Websecurity - Веб безпека

24.11.2008

У січні, 22.01.2008, я знайшов Insufficient Anti-automation та Full path disclosure уразливості на проекті http://www.developers.org.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.04.2009

Insufficient Anti-automation:

Уразливість в капчі на сторінках записів. Яка вразлива до Constant values bypass method, що я описав в проекті Місяць багів в Капчах.

Для атаки потрібно посилати одне і те саме значення параметра dumb_captcha (dumb_captcha = 9).

Full path disclosure:

http://www.developers.org.ua/wordpress/wp-content/plugins/dumb_captcha.php

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• Iamma Simple Gallery 1.0/2.0 Arbitrary File Upload Vulnerability (деталі)
• txtshop 1.0b (language) Local File Inclusion Vulnerability (win only) (деталі)
• SilverSHielD 1.0.2.34 (opendir) Denial of Service Exploit (деталі)
• CSPartner 1.0 (Delete All Users/SQL Injection) Remote Exploit (деталі)
• freeSSHd 1.2.1 sftp realpath Remote Buffer Overflow PoC (auth) (деталі)
• YDC (kdlist.php cat) Remote SQL Injection Vulnerability (деталі)
• DorsaCms (ShowPage.aspx) Remote SQL Injection Vulnerability (деталі)
• Joomla Component ionFiles 4.4.2 File Disclosure Vulnerability (деталі)
• LoudBlog <= 0.8.0a (ajax.php) SQL Injection Vulnerability (auth) (деталі)
• phpcrs <= 2.06 (importFunction) Local File Inclusion Vulnerability (деталі)
• Joomla Component RWCards 3.0.11 Local File Inclusion Vulnerability (деталі)
• miniPortail <= 2.2 (XSS/LFI) Remote Vulnerabilities (деталі)
• MindDezign Photo Gallery 2.2 Arbitrary Add Admin Exploit (деталі)
• MindDezign Photo Gallery 2.2 (index.php id) SQL Injection Vulnerability (деталі)
• KAPhotoservice - Remote SQL Injection Exploit (деталі)

Продовжуючи тему редиректорів в CMS пропоную вам нову добірку редиректорів.

В даних записах я наводжу приклади редиректорів в різних CMS (та інших веб додатках). Дані уразливості можна виявити майже на всіх сайтах, що використовують зазначені системи.

Редиректори в CMS движках:

Bitrix:

• http://www.securitylab.ru/…goto=http://websecurity.com.ua
• http://www.securitylab.ru/…goto=http://websecurity.com.ua
• http://www.securitylab.ru/…goto=http://websecurity.com.ua

Про редиректори на www.securitylab.ru я вже писав в 2007 році.

Openads / OpenX:

• http://ads.fraza.ua/…ck.php?dest=http://websecurity.com.ua

TYPO3 CMS:

• http://www.viland.ua/…?jumpurl=http://websecurity.com.ua

Розмістив на сайті всі три відео з моїми виступами на ТБ (aka ТВ) в 2008 році. Їх ви зможете переглянути через мій зручний flv плеєр.

22.02.2008 я знявся для телепередачі телеканалу 1+1. Раніше дане відео розміщувалося на ubr.ua та використовувало їхній не дуже зручний flv плеєр. Але зараз, як я вияснив, дане відео більше не доступне на ubr.ua, тому я виклав його в себе на сайті. І його ви зможете подивитися через мій flv плеєр.

05.03.2008 я знявся для телепередачі телеканалу Інтер.

А 14.09.2008 я знову знявся для телепередачі телеканалу 1+1.

Останні два відео не були мені доступні. У вересні минулого року я знайшов можливість дістати їх на одному сайті, але тільки я взявся за це, то власники сайта саме тоді прибрали доступ на сайті до каналів 1+1 та Інтер. Але нарешті в цьому місяці я знайшов дані записи в Інтернеті.

Дістати дані відео ролики виявилося кропотливою справою . Спочатку довелося обійти обмеження на доступ до того сайту. Потім довелося стикнутися з тим, що програма, яку я дістав у вересні 2008, не може дістати відео з даного сайту - що я теж вирішив (за допомогою програми, що записує відео під час перегляду в браузері). Але потім виявилося, що жодна з моїх програм для конвертації в flv не може працювати з відео файлами записаними попередньою програмою. Цю проблему я також вирішив . Після чого я розмістив усі три відео на сайті.

Відео розміщені на відповідних сторінках з новинами про мої виступи на ТБ.

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information disclosure уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: unable to open stream

Warning: chdir

Warning: checkdate

Warning: checkdnsrr

Warning: chgrp

Warning: chmod

Warning: chown

Warning: chunk_split

Warning: clearstatcache

Warning: closedir

В даній добірці уразливості в веб додатках:

• Infinite invalid authentication attempts possible in BEA WebLogic Server (деталі)
• webutil.pl is still vulnerable against Remote Command Execution (деталі)
• DotNetNuke Default Machine Key Exposure (деталі)
• Баг в модулі CMS DataLife Engine (деталі)
• ZyXEL Gateways Vulnerability Research (деталі)
• phpAddressBook v2.11 Multiple Local File Inclusion Vulnerabilities (деталі)
• New serendipity packages fix cross site scripting (деталі)
• HIS-webshop is vulnerable against Directory-Traversal (www.shoppark.de) (деталі)
• RFI-LFI in PowerClan 1.14a (деталі)
• Multiple LFI in PowerPHPBoard 1.00b (деталі)

У березні, 23.03.2009, я виявив Redirector уразливість, в вчора ще Cross-Site Scripting уразливість в форумному движку vBulletin. Про що найближчим часом повідомлю розробникам веб додатку.

XSS уразливість в vBulletin я виявив на сайті domaintimes.net. Redirector уразливість я перевірив на версіях vBulletin 3.7.0 Beta 5 та 3.7.4. XSS працює в 3.7.0 Beta 5, але вже виправлена в 3.7.4.

Redirector:

http://site/redirector.php?url=http://websecurity.com.ua

XSS:

http://site/redirector.php?url=javascript:alert(document.cookie)

До XSS уразливі vBulletin 3.7.0 Beta 5 та попередні версії, а також потенційно деякі наступні версії. До Redirector вразливі потенційно всі версії vBulletin.

Ведучі телевізійної програми BBC Click змогли інфікувати спеціально розробленим трояном понад 22 тисяч комп’ютерів. Зараження реалізовувалося через інтернет-чати і було покликано показати легкість подібних маніпуляцій у сучасній Мережі, а також показати серйозність подібних загроз.

Як повідомляється, у ході даного експерименту інфікованим машинам була одночасно віддана команда про розсилку спама на 2 тестові електронні поштові адреси. На протязі декількох годин у ці скриньки прийшло понад тисячу листів.

Друга частина експерименту програми Click передбачала присутність експертів з компанії Prevx, що спеціалізується на комп’ютерній безпеці. Спільно вони реалізували DDoS-атаку на попередньо підготовлений сайт. Для того щоб забити канали сервера знадобилося всього 60 комп’ютерів. Після закінчення експерименту, “піддослідним” користувачам порекомендували посилити захист комп’ютерів, а всі шкідливі коди з їхніх машин були знищені, про що співробітники Click офіційно повідомили.

По матеріалам http://itua.info.

23.09.2007

Ще раз продовжу тему уразливостей на сайтах українських спецслужб. Після вчорашніх уразливостей на www.sbu.gov.ua (СБУ), перейдемо до сайта Служби Зовнішньої Розвідки України (СЗРУ).

В січні, 08.01.2007 (а також додатково сьогодні), я знайшов Cross-Site Scripting уразливості на http://www.szru.gov.ua - сайті Служби Зовнішньої Розвідки України. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

10.04.2009

XSS:

• alert(document.cookie)
• alert(document.cookie)

Дані уразливості вже виправлені. Причому виправили вони їх доволі швидко.

Але 30.09.2007 я знайшов на сайті СЗРУ ще 4 нові уразливості - 2 XSS та 2 SQL Injection, про які також повідомив адміна сайта спецслужби. І якщо обидві XSS дірки були виправлені, то з двох SQL ін’єкцій була виправлена лише одна. Інша SQL Injection не була виправлена і вона працює й досі.

Враховуючи, що працівники СЗРУ наполегливо не хотіли прибирати цю дірку, я в 2008 році написав про неї СБУ, щоб ті поговорили зі своїми колегами з СЗРУ і переконали їх виправити дірку. Але СБУ проігнорували мій лист, так само як і випадку дірок на їхньому сайті, і дана дірка на www.szru.gov.ua працює й досі. Єдине, що рятує СЗРУ від взлому їхнього сайта, це те, що в них на сайті використовується MySQL 3.23.58 . Але небезпека DoS атак на сайт (через SQL Injection) залишається.

В даній добірці експлоіти в веб додатках:

• Fast Click SQL 1.1.7 Lite (init.php) Remote File Inclusion Vulnerability (деталі)
• yappa-ng <= 2.3.3-beta0 (album) Local File Inclusion Vulnerability (деталі)
• e107 <= 0.7.13 (user_hidden_fields) Remote Blind SQL Injection Exploit (деталі)
• WBB Plugin rGallery 1.09 (itemID) Blind SQL Injection Exploit (деталі)
• Vivvo CMS <= 3.4 Multiple Vulnerabilities Destroyer Exploit (деталі)
• Joomla Component Nice Talk (tagid) SQL Injection Vulnerability (деталі)
• Joomla Component ds-syndicate (feed_id) SQL Injection Vulnerability (деталі)
• XOOPS Module makale Remote SQL Injection Vulnerability (деталі)
• Wysi Wiki Wyg 1.0 (LFI/XSS/PHPInfo) Remote Vulnerabilities (деталі)
• Limbo CMS (Private Messaging Component) SQL Injection Vulnerability (деталі)
• LightBlog 9.8 (GET,POST,COOKIE) Multiple LFI Vulnerabilities (деталі)
• freeSSHd 1.2.1 sftp rename Remote Crash Exploit (деталі)
• ShopMaker 1.0 (product.php id) Remote SQL Injection Vulnerability (деталі)
• Joomla Component Daily Message 1.0.3 (id) SQL Injection Vuln (деталі)
• Exploits PEEL CMS Admin Hash Extraction and Remote Upload (деталі)