Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• fuzzylime cms 3.03 (track.php p) Local File Inclusion Vulnerability (деталі)
• Clean CMS 1.5 (full_txt.php id) Blind SQL Injection Exploit (деталі)
• WebStudio CMS (pageid) Remote Blind SQL Injection Vuln (mil mixup) (деталі)
• Post Affiliate Pro v.3 (umprof_status) Blind SQL Injection Vulnerability (деталі)
• CMS Ortus <= 1.13 Remote SQL Injection Vulnerability (деталі)
• Star Articles 6.0 Remote Blind SQL Injection Vulnerability (деталі)
• ParsBlogger (blog.asp wr) Remote SQL Injection Vulnerability (деталі)
• Star Articles 6.0 Remote Blind SQL Injection exploit (деталі)
• Web Calendar System 3.12/3.30 Multiple Remote Vulnerabilities (деталі)
• TxtBlog (index.php m) Local File Inclusion Vulnerability (деталі)
• RakhiSoftware Shopping Cart (subcategory_id) SQL Injection Vulnerability (деталі)
• Family Project 2.x (Auth Bypass) SQL Injection Vulnerability (деталі)
• Ocean12 Calendar Manager Gold Database Disclosure Vulnerability (деталі)
• Ocean12 Poll Manager Pro Database Disclosure Vulnerability (деталі)
• Exploits Joomla Component xsstream-dm 0.01 Beta Remote SQL Injection (деталі)

Сьогодні, я писав про DoS уразливості в Mozilla Firefox, Opera та Safari. Уразливість в Firefox була виявлена Wojciech Pawlikowski, а потім були випущені експлоіти для Opera і Safari. Але в тих експлоітах для Opera і Safari створюється власний сервер, що видає відповідних код для проведення атаки, а в моєму експлоіті використовується звичайні html і xml файли (як в оригінальному експлоіті для Firefox).

Перевіривши 23.04.2009 дану уразливість в різних браузерах, я виявив, що дана Denial of Service уразливість працює в Firefox 3.0.6 (а потім перевірив її в 3.0.9 і 3.0.10), Opera 9.52, а також має місце в Internet Explorer.

DoS:

Firefox, IE & Opera DoS Exploit.html

При запуску експлоіта Firefox вилітає, IE6 споживає ресурси CPU, а Opera підвисає, при цьому споживаючи ресурси CPU.

Уразлива версія Mozilla Firefox 3.0.10 та попередні версії.

Уразлива версія Internet Explorer 6 (6.0.2900.2180) та попередні версії. IE7 не вразливий.

Уразлива версія Opera 9.52 та попередні версії (і потенційно наступні версії). Експлоіт для Опери, про який я згадув вище, працює в Opera 9.64.

В квітні цього року, 29.04.2009, я знайшов новий тип Cross-Site Scripting уразливостей, який я назвав Доменний XSS (Domain reflected XSS). Даний різновид XSS я знайшов на www.engadget.com.

Доменний XSS - це reflected XSS уразливість, коли атака відбувається через символи в імені домена (піддомена), коли дане ім’я використовується в коді веб сторінки. Даний тип Cross-Site Scripting я відніс до підтипу reflected XSS.

Приклад XSS уразливості:

http://%3c%2fscript%3e%3cscript%3ealert(document.cookie)%3c%2fscript%3ewww.site.com

В даному типі XSS уразливостей атака відбувається через XSS код розміщений в імені піддомена (в вищенаведеному прикладі - в домені третього рівня).

Якщо для атаки потрібні символи кутових дужок, то уразливість спрацює лише в Mozilla 1.7.x та попередніх версіях (як у випадку уразливості на www.engadget.com). Якщо ж ці символи не потрібні для атаки, то вона спрацює і в інших браузерах. Наприклад, у випадку використання лапок, атака спрацює в Internet Explorer (в IE6, IE7 і потенційно в IE8), Mozilla (у всіх версіях), Firefox (в версіях до Firefox 3) та інших браузерах на движку Mozilla.

Деякий час тому була оприлюднена уразливість в Mozilla Firefox. Для якої був розроблений експлоіт. Після чого були оприлюднені подібні експлоіти для Opera та Safari, що базуються на експлоіті для Firefox.

Атака відбувається через XML-парсер в даних браузерах.

• Firefox 3.0.x (XML Parser) Memory Corruption / DoS PoC (деталі)
• Opera 9.64 (7400 nested elements) XML Parsing Remote Crash Exploit (деталі)
• Safari 3.2.2/4b (nested elements) XML Parsing Remote Crash Exploit (деталі)

Уразливі Mozilla Firefox 3.0.10 та попередні версії.

Уразливі Opera 9.64 та попередні версії.

Уразливі Safari 3.2.2/4b та попередні версії.

В даній добірці уразливості в веб додатках:

• Cross-Site Scripting vulnerability in Checkpoint VPN-1 Edge (деталі)
• phpSQLiteCMS Multiple Remote XSS Vulnerability (деталі)
• Exteen Blog XSS Remote Cookie Disclosure Exploit (деталі)
• PHPFreeForum <= 1.0 RC2 Remote XSS Vulnerability (деталі)
• BMForum Remote 5.6 Miltiple XSS Vulnerability (деталі)
• Mantis Bug Tracker 1.1.1 Multiple Vulnerabilities (деталі)
• New evolution packages fix arbitrary code execution (деталі)
• Local File Include in OneCMS 2.5 (деталі)
• e107 Plugin BLOG Engine v2.2 (macgurublog.php/uid) Blind SQL Injection Vulnerability (деталі)
• Multiple Security Vulnerabilities (RFI,LFI,XSS) in QuateCMS (деталі)

25.03.2009

У березні, 11.03.2008, я знайшов Cross-Site Scripting, Insufficient Authorization, Information Leakage та Insufficient Anti-automation уразливості на http://www.oplata.info - популярному сервісі оплати покупок через Інтернет. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

08.06.2009

Дані уразливості я знайшов після покупки на сайті www.popolni.com.ua, про уразливості на якому я також писав.

XSS:

• alert(document.cookie)
• alert(document.cookie)

Першу уразливість виправили, а ось другу виправили погано, тому при невеликій зміні коду, вона знову працює.

XSS:

• alert(document.cookie) (Mozilla)
• цікавий (Mozilla)

XSS:

POST запит на сторінці http://www.oplata.info/asp/pay_inv.asp?id_d=152039
"><script>alert(document.cookie)</script>В полях: wmid, email.

POST запит на сторінці http://www.oplata.info/delivery/delivery_msg.asp
><script>alert(document.cookie)</script>В полях: wm-идентификатор, номер счёта.

Insufficient Authorization та Information Leakage:

http://www.oplata.info/delivery/inf_purse.asp?id_i=1691594&wm_id=xxxxxxxxxxxx&rnd=95301

На даній сторінці виконується підтвердження про оплату, а також у випадку, коли оплата вже проведена, виводиться дані про оплачений товар (наприклад, PIN код карточки поповнення мобільного зв’язку). І немає жодного захисту від Insufficient Authorization, окрім id_i, wm_id та rnd (wm_id не обов’язковий).

А дана інформація може бути вгадана, або вияснена (через витік інформації). Зловмисник може сам розпочати транзакцію по купівлі карточки, а потім вислати лінку жертві (при цьому жертві прийде квитанція на оплату товару). Після того як жертва оплатить товар (PIN код), але ще не встигне активувати PIN код, зловмисник може, знаючи дану лінку, зайти на сайт, дізнатися PIN код та активувати його першим (тим самим безкоштовно поповнивши свій рахунок).

Достатньо зайти лише по цій лінці (тобто потрібно знати лише поля id_i та rnd):

http://www.oplata.info/delivery/inf_purse.asp?id_i=1691594&rnd=95301

Або зайти лише по цій лінці (тобто потрібно знати лише поле id_i та мати кукіс з сесією):

http://www.oplata.info/delivery/inf_purse.asp?oper=checkpay&id_i=1691594

Insufficient Anti-automation:

На сторінці замовлення товару (http://www.oplata.info/asp/ pay_inv.asp?id_d=152039) немає захисту від автоматизованих запитів (капчі). Тому можлива автоматизована розсилка запитів на wmid жертв на купівлю товарів в магазині. А також розсилка повідомлень (спаму) на емайли про купівлю товарів в магазині.

Більшість з уразливостей так досі й не виправлені.

В даній добірці експлоіти в веб додатках:

• FTPzik (XSS/LFI) Multiple Remote Vulnerabilities (деталі)
• W3C Amaya 10.1 Web Browser (id) Remote Stack Overflow PoC (деталі)
• VideoScript 3.0 <= 4.1.5.55 Unofficial Shell Injection Exploit (деталі)
• Pie Web M{a,e}sher Mod Rss 0.1 Remote File Inclusion Vulnerability (деталі)
• FAQ Manager 1.2 (categorie.php cat_id) SQL Injection Vulnerability (деталі)
• WebStudio eCatalogue (pageid) Blind SQL Injection Vulnerability (деталі)
• WebStudio eHotel (pageid) Blind SQL Injection Vulnerability (деталі)
• FAQ Manager 1.2 (config_path) Remote File Inclusion Vulnerability (деталі)
• Clean CMS 1.5 (Blind SQL Injection/XSS) Multiple Remote Vulnerabilities (деталі)
• Chipmunk Topsites (Auth Bypass/XSS) Multiple Remote Vulnerabilities (деталі)
• Jamit Job Board 3.4.10 (show_emp) Blind SQL Injection Vulnerability (деталі)
• VideoGirls BiZ (view_snaps.php type) Blind SQL Injection Vulnerability (деталі)
• LoveCMS 1.6.2 Final (Download Manager 1.0) File Upload Exploit (деталі)
• SimpleBlog 3.0 (simpleBlog.mdb) Database Disclosure Vulnerability (деталі)
• phpMyNewsletter <= 0.8 (beta5) Multiple Vuln Exploit (деталі)

В минулому році я писав про взломи державних сайтів України. За весь 2008 рік мною був виявлений один взлом державного сайта. Це явно лише верхівка айзбергу, бо це лише той випадок, що я знайшов (а подібні взломи за звичай швидко виправляються і про них офіційно ніде не повідомляється), і реальна кількість взломів державних сайтів України набагато більша.

В цьому році ситуація зі взломами державних сайтів погіршилася. Лише за перші 5 місяців 2009 року були похакані два державні сайти: Державної податкової адміністрації у Волинській області (http://www.vl-sta.gov.ua) та Головного управління Пенсійного фонду України в Хмельницькій області (http://pfu-km.gov.ua). І це лише знайдені мною випадки, й таких сайтів могло бути більше.

На минулому тижні я знайшов цікаву статтю (за 2005 рік) на сайті журнала Хакер - Неприступный .gov.ua. В якій розповідається про взлом (автором статті) одного урядового порталу. І з якою ви можете ознайомитися. З цієї статті в Хакері, з вищезгаданих випадків взломів державних сайтів та з інформації, яку я навів в своїй попередній статті, можна зробити відповідні висновки про стан безпеки державних сайтів України.

Виявлена можливість DoS атаки через WebDav проти Apache.

Уразливі версії: Apache Apr-util 1.2.

Вичерпання пам’яті при великій кількості Entity.

• New apr-util packages fix several vulnerabilities (деталі)
• The father of all bombs - another webdav fiasco (деталі)
• Apache mod_dav / svn Remote Denial of Service Exploit (деталі)

В даній добірці уразливості в веб додатках:

• Directory traversal in MicroWorld eScan Server 9.0.742.98 (деталі)
• StanWeb.CMS (default.asp id) Remote SQL Injection Exploit (деталі)
• Starsgames Control Panel <= 4.6.2 Remote XSS Vulnerability (деталі)
• New phpgedview packages fix privilege escalation (деталі)
• Vbulletin 3.7.0 Gold >> Sql injection on faq.php (деталі)
• eCMS-v0.4.2 (SQL/PB) Multiple Remote Vulnerabilities (деталі)
• AppServ Open Project < = 2.5.10 Remote XSS Vulnerability (деталі)
• Smeego CMS vulnerability (деталі)
• Cpanel all version >> root access with a reseller account (деталі)
• www file share pro 5.30 insecure multiple (деталі)