Websecurity - Веб безпека

20.12.2011

У листопаді, 25.11.2011, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті https://www.allmoney.com.ua (іших дірок там також вистачає). Про що найближчим часом сповіщу адміністрацію сайта.

ALLmoney - це електронна платіжна система. При цьому з численними уразливостями на сайті. Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на easypay.ua.

Раніше на цьому домені знаходився дірявий сайт обмінника www.allmoney.com.ua, про одну зі знайдених мною уразливостей в якому я вже писав. В 2009 році вони продали домен і купили для свого обмінника новий домен. А нові власники allmoney.com.ua з часом запустили на ньому свою ЕПС, при цьому продовживши старі “діряві традиції”.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.04.2012

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

IAA:

В даній формі немає захисту від автоматизованих запитів (капчі).

https://www.allmoney.com.ua/reg/recover.php

Дані уразливості досі не виправлені. Що дуже несерйозно для електронної платіжної системи.

В лютому були виявлені та оприлюднені у березні Cross-Site Scripting та Full path disclosure уразливості в WordPress. Вони були знайдені HauntIT.

Раніше я вже писав про Persistent XSS уразливість в WordPress.

XSS (persistent):

Дана уразливість в post.php дозволяє зареєстрованому користувачу з правами Editor та вище провести Persistent XSS атаку. XSS код можна розмістити в полі content і він виконається на індексній сторінці та сторінці запису. Якщо для адміна підтримка всіх тегів - це звичайна практика і стандартний функціонал, то для Editor контент повинен бути обмежений. І вбудовані анти-XSS фільтри обмежують деякі вектори атак для менших ролей в системі, але не всі вектори й фільтри можуть бути обійдені.

FPD:

http://site/wp-admin/media-upload.php?type=image&tab=’&post_id=1

Одна з багатьох FPD в адмінці (про багато інших в попередніх версіях WP я писав раніше) - це уразливість в media-upload.php.

• WordPress 3.3.1 Post-Auth Cross Site Scripting (деталі)
• WordPress 3.3.1 Post-Auth Information Disclosure (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• Mercurycom MR804 Router - Multiple HTTP Header Fields Denial Of Service Vulnerability (деталі)
• Open Redirection Vulnerability in Orchard 1.3.9 (деталі)
• Remote Code Execution in ImpressPages CMS (деталі)
• Multiple critical vulnerabilities in Apache Struts2 (деталі)
• Ggb Guestbook - XSS Vulnerabilities (деталі)
• FreePBX Remote Exploit (деталі)
• VertrigoServ 2.25 Cross-Site-Scripting vulnerability (деталі)
• SQLiteManager 1.2.4 Multiple Cross-Site-Scripting vulnerabilities (деталі)
• Multiple Cross-Site-Scripting vulnerabilities in x3cms (деталі)
• Cross-Site Scripting in Kayako Support Suite (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Buddypress, Taggator та Another WordPress Classifieds Plugin. Для котрих з’явилися експлоіти. Buddypress - це плагін для створення соціальної мережі на сайті на WP, Taggator - це плагін для автоматичного тагування, Another WordPress Classifieds Plugin - це плагін для створення локальної рекламної системи.

• SQL injection in Wordpress plugin Buddypress (деталі)
• Wordpress taggator plugin Sql Injection Vulnerabilities (деталі)
• Vulnerability in Another WordPress Classifieds Plugin for WordPress (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP Network Automation Running on Linux, Solaris, and Windows, Remote Unauthorized Access (деталі)
• Security advisory for Bugzilla 4.2rc1, 4.0.3, 3.6.7 and 3.4.13 (деталі)
• OpenKM 5.1.7 Privilege Escalation (деталі)
• OpenKM 5.1.7 OS Command Execution (XSRF based) (деталі)
• Tinyguestbook XSS (деталі)
• mutant200s DreamBox Arbitrary File Download Vulnerability (деталі)
• Bugzilla: Cross-Site Scripting in Chart Generator (деталі)
• SQL Injection Vulnerability in OpenEMR 4.1.0 (деталі)
• Cross-Site Scripting Vulnerability in Textpattern Content Management System (деталі)
• Multiple vulnerabilities in ImpressCMS (деталі)

В даній добірці уразливості в веб додатках:

• RSA, The Security Division of EMC, announces security fixes for RSA enVision (деталі)
• mediawiki security update (деталі)
• Multiple vulnerabilities in PHPShop CMS Free (деталі)
• Tiki Wiki CMS Groupware Stored Cross-Site-Scripting (деталі)
• Multiple vulnerabilities in epesi BIM (деталі)
• NX Web Companion Spoofing Arbitrary Code Execution Vulnerability (деталі)
• Cross-Site Scripting Vulnerability in phpMyAdmin (деталі)
• Tiki Wiki CMS Groupware <= 8.2 (snarf_ajax.php) Remote PHP Code Injection (деталі)
• cacti security update (деталі)
• Winn Guestbook v2.4.8c Stored XSS (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Flexible Custom Post Type, Dean’s With Pwwangs Code та WordPress Integrator. Для котрих з’явилися експлоіти. Flexible Custom Post Type - це плагін для створення довільних типів постів та довільних таксономій, Dean’s With Pwwangs Code - це плагін для заміни вбудованого редактора WP на FCKeditor with pwwang’s code, WordPress Integrator - це плагін для виведення статистики движка на не WP частинах сайта або зовнішніх ресурсах.

• wordpress Flexible Custom Post Type plugin Xss Vulnerabilities (деталі)
• WordPress Deans With Pwwangs Code Shell Upload (деталі)
• WordPress Integrator 1.32 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Citrix Receiver, XenDesktop “Pass-the-hash” Attack (деталі)
• Owl Intranet Engine: Information Disclosure and Unsalted Password Hashes (деталі)
• Seotoaster SQL-Injection Admin Login Bypass (деталі)
• Multiple vulnerabilities in Browser CRM (деталі)
• Novell Sentinel Log Manager <=1.2.0.1 Path Traversal (деталі)
• D-Link DIR-601 TFTP Directory Traversal Vulnerability (деталі)
• appRain CMF v0.1.5 - Multiple Web Vulnerabilities (деталі)
• SASHA v0.2.0 Mutiple XSS (деталі)
• PHP Booking Calendar 10e XSS (деталі)
• dtc security update (деталі)

15.12.2011

У листопаді, 09.11.2011, я знайшов Full path disclosure, Cross-Site Scripting та Brute Force уразливості на сайті http://a1market.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно дірок на сайтах онлайн магазинів в останнє я писав про уразливості на norma.kiev.ua.

Детальна інформація про уразливості з’явиться пізніше.

30.03.2012

FPD:

http://a1market.com.ua/1/

http://a1market.com.ua/frontend/1

http://a1market.com.ua/library/Zend/Controller/Front.php

http://a1market.com.ua/library/Zend/Application/Bootstrap/Bootstrap.php

http://a1market.com.ua/application/Bootstrap.php

XSS:

• alert(document.cookie)

Атака можлива через параметри mode та xmlpath.

Brute Force:

http://a1market.com.ua/admin/

Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Total Defense Suite UNC Management Console ExportReport SQL Injection Vulnerability (деталі)
• WikkaWiki <= 1.3.2 Multiple Security Vulnerabilities (деталі)
• PHP Inventory 1.3.1 Remote (Auth Bypass) SQL Injection Vulnerability (деталі)
• Ariadne 2.7.6 Multiple XSS vulnerabilities (деталі)
• Database information disclosure in Kayako Fusion (деталі)
• HP Data Protector Media Operations, Remote Execution of Arbitrary Code (деталі)
• Cross-Site Scripting vulnerabilities in Nagios XI < 2011R1.9 (деталі)
• Privilege escalation vulnerabilities in Nagios XI installer < 2011R1.9 (деталі)
• PHP-SCMS 1.6.8 “lang” parameter XSS vulnerability (деталі)
• Owl Intranet Engine: Authentication Bypass (деталі)