Websecurity - Веб безпека

Виявлена можливість обходу захисту safe_mode в PHP через модуль python.

Уразливі версії: PHP 5.2.x та попередні версії.

Модуль не забезпечує виконання обмежень safe_mode для коду python.

• php python extension safe_mode bypass (деталі)

В даній добірці уразливості в веб додатках:

• OpenBiblio 0.5.2-pre4 and prior multiple vulnerabilities (деталі)
• Multiple CSRF in Joomla all versions - Complete compromise (деталі)
• CA BrightStor ARCserve Backup Message Engine Insecure Method Exposure Vulnerability (деталі)
• NoseRub Login SQL Injection Vulnerability (деталі)
• CCMS v3.1 Demo <= SQL Injection Vulnerability 0day (деталі)
• CuteNews Arbitrary File Download AllVersion (деталі)
• Bitweaver source code disclosure, arbitrary file upload (деталі)
• milliscripts (dir.php) Cross-Site Scripting Vulnerability (деталі)
• Instant Softwares DatingSite SQL Injection (деталі)
• Nullsoft ShoutcastServer Persistant XSS - 0day (деталі)

У жовтні, 21.10.2008, я знайшов Cross-Site Scripting та Insufficient Anti-automation уразливості на сайті http://wordpress.org. Дві з них є уразливостями в bbPress, про які я розповідав учора, бо на сайті використовується даний форумний движок (WordPress і bbPress розроблений тими сами людьми).

Раніше я вже писав про уразливості на wordpress.org.

XSS (IE):

wordpress.org XSS.html

Insufficient Anti-automation:

На сайті на сторінці для відправки повідомлень (http://wordpress.org/report-bugs/) та на сторінці реєстрації (http://wordpress.org/support/register.php) немає захисту від автоматизованих запитів (капчі).

Окрім звичайних SQL ін’єкцій, які ви могли неодноразово зустрічати в багатьох веб додатках, які я назову Reflected SQL Injection, є також інший тип даного класу уразливостей, який я назвав Persistent SQL Injection. Назви цим двом типам SQL ін’єкцій я вибрав враховуючи особливості їх роботи та особливості проведення атак, що використовують дані уразливості.

Новий тип SQL ін’єкцій я відкрив в цьому місяці, коли виявив уразливості в плагіні CapCC для WordPress. Де серед інших дірок була й SQL ін’єкція, яка видрізнялася по особливостям своєї роботи від інших SQL ін’єкцій (що знаходять щодня в різних веб додатках).

Визначальною особливістю Persistent SQL Injection уразливостей є те, що після проведення одного запиту до сайту, атакуючий код заноситься в БД і в подальшому береться з БД для виконання SQL запитів. В процесі чого і виконується атакуючий код. І це відбувається постійно, тому я й назвав даний тип уразливостей Persistent SQL Injection.

Тобто, потрібно відправити лише один запит, після чого SQL команди будуть весь час виконуватися (доки вони будуть в БД) в процесі роботи системи.

Подібні SQL ін’єкції зручно використовувати для проведення атак, де потрібне постійне виконання деякого коду, наприклад, для DoS атак. Що я продемонстрував у випадку уразливості в CapCC. Використання даного типу уразливостей відбувається через CSRF атаку, за допомогою якої в БД заноситься атакуючий код, який в подальшому автоматично спрацьовує в процесі роботи системи.

Протидіяти подібним SQL Injection атакам важче, тому що потрібно переверяти не тільки вхідні дані від користувача, але й дані, що беруться з БД, чого програмісти за звичай не роблять, довіряючи даним з БД. До того ж, жоден WAF не виявить подібної уразливості. Тому потрібно проводити перевірку всіх даних перед виконанням SQL запитів.

18.07.2008

У жовтні, 28.10.2007, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на сайтах http://imu.org.ua (сайт виставки “Інтернет-маркетинг в Україні”) та http://mister-rich.com (онлайн магазин). Про що найближчим часом сповіщу адміністрації сайтів.

Про дірки на сайтах виставок я згадую регулярно - останній раз я писав про уразливість на www.itmg.com.ua. Про діряві сайти онлайн магазинів також - уразливість на bezpeka-shop.com.

Детальна інформація про уразливості з’явиться пізніше.

P.S.

Причина, чому я в одній новині пишу одразу про дірки на двох сайтах, полягає в тому, що на обох них використовується одна і та ж сама капча (дірява) - від mister-rich.com (XSS дірки свої на обох сайтах). Так було раніше, як я знайшов цю дірку - бо нещодавно я виявив, що адміни imu.org.ua відмовилися від цієї капчі . Мабудь зрозуміли (особливо після MoBiC), що ця капча дірява й неякісна. Зазначу, що цю саму діряву капчу я вже раніше зустрічав на іншому сайті, і про неї вже писав в новинах.

Ну, а на mister-rich.com дірява капча ще використовуються. До того ж, як повідомляється на сайті, їх форум був похаканий . Що не дивно, враховуючі дірки на сайті.

27.12.2008

Insufficient Anti-automation:

Уразливість в капчі на imu.org.ua та mister-rich.com. Дана капча вразлива до двох методів обходу: Code guessing bypass method та MustLive CAPTCHA bypass method. Саме ця дірява капча використовується на itua.info і про неї я вже писав в записі MoBiC-06: itua.info CAPTCHA bypass.

http://imu.org.ua

XSS (UXSS):

• alert(document.cookie)
• alert(document.cookie)
• цікавий

http://mister-rich.com

XSS:

• alert(document.cookie)

Дані уразливості на обох сайтах досі не виправлені.

В даній добірці експлоіти в веб додатках:

• ibase <= 2.03 (download.php) Remote File Disclosure Vulnerability (деталі)
• Atom PhotoBlog 1.1.5b1 (photoId) Remote SQL Injection Vulnerability (деталі)
• Live Music Plus 1.1.0 (id) Remote SQL Injection Vulnerability (деталі)
• FizzMedia 1.51.2 (comment.php mid) SQL Injection Vulnerability (деталі)
• Camera Life 2.6.2 (id) Remote SQL Injection Vulnerability (деталі)
• xrms 1.99.2 (RFI/XSS/IG) Multiple Remote Vulnerabilities (деталі)
• phpTest 0.6.3 (picture.php image_id) Remote SQL Injection Vulnerability (деталі)
• IceBB <= 1.0-RC9.2 Blind SQL Injection / Session Hijacking Exploit (деталі)
• phpWebNews 0.2 MySQL Edition (SQL) Insecure Cookie Handling Vulnerability (деталі)
• QuizShock 1.6.1 - Cross-Site Scripting Vulnerability (деталі)

У жовтні, 21.10.2008, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в bbPress. Це форумний движок від розробників WordPress. Дірки виявив на сайті, що використовує цей движок, та перевірив їх на офіційному сайті http://bbpress.org. Про що найближчим часом сповіщу розробників системи.

Insufficient Anti-automation:

На сторінці реєстрації http://site/path/register.php немає захисту від автоматизованих запитів (капчі).

XSS (IE):

Уразливість в bb-login.php в параметрі user_login.

bbPress XSS.html

Уразлива версія bbPress 0.9.0.3 та попередні версії.

Сьогодні вийшла нова версія програми MustLive/BPG MySQL Perl/CGI Client v1.07.

В новій версії 1.07:

• Виправив Full path disclosure уразливість.
• Додав в файл конфігурації опцію $show_errors для налаштування виведення детальної інформації про помилки в MySQL.
• Оптимізував програмний код.

Додаткова інформація про MySQL Perl/CGI Client в розділі Онлайн інструменти.

Нещодавно була виявлена можливість виконання коду в Google Chrome. Атака відбувається через Internet Explorer.

Уразливі версії: Google Chrome 1.0.154.36 та попередні.

При переході по лінці з URI chromehtml в IE відбувається запуск Chrome з можливістю одночасного виконання команди (наприклад, запуску довільного додатку). Атака подібна до виконання коду в Firefox через IE.

Уразливість перевірена (автором експлоіта) в Internet Explorer 8 beta 2 і Google Chrome 1.0.154.36. В мене на IE6 вона не працює. Вірогідно атака можлива лише на IE7 та IE8.

• Google Chrome Browser (ChromeHTML://) Remote Parameter Injection (деталі)

В даній добірці уразливості в веб додатках:

• Computer Associates BrightStor HSM r11.5 Multiple Vulnerabilities (деталі)
• CA BrightStor Hierarchical Storage Manager CsAgent Multiple Vulnerabilities (деталі)
• IPortalX Forums Cross-Site Scripting Vulnerability (деталі)
• XZero Community Classifieds <= v4.95.11 LFI & SQL Injection (деталі)
• Blakord Portal <= Beta 1.3.A (all modules) Blind Sql Injection (деталі)
• Confixx Professional RFI (деталі)
• IPortalX Forums Cross-Site Scriptin (деталі)
• Alcatel OmniPCX Enterprise VoIP Vulnerability (деталі)
• 2z-project 0.9.6.1 Multiple Security Vulnerabilities (деталі)
• FAQMasterFlexPlus multiple vulnerabilities (деталі)