Websecurity - Веб безпека

New bonus vulnerabilities at MSN. These Cross-Site Scripting holes I found 02.06.2007 and they are also interesting XSS. I found them when I looked for another holes for the project, after Microsoft untimely fixed one that I prepared. Microsoft need to behave itself properly (when participating in the project) and not do such lame things (holes need to be fixed in right time).

The holes at another MSN’s project (autos.msn.com) in search functions (Car Dealer Listings and Used Car Listings). But these two vulnerabilities are the same as MOSEB-05: Vulnerability at shopping.msn.com. These XSS hole based on my Expressive comments space-hack filters bypass technique.

XSS:

• alert(document.cookie) (for IE)
• alert(document.cookie) (for IE)
• redirector (for IE)

The vulnerability is in zip parameter (in both scripts):
http://autos.msn.com/newcar/default.aspx?zip=%22%3C/img%20style=%22xss:e/**/xpression(alert%20(document.cookie))%22%3E

Moral: searching for autos can be dangerous.

P.S.

About Expressive comments filters bypass technique.

This technique (and their advanced version Expressive comments space-hack filters bypass) design for XSS attacks. It makes possible XSS holes at .NET sites in IE browser. It can be used to bypass .NET filters for realization of XSS attacks (these holes at MSN is just some examples).

You can read extra about this technique at ha.ckers.org (about Arian Evans’ work, who independently from me developed the same technique). Owners of .NET sites need to take care of their projects and fix this type of vulnerabilities.

Next participant of the project is MSN. It is 3rd of the top search engines in world (in this case the hole is in one of MSN’s projects). Last time about Microsoft search engine I wrote in article Vulnerabilities at search.live.com.

The vulnerability is in search at MSN Shopping (shopping.msn.com). This Cross-Site Scripting hole I found 16.05.2007 and it is very interesting hole.

There is only one moment - Microsoft fixed this vulnerability before this official disclosure. As I checked this hole at 1st of June, when I was sending notifications to search engines vendors, I found that MS fixed this hole (which was planned for MOSEB). It was bad move from them, because when you are in project, holes need to be fixed in time, not untimely. But I found two others holes at MSN (and they are still working), so MS will be in my project certainly (with working XSS).

XSS:

• alert(document.cookie) (for IE)

The vulnerability is in text parameter:
http://shopping.msn.com/noresults/shp/?text=%3C/img%20style=%22xss:e/**/xpression(alert%20(document.cookie))%22%3E

This technique I called Expressive comments filters bypass (using /**/ trick in expression). And it is even more advanced technique, because MS filtered “alert(document.cookie)”, and I used space between alert and bracket - “alert%20(document.cookie)” (this is another variant of my space-hack technique, which I intoduced in Month of MySpace Bugs in MOMBY-00001011 bug). So I called it Expressive comments space-hack filters bypass technique.

Moral: searching for shopping can be dangerous.

P.S.

I prepared two others holes at MSN. So wait for today’s bonus post Microsoft can’t hide from me, the time has come for vulnerabilities at their sites.

В даній добірці уразливості в веб додатках:

• TextSend <= 1.5 (config/sender.php) Remote File Include Vulnerability (деталі)
• PowerClan <= 1.14a (footer.inc.php) Remote File Include Vulnerability (деталі)
• PgmReloaded <= 0.8.5 Multiple Remote File Include Vulnerabilities (деталі)
• Newxooper-php v0.9.1(chemin) Remote File Include Vulnerabilty (деталі)
• PHPBuilder v0.0.2 Remote File Disclosure Vulnerability (деталі)
• @Mail WebMail Cross Site Scripting Vulnerabilitity (деталі)
• PHP remote file inclusion vulnerability in BolinOS (деталі)
• PHP-інклюдинг в BP News (деталі)
• Fedora Core 5 Update: ruby-1.8.5.2-1.fc5 (деталі)
• Розкриття даних в TIBCO Rendezvous (деталі)

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нову уразливість.

На четвертий день Місяця багів в Пошукових Системах я опублікував одну Cross-Site Scripting уразливість. Цього разу інформація про дірку в пошуковій системі Gigablast.

• MOSEB-04: Vulnerability at www.gigablast.com (деталі)

XSS уразливість в скрипті додання URL до бази пошуковця.

Очікуємо на наступний день Month of Search Engines Bugs.

Next participant of the project is Gigablast search engine. It is one of the popular search engines (as I found out in Internet).

The vulnerability is at Gigablast (www.gigablast.com) in Add a Url script. This Cross-Site Scripting hole I found 23.05.2007.

XSS:

• alert(document.cookie)
• redirector
• html injection (PR5)

The vulnerability is in u parameter:
http://www.gigablast.com/addurl?u=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Also page with html injection hole has PR5. So black seo guys can be happy.

Moral: adding url into search engines can be dangerous.

Численні доповнення до браузера Firefox можуть стати новим вектором для хакерських атак, оскільки містять власні системи автоматичного оновлення, стверджує кандидат наук університету Індіани Кріс Согойан.

На відміну від шифрованого завантаження оновлень через хостінг на серверах Firefox по протоколу SSL модулі, що самостійно обновляються, завантажуються по нешифрованих каналах. А це означає, що хакери можуть перехопити трафік, наприклад Wi-Fi, і підставити замість оновлення шкідливий код.

Дослідник стверджує, що уразливі навіть самі популярні доповнення: Google Toolbar, Google Browser Sync, Yahoo Toolbar, Del.icio.us, Facebook Toolbar, AOL Toolbar, Ask.com Toolbar та інші.

Google Toolbar у цьому списку є самим потенційно небезпечним: він завантажує власні оновлення без оповіщення користувача.

За словами Дена Ведіца, члена команди безпеки Mozilla, компанія вже включила в документацію для розробників пораду обновляти свої продукти через захищене з’єднання. Ведіц сказав, що Mozilla стурбована питанням безпеки браузера і має намір у новій версії, Firefox 3, блокувати всі незахищені оновлення в доповненнях. Браузер повинний вийти наприкінці року.

По матеріалам http://www.securitylab.ru.

В даній добірці експлоіти в веб додатках:

• uniForum <= v4 (wbsearch.aspx) Remote SQL Injection Vulnerability (деталі)
• Jshop Server 1.3 (fieldValidation.php) Remote File Include Vulnerability (деталі)
• eIQnetworks Network Security Analyzer Null Pointer Dereference Exploit (деталі)
• VP-ASP Shopping Cart 6.09 (SQL/XSS) Multiple Remote Vulnerabilities (деталі)
• Article System 0.1 (INCLUDE_DIR) Remote File Include Vulnerabilities (деталі)
• TLM CMS <= 1.1 (i-accueil.php chemin) Remote File Include Vulnerability (деталі)
• LunarPoll 1.0 (show.php PollDir) Remote File Include Vulnerability (деталі)
• Coppermine Photo Gallery <= 1.4.10 SQL Injection Exploit (деталі)
• PoC for Rumpus FTP-server (деталі)
• @lex Guestbook <= 4.0.2 Remote Command Execution Exploit (деталі)

Продовжується Місяць багів в Пошукових Системах і сьогодні я опублікував нові уразливості.

На третій день Місяця багів в Пошукових Системах я опублікував три уразливості: одну Cross-Site Scripting та дві постійні XSS. Цього разу інформація про дірки в пошуковій системі HotBot.

• MOSEB-03: Vulnerability at www.hotbot.com (деталі)
• MOSEB-03 Bonus: Persistent XSS at hotbot.com (деталі)

Перша уразливість в пошуковці - це звичайна XSS. А от дві наступні більш цікаві - це постійні XSS (використовується CSRF + XSS атака).

Очікуємо на наступний день Month of Search Engines Bugs.

New bonus vulnerabilities at www.hotbot.com. These Cross-Site Scripting holes I found yesterday, 02.06.2007 (when I decided to make a bonus bug for you for 3rd day of the project), and these are persistent XSS.

The holes at main domain of search engine http://www.hotbot.com, like MOSEB-03: Vulnerability at www.hotbot.com, but these vulnerabilities (two holes) are much more interesting. This is a complex CSRF + XSS attack which make these persistent XSS working.

CSRF + XSS:

• alert(document.cookie) (1st hole)
• alert(document.cookie) (2nd hole)
• redirector (2nd hole)

The vulnerability is in prefs_filters.php script (in dfi and dfe parameters) which designed to save filters. And this function can be used to attack engine’s visitors:
http://www.hotbot.com/prefs_filters.php?prov=ask&add_domain=on&dfi=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&save=web

First you use CSRF (for example via frame or iframe tag) to save XSS code (into user’s cookie). And then user must go to http://www.hotbot.com (you may trick him to visit the site) to execute XSS hole.

Moral: even visiting main page of search engine can be dangerous.

Note, that HotBot belongs to Lycos. So Lycos also responsible for these vulnerabilities.

Next participant of the project is HotBot search engine. It is one of the popular search engines and it is meta engine, so it use Ask and MSN engines directly for searching.

The vulnerability is in HotBot Web Search (www.hotbot.com). This Cross-Site Scripting hole I found 23.05.2007.

XSS:

• alert(document.cookie)
• redirector
• html injection (PR8)

The vulnerability is in query parameter:
http://www.hotbot.com/?query=%3C/title%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Also page with html injection hole has PR8. It is a dream (and with me dreams come true). And this is best choice for black seo guys .

Moral: searching in meta engines can be dangerous.

Note, that HotBot belongs to Lycos. So Lycos also responsible for this hole. And don’t worry guys, Lycos will also be in MOSEB.

P.S.

Also I prepared another (and more interesting) hole at www.hotbot.com. So wait for today’s bonus post .