Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP Data Protector Express, Remote Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• Minify and related plugins DOM-Based XSS Vulnerability (деталі)
• seditio165_CSRF_and_world_readble_db_dumpissuses (деталі)
• Multiple vulnerabilities in Open Journal Systems (OJS) (деталі)
• struts2 xsltResult Local code execution vulnerability (деталі)
• Apache Wicket XSS vulnerability via pageMapName request parameter (деталі)
• Apache Wicket serving of hidden files vulnerability (деталі)
• XSS in Tiki Wiki CMS Groupware (деталі)
• Vbulletin 4.0.x => 4.1.3 (messagegroupid) SQL injection Vulnerability (деталі)
• CobraScripts (search_result.php?cid) Remote SQL injection Vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Yealink VOIP Phone Persistent Cross Site Scripting Vulnerability (деталі)
• Multiple XSS in Fork CMS (деталі)
• Multiple SQL injections in rivettracker <=1.03 (деталі)
• OSClass directory traversal (leads to arbitrary file upload) (деталі)
• Ilient SysAid v8.5.05 - Multiple Web Vulnerabilities (деталі)
• SAP Business Objects XI R2 Infoview Multiple XSS (деталі)
• Iciniti Store SQL Injection (деталі)
• Synology Photo Station 5 - Reflected Cross-Site Scripting (деталі)
• Wikidforum 2.10 Multiple security vulnerabilities (деталі)
• WikyBlog 1.7.3RC2 XSS vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• Python httplib2 vulnerability (деталі)
• Lastguru ASP GuestBook ‘View.asp’ - SQL Injection Vulnerability (деталі)
• Symfony2 Local File Disclosure (деталі)
• Timesheet Next Gen 1.5.2 Multiple SQLi (деталі)
• Open-Realty CMS 2.5.8 (2.x.x) <= "select_users_template" Local File Inclusion Vulnerability (деталі)
• Etano 1.x <= Multiple Cross Site Scripting Vulnerabilities (деталі)
• 11in1 CMS v1.2.1 - SQL Injection Vulnerabilities (деталі)
• cgcraft llc (collections.php?id) Cross Site Scripting Vulnerabilities (деталі)
• Cross Site Scription Vulnerability in vBulletin 4.1.3, 4.1.4 and 4.1.5 (деталі)
• Community Server - Stored Cross-Site Scripting in User’s Signature (деталі)

Окрім згаданих мною в 2007 році двох редиректорів (які окрім Redirector, також уразливі до XSS), є багато інших редиректорів. І один зі знайдених мною 13.02.2012 редиректорів (хоча захистився від нього я ще на початку 2007 року) я оприлюдню зараз, а з часом й інші редиректори.

Ще з WP 2.0 є Insufficient Anti-automation, Redirector і Cross-Site Scripting уразливості в wp-comments-post.php. З IAA я стикнувся одразу, як почав використовувати WP в 2006 році. Якщо розробники виправили попередні два редиректори (і уразливості в них) в WP 2.3, то ці уразливості не виправлені навіть в WP 3.3.1.

Раніше я вже писав про DoS та SQL Injection уразливості в WordPress.

Insufficient Anti-automation:

Відсутність капчі в формі коментарів дозволяє проводити автоматизовані атаки. Розробники досі не встановили капчу в форму коментарів WP (з першої версії движка), що окрім IAA атак, також дозволяє проводити Redirector і XSS атаки.

По замовчуванню в WordPress включена премодерація, а також існує вбудований анти-спам фільтр. Якщо 10 років тому премодерації вистачило б, то вже давно цей механізм не може вважатися достатнім захистом від спаму, а анти-спам фільтр має ефективність менше 1% - лише деякі зі спам повідомлень він помічає як спам. А також ці механізми не захищають від нижченаведених атак. Також з WP постачається плагін Akismet, що захищає від спаму “без капчі”. Але по замовчуванню він відключений та порівняно з капчею вважається менш надійним і також не захищає від нижченаведених атак.

Redirector (URL Redirector Abuse):

WordPress Redirector.html

XSS:

WordPress XSS.html

XSS атака можлива на різні браузери, але її провести важче ніж у випадку попередніх двох редиректорів (через data URI). На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

В зв’язку з особливостями роботи даного скрипта (фільтрація важливих символів та додавання якорю), для виконання JS коду потрібно використовувати хитрі обхідні методи. При цьому, якщо редирект відбувається через заголовок Location, код спрацьовує в Opera 10.62 і він повинен працювати в Firefox, IE6 і Chrome, але різні версії Firefox (та IE6 і Chrome) упорно ігнорують даний заголовок (виводячи лише пусту сторінку) - при тому, що окремо заголовок Location з даним кодом спрацьовує в Firefox і в інших браузерах, але не в рамках WordPress. З комбінованим варіантом javascript URI + data URI та сама ситуація.

Для цих атак непотрібно мати акаунт на сайті й немає значення чи увімкнена премодерація або плагін Akismet. Єдине що може захистити від цих атак - це капча в формі коментарів, причому надійна (або повне виключення коментарів, але з капчею можна продовжити використовувати цей функціонал). Таким чином капча захищає як від IAA, так і від Redirector та XSS уразливостей.

Уразливі WordPress 2.0 - 3.3.1.

В даній добірці уразливості в веб додатках:

• PyPAM — Python bindings for PAM - Double Free Corruption (деталі)
• Kongreg8 1.7.3 Mutiple XSS (деталі)
• FrameJammer DOM based XSS (деталі)
• Vulnerabilities in YVS Image Gallery (деталі)
• OSQA CMS v3b - Multiple Persistent Vulnerabilities (деталі)
• PyPAM vulnerability (деталі)
• Wolf CMS v0.7.5 - Multiple Web Vulnerabilities (деталі)
• ImgPals Photo Host Version 1.0 Admin Account Disactivation (деталі)
• moodle security update (деталі)
• movabletype-opensource security update (деталі)

16.04.2012

Ще 18.04.2008 я знайшов Cross-Site Scripting, Cross-Site Request Forgery та Arbitrary File Upload (Code Execution) уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це друга порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Раніше я писав про уразливості в Organizer для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&edit_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

Organizer XSS-2.html

Код виконається на сторінці users.php плагіна.

CSRF:

Через атаку на функцію Add/Edit User Setting можна додавати і редагувати налаштування. Додавання і редагування поєднані в один і той же POST запит.

POST запит на сторінці http://site/wp-admin/admin.php ?page=organizer/page/users.php (аналогічно експлоіту для XSS).

Через атаку на функцію Delete User Setting можна вадалити налаштування.

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=admin

Arbitrary File Upload (Code Execution):

Можливе необмежене завантаження файлів з виконанням коду (php файлів). Тому що в полі File extensions allowed можна вказати розширення скриптів, такі як “php”.

Так що окрім використання обхідних методів, таких як подвійні розширення (при нашаштуваннях плагіна по замовчуванню), можна змінити налаштування і задати “php” в дозволені розширення. Що дозволить завантажувати на сервер та виконувати довільні скрипти. Окрім проведення атаки на адміна через вищезгадану CSRF уразливість для зміни налаштувань (або отримання доступу до адмінського акаунту для цього), також для цього можна використати Insufficient Authorization уразливість (при наявності акаунта навіть з найменшими правами Subscriber).

Уразливі Organizer 1.2.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• VMware View privilege escalation and cross-site scripting (деталі)
• Multiple vulnerabilities in Elefant CMS (деталі)
• Multiple XSS in Chyrp (деталі)
• fex security update (деталі)
• Mobile Mp3 Search Engine HTTP Response Splitting (деталі)
• Stack Buffer Overflow in HTTP Manager (деталі)
• YVS Image Gallery Sql injection (деталі)
• Security advisory for Bugzilla 4.2 and 4.0.5 (деталі)
• CJWSoft ASPGuest GuestBook ‘edit.asp’ - SQL Injection Vulnerability (деталі)
• PHP Gift Registry 1.5.5 SQL Injection (деталі)

Раніше я писав в добірці уразливостей та добірці експлоітів про DoS уразливість в браузері Opera 10.10 знайдену Inj3ct0r. І от дослідивши сьогодні його експлоіт я виявив, що багато інших браузерів також уразливі до даної атаки (в тому числі більш нова версія Опери, в якій уразливість не була повністю виправлена).

Сьогодні я виявив Denial of Service уразливості в Mozilla Firefox, Microsoft Internet Explorer та Opera. Вони відноситься до типу вибиваючих DoS, блокуючих DoS та DoS через споживання ресурсів.

Експлоіт від Inj3ct0r схожий на експлоіти, що я розробив для Google Chrome та Mozilla Firefox в 2008 році. Атака в моїх експлоітах відбувалася через велику кількість вкладених marquee тегів, а у нього використовуються html, marquee та h1 теги, але суть атаки та сама - велика кількість вкладених тегів (зокрема marquee). Тоді я сповістив Google і Mozilla та розмістив Bug 454434 на Bugzilla Мозіли, але якщо Google виправила уразливість, то Mozilla не виправила дану уразливість.

DoS:

Моя версія експлоіта для різних браузерів. Цей експлоіт використовує JS, але атаку можна так само провести і без JS (як це показано в моєму експлоіті 2008 року).

Firefox, IE & Opera DoS Exploit.html

Даний експлоіт працює наступним чином:

• Mozilla Firefox 3.0.19 споживає ресурси (50% CPU і багато RAM) і вилітає.
• Mozilla Firefox 3.5.11 споживає ресурси (50% CPU і багато RAM) і вилітає.
• Mozilla Firefox 3.6.8 споживає ресурси (50% CPU і багато RAM) і вилітає.
• Mozilla Firefox 4.0 beta 2 зависає і споживає ресурси (50% CPU і багато RAM).
• Mozilla Firefox 11.0 зависає і споживає ресурси (50% CPU і багато RAM).
• Internet Explorer 6 зависає і споживає ресурси (50% CPU і багато RAM).
• Internet Explorer 7 зависає і споживає ресурси (50% CPU і багато RAM).
• Internet Explorer 8 лише споживає ресурси (50% CPU і багато RAM). Тобто в IE8 проблема вже частково виправлена Microsoft.
• Opera 10.62 зависає і споживає ресурси (50% CPU і багато RAM).
• Експлоіт не працює в браузері Google Chrome вже починаючи з версії 1.0.154.48. Гугл виправила уразливість з marquee тегом після мого повідомлення в 2008 році.

Уразливі Mozilla Firefox 3.0.19, 3.5.11, 3.6.8, 4.0 beta 2, 11.0, Internet Explorer 6 (6.0.2900.2180), Internet Explorer 7 (7.00.5730.13), Internet Explorer 8 (8.00.6001.18702) та Opera 10.62, а також повинні бути уразливими попередні версії даних браузерів. Інші браузери також можуть бути уразливими.

14.04.2012

Ще 27.09.2006 я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress (одразу як почав ним користуватися). Але довго відкладав публікацію інформації про дані уразливості. Це перша порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Стосовно уразливостей в плагінах для WP раніше я писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

POST запит на сторінці http://site/wp-admin/admin.php? page=organizer/page/users.php в полі “File extensions allowed”. Код виконається на сторінці users.php плагіна.

Organizer XSS-1.html

FPD:

http://site/wp-content/plugins/organizer/plugin_hook.php

http://site/wp-content/plugins/organizer/page/index.php

http://site/wp-content/plugins/organizer/page/dir.php

http://site/wp-content/plugins/organizer/page/options.php

http://site/wp-content/plugins/organizer/page/resize.php

http://site/wp-content/plugins/organizer/page/upload.php

http://site/wp-content/plugins/organizer/page/users.php

http://site/wp-content/plugins/organizer/page/view.php

Уразливі Organizer 1.2.1 та попередні версії.

Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив. Тому користувачам даного плагіна потрібно буде власноруч виправляти всі уразливості.

В даній добірці уразливості в веб додатках:

• Oracle Exadata Infiniband Switch default logins and world readable shadow file (деталі)
• CMS wizard Cross Site Scripting (деталі)
• F*EX (Frams’s Fast File EXchange) Cross Site Scripting Vulnerability (деталі)
• Aurora WebOPAC SQL Injection (деталі)
• XSS (CROSS SITE SCRIPTING VULNERABILITIES) (ZAPHOD BREEBLEBROX’S BLOCKER A.K.A. ZB BLOCK) (деталі)
• APPLE-SA-2012-03-07-2 iOS 5.1 Software Update (деталі)
• phpMyVisites 2.4 XSS (деталі)
• XWeavers (sysMsg.php?errMsg) Cross Site Scripting Vulnerabilities (деталі)
• Arte Dude (collections.php?id) (property.php?id) Remote SQL injection Vulnerability (деталі)
• Web Design Sydney (news-item.php?id) (news-item.php?newsid) Remote SQL injection Vulnerability (деталі)