Websecurity - Веб безпека

05.08.2009

У грудні, 13.12.2008, я знайшов Cross-Site Scripting та Remote Flash Injection уразливості на проекті http://search.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

25.08.2009

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Remote Flash Injection:

Це XSS атака через Flash, яку я назвав Remote Flash Injection.

• alert(document.cookie)
• цікавий

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• phpMyAdmin (/scripts/setup.php) PHP Code Injection Exploit (деталі)
• Joomla Component com_vehiclemanager 1.0 RFI Vulnerability (деталі)
• Joomla Component com_realestatemanager 1.0 RFI Vulnerability (деталі)
• MRCGIGUY Hot Links (report.php id) Remote SQL Injection Vulnerability (деталі)
• MRCGIGUY The Ticket System 2.0 PHP Multiple Remote Vulnerabilities (деталі)
• Open Biller 0.1 (username) Blind SQL Injection Exploit (деталі)
• Splog <= 1.2 Beta Multiple Remote SQL Injection Vulnerabilities (деталі)
• phpWebThings <= 1.5.2 (help.php module) Local File Inclusion Vuln (деталі)
• Sniggabo CMS (article.php id) Remote SQL Injection Exploit (деталі)
• Yogurt 0.3 (XSS/SQL Injection) Multiple Remote Vulnerabilities (деталі)
• TorrentVolve 1.4 (deleteTorrent) Delete Arbitrary File Vulnerability (деталі)
• phpWebThings <= 1.5.2 MD5 Hash Retrieve/File Disclosure Exploit (деталі)
• Campus Virtual-LMS (XSS/SQL Injection) Multiple Remote Vulnerabilities (деталі)
• 4images <= 1.7.7 Filter Bypass HTML Injection/XSS Vulnerability (деталі)
• Exploits BLIND SQL INJECTION EXPLOIT TemaTres 1.0.3 (деталі)

Раніше я вже писав про XSS уразливість в WP-Cumulus. Така ж уразливість є і в плагіні Joomulus (mod_joomulus), що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 8 мільйонах флеш файлах.

Учора, 23.12.2009, я знайшов Cross-Site Scripting уразливість в плагіні Joomulus для Joomla. Про що найближчим часом повідомлю розробникам.

XSS:

http://site/modules/mod_joomulus/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

Також можна провести HTML Injection атаку, в тому числі на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

HTML Injection:

http://site/modules/mod_joomulus/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Уразливі Joomulus 2.0 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://liqpay.com (невідомими хакерами) - 21.12.2009 - DDoS атака на сайт системи LiqPAY
• http://www.sana-centr.info (хакером Black^Monster)
• http://www.4ertim.com (хакером FormatXformat)
• http://www.artan.kiev.ua (хакером SALDIRAY) - 17.12.2009, зараз сайт вже виправлений адмінами
• http://www.ukra.biz (хакером SALDIRAY) - 14.12.2009, зараз сайт закритий адмінами (знаходиться в розробці)

Цікавий випадок атаки на веб сайти нещодавно стався у президента ПМР Ігоря Смирнова. Співробітники придністровського МВС повідомляють, що днями була зроблена крадіжка 4-х системних блоків, що виконували роль серверів сайтів Президента і МВС невизнаної Придністровської Молдавської республіки.

Злодії винесли системні блоки з офісу компанії-провайдера “Моніторинг”, тим самим завдали шкоди на загальну суму $2800. Саме дивне те, що в приміщення злодії проникнули через залишену відкритою кватирку.

По даному факту порушена кримінальна справа. Через крадіжку серверів обидва сайти були недоступні кілька днів.

По матеріалам http://itua.info.

В даній добірці уразливості в веб додатках:

• CA ARCserve Backup DB Engine Denial of Service (деталі)
• CA ARCserve Backup Tape Engine Denial of Service (деталі)
• CA BrightStor ARCServe BackUp Message Engine Remote Command Injection Vulnerability (деталі)
• CA ARCserve Backup Multiple Vulnerabilities (деталі)
• MULTIPLE REMOTE VULNERABILITIES my-colex 1.4.2 (деталі)
• MULTIPLE REMOTE VULNERABILITIES my-Gesuad 0.9.14 (деталі)
• Multiple XSS in Sun Communications Express (деталі)
• (GET vars ‘x’ & ‘y’) ADMIN FUNCTION EXECUTION Jorp v1.3.05.09 (деталі)
• INSECURE COOKIE HANDLING VULNERABILITIES Dog Pedigree Online Database v1.0.1-Beta (деталі)
• (GET var ‘id’) BLIND SQL INJECTION EXPLOIT Dog Pedigree Online Database v1.0.1-Beta (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://ce.lviv.ua - інфекція була виявлена 22.11.2009. Зараз сайт не входить до переліку підозрілих.
• http://uhf.com.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://vip-com.lviv.ua - інфекція була виявлена 23.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://zalik.org.ua - інфекція була виявлена 04.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://newsukraine.com.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 54 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Зазначу, що я вже писав про уразливість на newsukraine.com.ua. І власникам цього сайта (як і власникам всіх інфікованих сайтів, про які я писав) варто було краще слідкувати за безпекою. Тоді б подібного з ними не трапилося.

Як повідомляється на сайті системи LiqPAY, сьогодні їх сайт liqpay.com разом з amazon.com активно протидіє проти DDoS атаки. В зв’язку з чим в них наявні проблеми з сервісом і деякі регіони заблоковані.

Раніше я вже розповідав про DDoS атаки на обмінники електронних валют, цього разу мала місце DDoS атака на цілу електрону платіжну систему.

Я сам користуюся даною системою для проведення обміну WebMoney <-> LiqPAY та виводу WebMoney <-> Visa, тому сам стикнувся з цією атакою на сайт системи (причому з обома хвилями атаки). І на собі відчув проблеми з роботою системи. Зазначу, що в мене одразу виникли підозри, що це може буди саме DDoS, бо сайт не працював тривалий час.

DDoS атака була достатньо потужною (обидві хвилі) - сайт дуже швидко переставав відповідати. Вона відбувалася десь з 23-00 21.12.2009 до 14-00 22.12.2009, це була перша хвиля. А потім розпочалась друга хвиля атаки - десь з 20-00 і аж до ранку 23.12.2009. Цілком вірогідно, що дана атака організована конкурентами.

30.10.2009

У березні, 01.03.2009, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі Cetera eCommerce (онлайн магазин). Які виявив на демо сайті розробників системи http://ecommerce-demo.cetera.ru.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

23.12.2009

Insufficient Anti-automation:

http://site/

http://site/account/

В формах на даних сторінках відсутній захист від автоматизованих запитів (капча).

XSS:

http://site/account/?messageES=s9&messageParam[0]=%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/cms/index.php?messageES=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
http://site/cms/index.php?messageES=s9&messageParam[0]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Уразливі Cetera eCommerce 14.0 та попередні версії. Розробники в себе на сайті уразливості не виправили (окріх двох останніх XSS), як це видно по цій дірці:

XSS:

• alert(document.cookie)
• цікавий
• html включення

Окрім наведених уразливостей, в системі є ще persistent XSS, роботу якої я раніше вже продемонстрував розробникам системи на їх власному сайті .

В даній добірці експлоіти в веб додатках:

• Frontis 3.9.01.24 (source_class) Remote SQL Injection Vulnerability (деталі)
• Joomla Component BookLibrary 1.5.2.4 Remote File Inclusion Vulnerability (деталі)
• Apple Safari <= 3.2.x (XXE attack) Local File Theft Vulnerability (деталі)
• Free Download Manager 2.5/3.0 (Control Server) Remote BOF Exploit (деталі)
• S-CMS <= 2.0b3 (username) Blind SQL Injection Exploit (деталі)
• S-CMS <= 2.0b3 Multiple SQL Injection Vulnerabilities (деталі)
• S-CMS <= 2.0b3 Multiple Local File Inclusion Vulnerabilities (деталі)
• Joomla Component com_media_library 1.5.3 RFI Vulnerability (деталі)
• Joomla Component Akobook 2.3 (gbid) SQL Injection Vulnerability (деталі)
• MRCGIGUY FreeTicket (CH/SQL) Multiple Remote Vulnerabilities (деталі)
• Desi Short URL Script (Auth Bypass) Insecure Cookie Handling Vuln (деталі)
• School Data Navigator (page) Local/Remote File Inclusion Vulnerability (деталі)
• LightNEasy sql/no-db <= 2.2.x system Config Disclosure Exploit (деталі)
• DX Studio Player < 3.0.29.1 Firefox plug-in Command Injection Vuln (деталі)
• Exploits IceWarp WebMail Server: SQL Injection in Groupware Component (деталі)