Websecurity - Веб безпека

Ще 18.04.2008 я знайшов Insufficient Authorization, Cross-Site Request Forgery та Full path disclosure уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це третя порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив.

Раніше я писав про уразливості в Organizer для WordPress.

Insufficient Authorization:

Доступ до users.php та виконання всіх операцій дозволено будь-яким користувачам системи (навіть Subscriber).

http://site/wp-admin/admin.php?page=organizer/page/users.php

Можливий перегляд налаштувань, додавання, редагування та видалення налаштувань користувачів. Зокрема будь-який користувач (той же Subscriber) зможе задати, в тому числі для свого акаунту, дозволені розширення для завантаження файлів, наприклад, php.

В тому числі непривілегійований користувач може проводити Persistent XSS атаки на адміна (через дві раніше згадані Persistent XSS дірки). А також дана уразливість дозволяє проводити CSRF атаки (для зміни налаштувань) не тільки на адміна, а на будь-якого залогіненого користувача.

CSRF:

Увесь фунціонал плагіна вразливий до CSRF атак. Окрім раніше загадних CSRF в скрипті users.php, наприклад, в скрипті dir.php через CSRF можна створювати, переіменовувати та видаляти директорії (переіменовувати та видаляти можна лише пусті директорії). Для цього потрібно відправити три відповідних POST запити.

http://site/wp-admin/admin.php?page=organizer/page/dir.php

А в скрипті view.php через CSRF можна переіменовувати, копіювати та видаляти завантажені файли. Для цього потрібно відправити три відповідних POST запити.

http://site/wordpress/wp-admin/admin.php?page=organizer/page/view.php

FPD:

Скрипт http://site/wordpress/wp-admin/admin.php?page=organizer /page/view.php має вбудований функціонал (і уразливість) - виведення повного шляху на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• Cisco Unified Communications Manager Skinny Client Control Protocol Vulnerabilities (деталі)
• Multiple vulnerabilities in LEPTON (деталі)
• Multiple critical vulnerabilities in VOXTRONIC voxlog professional (деталі)
• SQL Injection Vulnerabilities in TestLink (деталі)
• Pandora FMS v4.0.1 - Local File Include Vulnerability + VD Session (деталі)
• Multiple Vulnerabilities in Cisco Wireless LAN Controllers (деталі)
• WebsiteBaker 2.8.2 SP2 HTTP-Referer XSS vulnerability (деталі)
• CubeCart 3.0.20 (3.0.x) and lower | Open URL Redirection Vulnerability (деталі)
• Dolphin 7.0.7 <= Multiple Cross Site Scripting Vulnerabilities (деталі)
• OxWall 1.1.1 <= Multiple Cross Site Scripting Vulnerabilities (деталі)

Ще 30.08.2007 я знайшов Full path disclosure уразливості, а сьогодні ще нові Full path disclosure та Cross-Site Scripting уразливості, на сайтах blog.meta.ua та market.auto.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на map.meta.ua.

Full path disclosure:

30.08.2007 мною були знайдені численні FPD на різних сайтах Мети, зокрема на blog.meta.ua. При цьому самі FPD на цих сайтах адміни Мети вже прибрали, але в кеші Гугла вони добре збереглися (зараз ясна річ тих FPD в кеші вже немає, зате є нові).

http://blog.meta.ua/ajax/fastenPost.php

/mnt/di1/apache/htdocs/weblog/ajax/fastenPost.php

А також на сторінці http://blog.meta.ua/ajax/addposttoc.php та багатьох інших сторінках сайта blog.meta.ua. А сьогодні я знайшов чергові FPD дірки, цього разу на market.auto.meta.ua. І знову на сайті вони вже прибрані, але в кеші Гугла (в коді сторінки) від 01.04.2012 вони все ще є.

Уразливості мають місце на сторінці http://market.auto.meta.ua/ua/
igrovi-prystavky/7611665-0/sony-playstation-2-black/ та інших сторінках сайта market.auto.meta.ua.

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Уразливості на сайтах Мети, зокрема такі як витоки інформації, навіть якщо адміни з часом їх приховають, все рівно стають доступними для всіх бажаючих у кешах пошуковців. А дана XSS досі висіть на сайті на протязі всього часу роботи цього сайта. І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

В даній добірці уразливості в веб додатках:

• Apache CXF does not validate UsernameToken policies correctly (деталі)
• SQL Injection Vulnerability in Batavi 1.1.2 (деталі)
• eFronts Community++ v3.6.10 - Cross Site Vulnerability (деталі)
• Cyberoam Central Console v2.00.2 - File Include Vulnerability (деталі)
• Multiple vulnerabilities in ZENphoto (деталі)
• Multiple Vulnerabilities in Cisco Unity Connection (деталі)
• sqlinjection bug in nova cms (деталі)
• eFront Community++ v3.6.10 - SQL Injection Vulnerability (деталі)
• ME Monitoring Manager v9.x; v10.x - Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in 11in1 (деталі)

В даній добірці уразливості в веб додатках:

• Denial of Service in libxslt, as used in Google Chrome before 17.0.963.46 (деталі)
• Multiple vulnerabilities in OSclass (деталі)
• Mibew messenger multiple XSS (деталі)
• Multiple vulnerabilities in postfixadmin (деталі)
• Multiple vulnerabilities in OSClass (деталі)
• Out-of-bounds read in libxslt (деталі)
• Security advisory for Bugzilla 4.2rc2, 4.0.4, 3.6.8 and 3.4.14 (деталі)
• Multiple vulnerabilities in OpenEMR (деталі)
• XSS phpLDAPadmin: 1.2.0.5 (Debian package) and 1.2.2 (sourceforge) (деталі)
• SimpleGroupware 0.742 Cross-Site-Scripting vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• RSA SecurID Software Token Converter buffer overflow vulnerability (деталі)
• Kloxo LxCenter Server CP v6.1.10 - Multiple Web Vulnerabilities (деталі)
• CubeCart 3.0.20 (3.0.x) and lower | Open URL Redirection Vulnerability (деталі)
• File Inclusion vulnerability in GLPI (деталі)
• Multiple Vulnerabilities in ELBA5 (деталі)
• Vulnerability in libxml2 (деталі)
• SolarWinds Storage Manager Server SQL Injection Authentication Bypass (деталі)
• Bart’s CMS - SQL Injection Vulnerability (деталі)
• SQL injection in Bigware shop software (деталі)
• CSRF (Cross-Site Request Forgery) in DClassifieds (деталі)

В даній добірці уразливості в веб додатках:

• Mozilla Foundation Security Advisory 2012-11 (libpng integer overflow) (деталі)
• Family Connections 2.7.2 Multiple XSS (деталі)
• XSS in OneOrZero AIMS (деталі)
• appRain CMF <= 0.1.5 (uploadify.php) Unrestricted File Upload Vulnerability (деталі)
• Webcalendar 1.2.4 ‘location’ XSS (деталі)
• Apache MyFaces information disclosure vulnerability (деталі)
• eFront Community++ v3.6.10 - Multiple Web Vulnerabilities (деталі)
• Dolibarr CMS v3.2.0 Alpha - File Include Vulnerabilities (деталі)
• OnxShop CMS v1.5.0 - Multiple Web Vulnerabilities (деталі)
• Dolibarr CMS v3.2.0 Alpha - SQL Injection Vulnerabilities (деталі)

В лютому була виявлена та оприлюднена у березні SQL Injection уразливість (обмежена до Information Leakage) в WordPress. А також цікава можливість виявлення кількості користувачів на сайті (через той же вразливий функціонал). Вони були знайдені HauntIT.

Раніше я вже писав про DoS уразливість в WordPress.

SQL Injection (Information Leakage):

Дана уразливість в profile.php в параметрі user_id дозволяє зареєстрованому користувачу з правами Subscriber та вище провести SQL Injection атаку. Вона обмежена лише можливістю отримати імена користувачів в системі, тобто це Information Leakage.

• WordPress 3.3.1 Post-Auth SQL Injection (деталі)
• WordPress 3.3.1 User Count Enumeration (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• Integer overflow in libpng, as used in Google Chrome before 17.0.963.56 (деталі)
• PHP code Injection in Kayako Support Suite (деталі)
• Information disclosure in Kayako Support Suite (деталі)
• Cross-Site Scripting in Kayako Support Suite (деталі)
• openttd security update (деталі)
• Integer signedness error in libpng, as used in Google Chrome before 17.0.963.83 and other products (деталі)
• ATutor 2.0.3 Multiple XSS vulnerabilities (деталі)
• BoltWire 3.4.16 Multiple XSS vulnerabilities (деталі)
• phpVideoPro Multiple XSS vulnerabilities (деталі)
• Beehive Forum 101 Multiple XSS vulnerabilities (деталі)

В WordPress 2.9, що вийшла 19.12.2009, як було заявлено розробниками системи, зокрема була виправлена Abuse of Functionality уразливість в WordPress. Що могла привести до DoS, а в деяких випадках до повного захоплення сайта (при наявності інсталятора на сайті). Розробники WP заявили, що вони зробили автоматичне виправлення таблиць в БД.

Але 24.03.2012 я знайшов Denial of Service уразливість в даному секюріті функціоналі движка, а потім також перевірив, що виправлення таблиць в БД не є автоматичним. Тільки адмін сайта, коли виявить, що його сайт не працює, понен сам вручну запустити виправлення таблиць (і щоб не використовувати інші програми, до WP був доданий зручний скрипт). Тобто AoF уразливість, про яку я писав в травні 2009, так виправлена не була. І все ще можливе проведення атак через неї.

В WP 2.9 і вище, скрипт repair.php - це захист проти моєї атаки на WP через атаку на MySQL. Який сам має DoS уразливість.

Раніше я вже писав про XSS та FPD уразливості в WordPress.

DoS:

Постійно відправляючи запити до скрипта http://site/wp-admin/maint/repair.php (функції “Repair Database” та “Repair and Optimize Database”) можна створити велике навантаження на сайт (і увесь сервер). І чим більше даних в БД сайта, тим більше навантаження від кожного запиту.

http://site/wp-admin/maint/repair.php?repair=1&_wpnonce=a4ca36d5ff
http://site/wp-admin/maint/repair.php?repair=2&_wpnonce=a4ca36d5ff

Атака спрацює лише при увімкненому WP_ALLOW_REPAIR в wp-config.php. Захист від CSRF (токенами) обходиться тим, що для використання цього функціоналу не потрібна авторизація. Тому можна віддалено отримати _wpnonce та провести DoS атаку.

Якщо до раніше згаданої AoF вразливі всі версії WordPress, то до DoS вразливі версії 2.9 - 3.3.1.