Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• DUcalendar 1.0 (detail.asp iEve) Remote SQL Injection Vulnerability (деталі)
• MyPHP CMS 0.3.1 (page.php pid) Remote SQL Injection Vulnerability (деталі)
• Page Manager CMS Remote Arbitrary File Upload Vulnerability (деталі)
• Mambo Component Articles (artid) Blind SQL Injection Exploit (деталі)
• Jokes & Funny Pics Script (sb_jokeid) SQL Injection Vulnerability (деталі)
• mUnky 0.0.1 (index.php zone) Local File Inclusion Vulnerability (деталі)
• Webdevindo-CMS 0.1 (index.php hal) Remote SQL Injection Vulnerability (деталі)
• TOKOKITA (barang.php produk_id) Remote SQL Injection Exploit (деталі)
• Link ADS 1 (out.php linkid) Remote SQL Injection Vulnerability (деталі)
• XOOPS Module WF-Links <= 1.03 (cid) Remote BLIND SQL Injection Exploit (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://anycool-ua.com (хакером BLacK_Wh!TE) - 02.11.2008, зараз сайт вже виправлений адмінами
• http://gotel.lisichansk.com.ua (хакером c@p@noglu) - 31.10.2008, зараз сайт вже виправлений адмінами
• http://megayalta.com (хакером 3RqU) - причому спочатку сайт був похаканий 07.11.2008 хакером 3RqU, а 08.11.2008 похаканий Crazy-_-44 (зараз сайт вже виправлений адмінами). Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.arcgrants.info (хакером DEATH HACKER) - 26.09.2008, зараз сайт вже виправлений адмінами
• http://realmoon.org (хакером yabas38) - 03.11.2008, зараз сайт вже виправлений адмінами

До вже згаданої торік уразливості, що дозволяла виконання довільних команд в Mozilla Firefox, додам додаткову інформацію. Про можливість виконання коду через обробники URL в Mozilla Firefox і Thunderbird.

Уразливі продукти: Thunderbird 1.5, Firefox 2.0, Thunderbird 2.0, iceape 1.0, xulrunner 1.8, iceape 1.1.

У випадку, якщо для обробки URL типу mailto:, news:, nntp: та інших використовується Thunderbird, можливе впровадження шел-символів.

• Mozilla Foundation Security Advisory 2007-27 (деталі)
• Mozilla Foundation Security Advisory 2007-26 (деталі)
• Re: [Full-disclosure] Mozilla protocol abuse (деталі)
• Mozilla protocol abuse (деталі)
• Remote Command Exec (FireFox 2.0.0.5 et al) (деталі)
• [Full-disclosure] More URI Handling Vulnerabilites (FireFox Remote Command Execution) (деталі)

І хоча дані уразливості в Firefox та інших додатках Мозіли були виправлені в минулому році, але нещодавно були виявлені нові уразливості в Mozilla Firefox, Thunderbird, Seamonkey (які були виправлені в вересні). Серед них була нова подібна уразливість, що дозволяла виконання коду при запуску через обробник URI (при атаці з іншого браузеру на Firefox).

В даній добірці уразливості в веб додатках:

• Buffalo AirStation WHR-G54S CSRF vulnerability (деталі)
• SQL injection bug found in TBSource (деталі)
• xoops mylinks module - sql injection (деталі)
• li-guestbook sql inj (деталі)
• New phpmyadmin packages fix cross-site scripting (деталі)
• Lotfian BROCHURE Management System (деталі)
• IBM DB2 Buffer overflow in sysproc.auth_list_groups_for_authid (деталі)
• Free Forums “search” Sql Injection (деталі)
• MetaCart SQL Injection (деталі)
• DocuSafe “Search” SQL Injection (деталі)

У січні, 20.01.2008, я знайшов Cross-Site Scripting уразливість в системі Fusebox Framework. Про що найближчим часом сповіщу розробників системи.

XSS:

POST запит на сторінці http://site
<script>alert(document.cookie)</script>В полі: Search.

Уразливі потенційно всі версії Fusebox Framework.

Уразливість знайшов на офіційному сайті движка http://www.fusebox.org. Зараз уразливість на сайті не працює, тому що адміни поставили WAF dotDefender (в якому я також знаходив дірки, про що напишу окремо). Що не є оптимальним вибором, коли замість виправлення дірок ховаються за ВАФами. І після того як WAF буде обійдено, уразливості знову починають працювати.

Проводячи сьогодні дослідження уразливості на cpmstar.com, що я знайшов 19.01.2008, я виявив, що в Інтернеті дуже багато флешек з цією ж самою уразливістю. Всього в Інтернеті біля 215000 флеш файлів вразливих до Cross-Site Scripting (на більше 200000 сайтів).

Це видно з даних Google:

filetype:swf inurl:clickTAG

І це тільки ті флешки, що проіндексував Гугл, а реально їх може бути набагато більше. В результатах трапляються сайти з невразливими флешками (або сайти де вже немає згаданих флешек), але це поодинокі випадки, і майже всі сайти в результатах пошуку Гугла є вразливими. До речі, торік я вже писав, що 500000 flash файлів на популярних сайтах уразливі до XSS.

XSS:

Уразливість в наступному AS коді:

getURL(_root.clickTAG, "_blank");

Атака відбувається через передачу XSS коду flash файлу в параметрі clickTAG:

http://site/flash.swf?clickTAG=javascript:alert('XSS')

При кліку на флешку відбувається передача функції getURL рядку, що переданий флешці через параметр clickTAG. Таким чином може виконатися JS код, що був переданий флешці.

На http://server.cpmstar.com:

• alert(’XSS’)

Зазначу, що флешки з target = “_blank” (в getURL) не дозволяють дістатися до cookies. А також вони не працють в IE6. Якщо target заданий не “_blank” (або зовсім не вказаний), то тоді флешки дають можливість дістатися до кукісів в усіх браузерах (та працють в IE6).

Ось ще приклади вразливих флешек на трьох сайтах:

На http://www.banjohangout.org:

• alert(’XSS’)

На http://ad1.emediate.dk:

• alert(’XSS’)

На http://www.open4smart.eu:

• alert(’XSS’)

Існують подібні флешки, що використовують змінну clickTAG, з наступним AS кодом:

getURL(_root.clickTAG, _root.TargetAS);

Атака відбувається з використанням змінних clickTAG і TargetAS:

http://site/flash.swf?clickTAG=javascript:alert('XSS')&TargetAS=

На http://www.adspeed.com:

• alert(’XSS’)
• alert(document.cookie)
• цікавий

Це дозволяє дістатися до кукісів в усіх браузерах та атака нормально працює в IE.

Дані XSS - це strictly social XSS, про які я вже згадував стосовно уразливості на craigslist.org. Про даний клас уразливостей я ще розповім детально.

P.S.

Як я вияснив під час додаткових досліджень, при target = “_blank” (в getURL) можна дістатися до кукісів в Firefox 3. Тому при вказаному в флешці target = “_blank” до кукісів не можна дістатися в IE6 та Mozilla, зате можна дістатися до кукісів в Firefox 3 і можливо в інших браузерах.

01.05.2008

У жовтні, 11.10.2007, я знайшов Cross-Site Scripting, Abuse of Functionality та Information Leakage уразливості на сайті http://www.privatbank.ua. Про що найближчим часом сповіщу адміністрацію сайта банка.

В своєму виступі в телепередачі на Інтері, я розповідав про загрози фішингу, і користувачі банківських сайтів (особливо тих, що мають уразливості) є в групі найбільшого ризику. Раніше я вже писав про уразливість на сайті одного українського банку.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

12.11.2008

XSS:

• alert(document.cookie)

Дану уразливість ПриватБанк виправив, але інші виправляти не став.

Abuse of Functionality:

http://www.privatbank.ua/info/search/searchresult.stm?mode=name&title=*****
http://www.privatbank.ua/info/search/searchresult.stm?mode=name&title=

Дані запити призводять до перенавантаження сервера.

Information Leakage:

http://www.privatbank.ua/info/index1.stm?fileName=d2_2_1a_5_1r.html

На даній та на деяких інших сторінках сайта в коді сторінки (в коментарях) виводиться важлива інформація про БД. Зокрема ім’я сервера, ім’я бази даних та логін.

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Dagger CMS 2008 (dir_inc) Remote File Inclusion Vulnerability (деталі)
• ShareCMS 0.1 Multiple Remote SQL Injection Vulnerabilities (деталі)
• Relative Real Estate Systems <= 3.0 (listing_id) SQL Injection Vulnerability (деталі)
• Demo4 CMS 1b (fckeditor) Arbitrary File Upload Exploit (деталі)
• cmsWorks 2.2 RC4 (fckeditor) Remote Arbitrary File Upload Exploit (деталі)
• cmsWorks 2.2 RC4 (mod_root) Remote File Inclusion Vulnerability (деталі)
• Ourvideo CMS 9.5 (RFI/LFI/XSS) Multiple Remote Vulnerabilities (деталі)
• MM Chat 1.5 (LFI/XSS) Multiple Remote Vulnerabilities (деталі)
• Linksys WRT54G (firmware 1.00.9) Security Bypass Vulnerabilities (2) (деталі)
• E107 - (v0.7.8) Access Escalation Vulnerbility - PoC (деталі)

У січні, 19.01.2008, я знайшов Cross-Site Scripting уразливість на сайті http://cpmstar.com (зокрема на http://server.cpmstar.com). Про що найближчим часом сповіщу адміністрацію сайта.

Уразливість у флеш файлі 1499_728_90_games.swf, що розміщений на сайті (інші флешки також можуть бути вразливі).

XSS:

• alert(’XSS’)
• alert(document.cookie)
• цікавий

Це strictly social XSS, про які я ще розповім докладніше. Для виконання коду необхідно клікнути по флешці.

30.07.2008

Виявлена можливість підвищення привілеїв через MySQL.

Уразливі версії: MySQL 4.1, MySQL 5.0, MySQL 5.1, MySQL 6.0.

Можна вказати файл іншої бази даних у CREATE TABLE.

• CVE-2008-2079 (деталі)

11.11.2008

Додаткова інформація.

• CVE-2008-4097 (деталі)
• CVE-2008-4098 (деталі)
• New mysql-dfsg-5.0 packages fix authorization bypass (деталі)