Websecurity - Веб безпека

Next participant of the project is Live Search’s captcha. Search.live.com is search engine of Microsoft, so it’s star captcha. Microsoft is very experienced developer of vulnerable software .

This captcha is using at Live Search URL Submission page and it’s vulnerable for MustLive CAPTCHA bypass method. This Insufficient Anti-automation hole I found 01.10.2007.

For bypassing captcha you need to use the same h and hip values many times (for every post).

Insufficient Anti-automation:

search.live.com CAPTCHA bypass.html

It is form request (via GET), and here is pure GET request:

http://search.live.com/docs/submit.aspx?h=MVL5Z&hip=E7EAFBA5A5F9446B84F77CDDBDC2B8B6&url=http://site

This exploit for educational purposes only.

Moral: never make such unreliable captchas.

31.07.2007

У січні, 13.01.2007, я знайшов Cross-Site Scripting та Full path disclosure уразливості на відомому проекті www.bbc.co.uk (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.

На ці уразливості звернув мою увагу мій друг Глум - він вислав мені лінку на XSS дірку на сайті BBC. А при її дослідженні я виявив ще одну дірку - окрім Cross-Site Scripting, ще й Full path disclosure.

Детальна інформація про уразливості з’явиться пізніше.

15.11.2007

XSS:

• alert(document.cookie)
• цікавий
• html включення

Full path disclosure:

http://www.bbc.co.uk/bbcone/listings/index.shtml?service_id=4223&DAY=today-

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• GeometriX Download Portal (down_indir.asp id) SQL Injection Vuln (деталі)
• PHP Real Estate Classifieds Remote File Inclusion Exploit (деталі)
• Ace-FTP Client 1.24a Remote Buffer Overflow PoC (деталі)
• Link Request Contact Form 3.4 Remote Code Execution Vulnerability (деталі)
• Safari 3 for Windows Beta Remote Command Execution PoC (деталі)
• XOOPS Module Horoscope 1.0 Remote File Inclusion Vulnerability (деталі)
• XOOPS Module TinyContent 1.5 Remote File Inclusion Vulnerability (деталі)
• Fuzzylime Forum 1.0 (low.php topic) Remote SQL Injection Exploit (деталі)
• Sitellite CMS <= 4.2.12 (559668.php) Remote File Inclusion Vulnerability (деталі)
• NukeSentinel 2.5.05 (nsbypass.php) Blind SQL Injection Exploit (деталі)

Продовжується Місяць багів в Капчах і вчора я опублікував нову уразливість.

На чотирнадцятий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі cgisecurity.com. Дана текстова Капча вразлива до сonstant value bypass method.

• MoBiC-14: cgisecurity.com CAPTCHA bypass (деталі)

Також я опублікував статтю Полювання на Капчі (Hunting for CAPTCHAs).

Очікуємо на наступний день Month of Bugs in Captchas.

Let’s examine methods of searching for vulnerable captchas. Main tool it is Google hacking - searching for vulnerabilities at sites using Google (this approach can be used and with others search engines). When vulnerable captcha was discovered, than good guys (with purpose to inform about availability of vulnerabilities) and bad guys (with purpose to use these vulnerabilities) can find sites with vulnerable captcha using search engines. So let’s examine ways of using Google hacking for searching for sites with vulnerable captchas of different types: text, logical and image (graphic).

Searching for vulnerable text captchas.

In case of text captchas they can be searched by text, which is near with captchas (via Google Search).

“into the textbox below” - up to 71000 results.

Taking into account that different captchas can use the same or similar text phrases, it’ll be not simple to find specific vulnerable captсha. For more precise results it’s need to specify search phrase.

Resistance: for resistance to this method it’s better to change default captcha’s phrases, then your site will be harder to find by presence of vulnerable captcha. But it’s better to use reliable captchas.

Searching for vulnerable logical captchas.

In case of logical captchas they can be searched by text, which is near with captchas (via Google Search).

“Check this box if you are not a spammer” - up to 12500 results.

Taking into account that different captchas can use the same or similar text phrases, it’ll be not simple to find specific vulnerable captсha. For more precise results it’s need to specify search phrase.

Resistance: for resistance to this method it’s better to change default captcha’s phrases, then your site will be harder to find by presence of vulnerable captcha. But it’s better to use reliable captchas.

Searching for vulnerable graphic captchas.

In case of graphic captchas for searching for sites with vulerable captchas there are two approaches.

1. They can be searched by text, which is near with captchas (via Google Search).

“Please enter the numbers you see below” - up to 39500 results.

This variant is not too precise, because different captchas can use the same or similar text phrases. So it’ll be not simple to find specific vulnerable captсha (but it is possible to search for different ones to find captchas with similar vulnerabilities).

Resistance: for resistance to this method it’s better to change default captcha’s phrases, then your site will be harder to find by presence of vulnerable captcha. But it’s better to not use vulnerable captchas.

2. They can be searched by their image (via Google Image Search).

Let’s view on example of captcha mt-scode:

mt-scode.cgi - up to 3340 results.

inurl:mt-scode.cgi - up to 3270 results.

This variant is more precise, because it’s allow to search for specific vulnerable captсha.

Resistance: for resistance to this method it’s better to change captcha’s filenames, then your site will be harder to find by presence of vulnerable captcha. But it’s better to not use vulnerable captchas.

Розглянемо методи пошуку вразливих капч. Головним іструментом є Гугл хакінг - пошук уразливостей на сайтах за домогою Гугла (даний підхід можна використовувати і з іншими пошуковими системами). Коли виявлена вразлива капча, то хороші хлопці (з метою повідомлення про наявність уразливостей) та погані хлопці (з метою використання цих уразливостей) можуть за допомогою пошукових систем знайти сайти з даною вразливою капчою. Тому розглянемо шляхи використання Гугл хакінга для пошуку сайтів з уразливими капчами різних типів: текстових, логічних та графічних.

Пошук вразливих текстових капч.

У випадку текстових капч їх можна шукати по тексту, котрий є поряд з капчами (через Google Search).

“into the textbox below” - до 71000 результатів.

Враховуючи, що різні капчі можуть використовувати однакові або схожі текстові фрази, буде не просто знайти конкретну вразливу капчу. Для точніших результатів потрібно уточнювати пошукову фразу.

Протидія: для протидії даному методу варто змінювати стандартні фрази капч, тоді ваш сайт буде важче знайти через наявність вразливої капчи. Але краще використовувати надійні капчі.

Пошук вразливих логічних капч.

У випадку логічних капч їх можна шукати по тексту, котрий є поряд з капчами (через Google Search).

“Check this box if you are not a spammer” - до 12500 результатів.

Враховуючи, що різні капчі можуть використовувати однакові або схожі текстові фрази, буде не просто знайти конкретну вразливу капчу. Для точніших результатів потрібно уточнювати пошукову фразу.

Протидія: для протидії даному методу варто змінювати стандартні фрази капч, тоді ваш сайт буде важче знайти через наявність вразливої капчи. Але краще використовувати надійні капчі.

Пошук вразливих графічних капч.

У випадку графічних капч для пошуку сайтів з уразливими капчами існує два підходи.

1. Можна шукати по тексту, котрий є поряд з капчами (через Google Search).

“Please enter the numbers you see below” - до 39500 результатів.

Даний варіант є не дуже точним, тому що різні капчі можуть використовувати однакові або схожі текстові фрази. Тому буде не просто знайти конкретну вразливу капчу (але можна шукати різні, щоб знайти капчі зі схожими вразливостями).

Протидія: для протидії даному методу варто змінювати стандартні фрази капч, тоді ваш сайт буде важче знайти через наявність вразливої капчи. Але краще зовсім не використовувати вразливих капч.

2. Можна шукати по їх зображенню (через Google Image Search).

Розглянемо на прикладі капчі mt-scode:

mt-scode.cgi - до 3340 результатів.

inurl:mt-scode.cgi - до 3270 результатів.

Даний варіант є більш точним, тому що дозволяє шукати конкретну вразливу капчу.

Протидія: для протидії даному методу варто змінювати імена файлів капч, тоді ваш сайт буде важче знайти через наявність вразливої капчи. Але краще зовсім не використовувати вразливих капч.

Next participant of the project is captcha at cgisecurity.com. Which is using at Submit News page and in Contact us form at every page of the site. It’s popular security site and it needs more reliable captcha.

This is text captcha and it is vulnerable for constant value bypass method. I already wrote about text logical captcha, and this is purely textual one. This Insufficient Anti-automation hole I found 19.10.2007.

Constant value bypass method is similar to MustLive CAPTCHA bypass method (the same value is sending many times). I wrote about this method in article MoBiC-03: Peter’s Custom Anti-Spam Image CAPTCHA bypass (in that case it was 10 values captcha and this time it is one value). This captcha has only one value so it can be easily bypassed. There are many captchas vulnerable for this method, image and text, this is textual one. Robert Auger is fun guy, he called it “Cheapest CAPTCHA ever” . Indeed it is cheapest, but also insecure.

For bypassing captcha you need to use the same “value” parameter value many times (for every post): send one the same word at both Submit News page and Contact us form. The most interesting that if you enter incorrect captcha or not enter it at all the message will be send and you’ll see that submission received (but as Robert said he will not receive the message if captcha will not be entered, so it’s better to send captcha’s value).

Insufficient Anti-automation:

cgisecurity.com CAPTCHA bypass.html

Guys not overdo with this Captcha bypass test. This exploit for educational purposes only.

Moral: never make such insecure captchas.

В даній добірці уразливості в веб додатках:

• webCMS_1.00 Database Disclosure Vulnerabilitiy (деталі)
• CommuniGate Pro web mail persistent cross-site scripting vulnerability (деталі)
• PeerCast streaming server submits cleartext password (деталі)
• Ublog Reload Admin Panel Multiple HTML Injections (деталі)
• Security Advisory for Bugzilla 2.20.3, 2.22.1, and 2.23.3 (деталі)
• Sun JDK/JRE: Multiple vulnerabilities (деталі)
• PHP remote file inclusion vulnerability in WebBuilder (деталі)
• Updated proftpd packages fix vulnerabilities (деталі)
• SQL injection vulnerability in Wallpaper Website (Wallpaper Complete Website) (деталі)
• Multiple SQL injection vulnerabilities in Wallpaper Website (Wallpaper Complete Website) (деталі)
• slackware-security: mozilla-firefox (деталі)
• SQL-ін’єкція в OmniStar Article (деталі)
• SQL injection vulnerability in Nivisec Hacks List (деталі)
• PHP remote file inclusion vulnerability in the Mermaid 1.2 module for PHP-Nuke (деталі)
• Міжсайтовий скриптінг в Wheatblog (деталі)

Продовжується Місяць багів в Капчах і сьогодні я опублікував нову уразливість.

На тринадцятий день Місяця багів в Капчах я опублікував інформацію про дірку в Капчі expert.com.ua. Дана текстова логічна Капча вразлива до MustLive CAPTCHA bypass method.

• MoBiC-13: expert.com.ua CAPTCHA bypass (деталі)

Очікуємо на наступний день Month of Bugs in Captchas.

Next participant of the project is captcha at expert.com.ua. Which is using in comment form at every news page of the site.

This is text logical captcha and it is vulnerable for MustLive CAPTCHA bypass method. There are many text captchas (I’ll write about some others text ones) and in this case it’s text logical, because it’s textual with logical task for the user like in logical ones (in this case it’s math task). This Insufficient Anti-automation hole I found 19.10.2007.

For bypassing captcha you need to use the same answer and cupnum values many times (for every post). This is classic MustLive CAPTCHA bypass method, which easily bypass text logical captchas.

Insufficient Anti-automation:

expert.com.ua CAPTCHA bypass.html

Guys not overdo with this Captcha bypass test. Not post too much at this site. This exploit for educational purposes only.

Moral: never make such unreliable captchas.