Websecurity - Веб безпека

07.10.2006

Можливий обхід open_basedir в PHP (PHP open_basedir protection bypass).

Використовуючи символьні лінки на протязі короткого періоду часу між перевіркою і відкриттям файлу, можливо обійти захист open_basedir.

• PHP open_basedir Race Condition Vulnerability (деталі)

09.10.2006

Уразливість стану операції в PHP. Уразливість дозволяє локальному користувачу обійти деякі обмеження безпеки.

Уразливі версії: PHP 5.1.x, PHP 5.0.x, PHP 4.4.x, PHP 4.3.x, PHP 4.2.x, PHP 4.1.x, PHP 4.0.x.

Уразливість стану операції існує через помилку при обробці символічних посилань. Зловмисник може обійти обмеження захисного механізму open_basedir і одержати доступ до довільних файлів на системі.

Способів усунення уразливості не існує в даний час. Як тимчасове рішення рекомендується заборонити функцію “symlink()” у конфігураційному файлі php.ini.

• Уязвимость состояния операции в PHP (деталі)

23.10.2006

Додаткова інформація:

• PHP open_basedir with symlink() function Race Condition PoC exploit (деталі)

29.09.2006

В минулому місяці, 25.08.2006, знайшов декілька нових уразливостей (Cross-Site Scripting, SQL DB Structure Extraction та SQL Injection) на популярному проекті http://www.cnews.ru. На цей раз на одному з проектів cnews.ru - http://zoom.cnews.ru. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

Я вже раніше писав про попередні уразливості на сайтах власників cnews.ru (Нові уразливості на www.cnews.ru та Уразливості на сайтах РБК). Які й досі не виправлені.

23.10.2006

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. Але не до кінця.

• alert(document.cookie)
• цікавий
• html включення

З невеличкою модифікацією, уразливість працює як і раніше.

XSS:

• alert(document.cookie)

На даній сторінці також можливі SQL DB Structure Extraction (в коді сторінки) та SQL Injection.

Останні три уразливості вже виправлені. Як мені повідомив адміністратор проекту (лише першу уразливість не повністю виправили).

В даній добірці уразливості в веб додатках:

• RedBloG 0.x Multiple Remote File Include (деталі)
• iyzi Forum s1 b2 (tr) SQL Injection Vulnerability (деталі)
• Web-News “content_page” File Inclusion Vulnerability (деталі)
• Local File Inclusion : Kietu (деталі)
• Remote File Include in syntaxCMS (деталі)
• Typo3 v4.x: XSS in extension “Indexed Search” v2.9.0 (деталі)
• wwwthreads <= 5.4.2 croos site script vulnerbilities (деталі)
• Opial Audio/MyPhotos<= Remote File Include Vulnerability (деталі)
• PHP-інклюдинг в Joomla Security Images (деталі)
• Directory traversal vulnerability in Scott Weedon Ajax Chat (деталі)

Знайдена уразливість в Apache mod_alias. Уразливі версії: Apache <= 2.2.3, Apache <= 2.0.59.

Уразливість дозволяє віддаленому користувачу обійти деякі обмеження безпеки.

Уразливість існує через помилку в модулі "mod_alias" при обробці чуттєвих до регістра аргументів директиви на файловій системі, не чуттєвої до регістра. У деяких випадках зловмисник може переглянути вихідний код сценаріїв у каталозі "cgi-bin", якщо директива ScriptAlias посилається на директорію усередині кореневого каталогу веб сервера і URL уведений прописними буквами (наприклад, "CGI-BIN").

Приклад уразливої конфігурації:
DocumentRoot "[path]/docroot/"
ScriptAlias /cgi-bin/ "/[path]/docroot/cgi-bin"

• Витік вихідних кодів скриптів в Apache для Windows (деталі)
• Обход ограничений безопасности в Apache “mod_alias” (деталі)

01.10.2006

Наприкінці серпня, 28.08.2006, я знайшов Cross-Site Scripting уразливість на відомому проекті http://lib.meta.ua - Бібліотека на Meta.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

22.10.2006

XSS:

• alert(document.cookie)

Уразливість вже виправлена.

Адміністраторам Мети потрібно буде зайнятися іншими уразливостями, про які я їм повідомив (Уразливості на meta.ua та Нові уразливості на meta.ua) і про які ще повідомлю іншим разом (Мета ще неодноразово з’явиться в мене в новинах).

В даній добірці експлоіти в веб додатках:

• exV2 <= 2.0.4.3 extract() Remote Command Execution Exploit (деталі)
• e-Vision CMS 2.0 (all_users.php) Remote SQL Injection Exploit (деталі)
• Eskolar CMS 0.9.0.0 (index.php) Remote SQL Injection Exploit (деталі)
• SyntaxCMS <= 1.3 (0004_init_urls.php) Remote File Include Vulnerability (деталі)
• Exponent CMS 0.96.3 stable (possibly other versions) “view” arbitrary local inclusion / remote commands xctn exploit (деталі)

В даній добірці експлоіти в веб додатках:

• exV2 <= 2.0.4.3 (sort) Remote SQL Injection Exploit (деталі)
• AllMyGuests <= 0.4.1 (cfg_serverpath) Remote File Include Vulnerability (деталі)
• Wili-CMS <= 0.1.1 (include/xss/full path) Remote Vulnerabilities (деталі)
• xweblog <= 2.1 (kategori.asp) Remote SQL Injection Vulnerability (деталі)
• MyReview 1.9.4 SQL Injection exploit (деталі)

Зворотній шлях в каталогах Macromedia Breeze (directory traversal). Який може бути використаним для розкриття інформації.

Уразливі версії: Macromedia Breeze 5.0, Macromedia Breeze 5.1 (Adobe).

• Macromedia Breeze URL Parsing Information Disclosure (деталі)

В даній добірці уразливості в веб додатках:

• Feedsplitter Script Insertion and Local File Inclusion (деталі)
• [PLESK 7.5 Reload] & [PLESK 7.6 for MS Windows] path passing and disclosure vulnerability (деталі)
• Squiz MySource Matrix Unauthorised Proxy and Cross Site Scripting (деталі)
• Google Mini Search Applicance Path Disclosure (деталі)
• jevoncms (.inc) Path Disclosure (деталі)
• Woltlab Burning Board 2.3.X SQL Injection Vulnerability (деталі)
• Eskolar CMS Remote Sql Injection (деталі)
• E-Vision CMS Multible Remote injections (деталі)
• Міжсайтовий скриптінг в Ajax Chat (деталі)
• PHP-інклюдинг в TeamCal (деталі)

Cross-Site Scripting стає все більш поширеним. В своєму записі XSS in Quicktime, як я давно планував розповісти, RSnake згадує про дослідження pdp, стосовно XSS в Quicktime роликах. Як повідомив автор дослідження, він виявив можливість включення коду в Quicktime файл, який будучі розміщеним на веб сторінці, приведе до виконання коду (XSS), при перегляді цієї сторінки відвідувачем.

Про сайт pdp та його дослідження, я вже згадував раніше (gnucitizen.org - блог про веб безпеку).

Зокрема я зверну увагу на дослідження pdp стосовно включення XSS коду в такі об’єкти як Flash та QuickTime:

• Backdooring Flash Objects (the receipt) (деталі)
• Backdooring QuickTime Movies (деталі)

Включення XSS в Flash та QuickTime дозволяє проводити серйозні атаки, і надає додаткових векторів для подібних атак (і може застосовуватися, там де є фільтрація XSS з інших джерел інформації).

Cross-Site Scripting у Flash, тепер ось в Quicktime. Що далі? Вектори XSS атак доволі різноманітні, про що я буду додатково розоповідати.