSS і Redirector атаки, але вони працють з більш новими версіями плагіна в різних версіях WordPress (до 3.4).

При цьому в останній версії Akismet 2.5.6 (що постачається з WP 3.4 та 3.4.1) ці дві уразливості вже виправлені (причому приховано, без жодного згадування в readme.txt плагіна чи в анонсах WP). Схоже, що це трапилося після моєї березневої чи квітневої публікації про XSS і Redirector уразливості через редиректори в WP.

Full path disclosure:

Через вищезгадану помилку в плагіні не працюють XSS і Redirector атаки, зате має місце FPD при запиті до скрипта (в старих версіях Akismet, таких як 2.0.2).

http://site/wp-admin/edit.php?page=akismet-admin&recheckqueue=1 або http://site/wp-admin/edit-comments.php?page=akismet-admin &recheckqueue=1 (в залежності від версії WP).

Full path disclosure:

Якщо попередня FPD має місце в акаунті, то дані FPD доступні без авторизації.

http://site/wp-content/plugins/akismet/admin.php

http://site/wp-content/plugins/akismet/akismet.php

http://site/wp-content/plugins/akismet/legacy.php

http://site/wp-content/plugins/akismet/widget.php

Це одні з багатьох FPD, що існують в останніх версіях WordPress. З часом я напишу про інші FPD в WP (що я знайшов у березні, коли дослідив усі FPD в зовнішньому функціоналі движка).

Уразливі Akismet 2.5.6 та попередні версії та WordPress 2.0 - 3.4.1.

В даній добірці уразливості в веб додатках:

• McAfee Email and Web Security Appliance v5.6 - Password hashes can be recovered from a system backup and easily cracked (деталі)
• sympa security update (деталі)
• SCLIntra Enterprise SQL Injection and Authentication Bypass (деталі)
• Multiple vulnerabilities in LogAnalyzer (деталі)
• request-tracker3.8 security update (деталі)
• McAfee Email and Web Security Appliance v5.6 - Active sesssion tokens of other users are disclosed within the UI (деталі)
• request-tracker3.8 regression update (деталі)
• Mapserver for Windows (MS4W) Remote Code Execution (деталі)
• Acuity CMS 2.6.x <= Arbitrary File Upload (деталі)
• Acuity CMS 2.6.x <= Path Traversal Arbitrary File Access (деталі)

09.06.2012

Сьогодні я виявив SQL Injection та Information Leakage уразливості в LIOOSYS CMS (це польська комерційна CMS). Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.06.2012

SQL Injection:

http://site/index.php?id=-1%20union%20select%201,version(),3,4,5/*

Information Leakage:

http://site/_files_/db.log

Витік логу помилок запитів до БД. Це може використовуватися як для отримання даних про структу БД, так і при проведенні SQL Injection атак (тому що повідомлення про помилки не виводяться на сторінки сайта).

Як повідомили мені розробники, вони вже виправили дані уразливості в своїй CMS. Але в ній ще багато інших уразливостей.

В даній добірці уразливості в веб додатках:

• Sourcefire Defense Center - multiple vulnerabilities (деталі)
• b2ePMS 1.0 Authentication Bypass Vulnerability (деталі)
• Liferay users can assign themselves to organizations, leading to possible privilege escalation (деталі)
• Liferay 6.1 json webservices are subject to cross-site request forgery attacks (деталі)
• Liferay 6.1 can be compromised without having an account on the portal (деталі)
• McAfee Email and Web Security Appliance v5.6 - Arbitrary file download is possible with a crafted URL when logged in as any user (деталі)
• Guests can view names and emailadresses of all Liferay users in liferay 6.1 (деталі)
• Multiple xss issues in Liferay (деталі)
• Epicor Returns Management SOAP-Based Blind SQL Injection (деталі)
• ikiwiki security update (деталі)

У травні, 07.05.2012, я знайшов Insufficient Anti-automation уразливості на сайтах компанії Google https://www.google.com та https://www.google.com.ua. Я вже неодноразово писав про IAA уразливості на сайтах Гугла - компанія полюбляє ці дірки.

Раніше я вже писав про уразливості на www.google.com та gmodules.com.

Insufficient Anti-automation:

https://www.google.com/webmasters/tools/paidlinks

https://www.google.com.ua/quality_form - ця дірка аналогічна IAA на www.google.com, про яку я писав в 2010 році. Вона наявна на основному і на всіх регіональних доменах Гугла.

В даних формах немає захисту від автоматизованих запитів (капчі).

Якщо ці форми не мають капчі, то багато інших форм (де раніше її не було) зараз мають капчу. В тому числі форма повідомлення про спам, яка ще 07.05.2012 не мала капчі, а зараз вже обзавелась нею. Постійне нагадування дірявому Гуглу (та активне навантаження спамерів на вразливі форми) змушує компанію встановлювати захист на контактні форми. Але все ще залишилось багато незахищених форм.

В даній добірці уразливості в веб додатках:

• Cyberoam Unified Threat Management: Insecure Password Handling (деталі)
• Local File Inclusion in PluXml (деталі)
• Multiple vulnerabilities in OrangeHRM (деталі)
• Cross-Site Scripting (XSS) in Pivotx (деталі)
• Serendipity 1.6 Backend Cross-Site Scripting and SQL-Injection vulnerability (деталі)
• Security Advisories for GnuTLS and Libtasn1 (деталі)
• Horizon vulnerabilities (деталі)
• rails security update (деталі)
• Drupal 7.14 <= Full Path Disclosure Vulnerability (деталі)
• chevreto_XSS_file_existence_enum_vulns (деталі)

В даній добірці уразливості в веб додатках:

• Cyberoam UTM v10.01.2 build 059 - File Include Vulnerabilities (деталі)
• PHP Volunteer Management (get_messages.php) SQL Injection Vulnerabilities (деталі)
• OpenConf <= 4.11 (author/edit.php) Blind SQL Injection Vulnerability (деталі)
• Reflected XSS in Joomla 1.5.26 “ja_purity” template (деталі)
• Reflected XSS in Joomla 2.5.4 admin sysinfo page (деталі)
• Cyberoam Unified Threat Management: OS Command Execution (деталі)
• SQL Injection and other issues in Micro Technology Services, Inc. Lynx (деталі)
• Funnel Web (pages.php?page) Remote SQL injection Vulnerability (деталі)
• Indonesia Web Design (link-directory.php?cid) (link-directory.php?pid) Remote SQL injection Vulnerability (деталі)
• DotComEgypt (products.php?cat_id) Remote SQL injection Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• at32 ReverseProxy - Multiple HTTP Header Field Denial Of Service Vulnerability (деталі)
• PHP Volunteer Management ‘id’ 1.0.2 Multiple Vulnerabilities (деталі)
• Websense Triton 7.6 stored XSS in report management UI (деталі)
• Websense Triton 7.6 - unauthenticated remote command execution as SYSTEM (деталі)
• Websense Triton 7.6 - authentication bypass in report management UI (деталі)
• Security Notice for CA ARCserve Backup (деталі)
• Websense Triton 7.6 - reflected XSS in report management UI (деталі)
• Pritlog v0.821 CMS - Multiple Web Vulnerabilities (деталі)
• C4B XPhone UC Web 4.1.890S R1 - Cross Site Vulnerability (деталі)
• Opial CMS v2.0 - Multiple Web Vulnerabilities (деталі)

На початку 2009 року я розповідав про Charset Remembering уразливість в Mozilla Firefox через UTF-7 та EUC-JP і SHIFT_JIS кодування. А учора я писав про численні уразливості в Microsoft Internet Explorer, що були виправлені Microsoft у вівторок. І серед них була уразливість CVE-2012-1872.

Ця уразливість мене здивувала. Тому що інформація про XSS через EUC-JP в IE6 була відома ще в 2006 році - про це писав Cheng Peng Su (він перевірив декілька кодувань в браузерах Internet Explorer 6, Firefox 1.5.0.6 та Opera 9.0.1). В тому числі мій експлоіт для XSS через EUC-JP і SHIFT_JIS кодування в Mozilla Firefox також підходив і для IE (лише в ньому потрібно було додати один символ). Тільки атака через EUC-JP працювала в IE 6 і 7, а в IE 8 вона була виправлена. Схоже, що були знайдені нові символи EUC-JP кодування, через які можна проводити атаку.

Зазначу, що в MFSA 2011-47 Mozilla виправила можливість XSS атак через кодування Shift-JIS - проігнорувавши моє повідомлення у березні 2009 року і лише через 2,5 роки виправивши одну з декількох повідомлених мною уразливостей.

Тому я розробив новий експлоіт (щоб він працював в різних браузерах) і дослідив XSS атаку через різні кодування в багатьох браузерах. В результаті я виявив, що чимало браузерів вразливі до атак через EUC-JP, SHIFT_JIS та Chinese Simplified (HZ) кодування. А деякі браузери також вразливі до атак через інші кодування. І додам, що Charset Remembering атака, описана мною три роки тому, окрім Mozilla і Firefox (всіх браузерів на движку Gecko) також працює в Internet Explorer і Opera.

PoC:

XSS_charsets_in_browsers.html

Код виконається при встановленні відповідного кодування в браузері.

Дана атака через EUC-JP, SHIFT_JIS та Chinese Simplified (HZ) кодування спрацьовує в Mozilla Firefox 3, 4 і попередніх версіях (а також повинна в наступних версіях), в Internet Explorer 6, 7, 8 (і повинна в інших версіях), в Opera 10.62 (і повинна в інших версіях).

Також в IE 6, 7 і 8 атака спрацьовує через кодування Chinese Simplified (GB2312 і Big5), а в IE 6 і 7 атака спрацьовує через кодування Korean (в інших браузерах позначається як EUC-KR). В версії IE8 (і явно в IE9) не працює атака через кодування EUC-JP та Korean. А в Opera 10.62 також спрацьовує в Chinese Simplified (GB2312, GB18030 і Big5-HKSCS), але не в Big5 і HZ.