Архів за Січень, 2010

Нова уразливість в CKEditor

18:29 23.01.2010

16.11.2009

Після виявлення попередніх XSS та Content Spoofing уразливостей в CKEditor, у липні, 08.07.2009, я знайшов нову Cross-Site Scripting уразливість в CKEditor. Про що найближчим часом повідомлю розробникам редактора.

Дана уразливість аналогічна уразливості в FCKeditor, про яку я писав раніше.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

23.01.2010

XSS:

Це persistent XSS через Flash.

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000"><param name=movie value="http://site/xss.swf"><param name="allowscriptaccess" value="always"><embed src="http://site/xss.swf" allowscriptaccess="always"></embed></object>

Дана уразливість в самому редакторі, тому її можна використати на будь-якому сайті, що використовує CKEditor в якості редактора для веб форм.

Уразливі CKEditor 3.0 RC та попередні (та наступні) версії.

Розробник виправляти дану уразливість не став мотивуючи тим, що CKEditor немає вбудованих XSS фільтрів і це задача кожного розробника, що його використовує, фільтрувати вхідні дані. І враховуючи, що даний текстовий редактор має багатий функціонал, не всі вектори XSS атак виправляються, що призводить до появи подібних XSS уразливостей (які можуть призвести до зараження всього сайта XSS-хробаком).

Добірка експлоітів

15:16 23.01.2010

В даній добірці експлоіти в веб додатках:

  • Opial 1.0 (albumid) Remote SQL Injection Vulnerability (деталі)
  • Opial 1.0 (Auth Bypass) Remote SQL Injection Vulnerability (деталі)
  • MRCGIGUY Thumbnail Gallery Post 1b Arb. Shell Upload Vulnerability (деталі)
  • Nwahy Dir 2.1 Arbitrary Change Admin Password Exploit (деталі)
  • Glossword <= 1.8.11 Arbitrary Uninstall / Install Vulnerability (деталі)
  • ClearContent (image.php url) RFI/LFI Vulnerability (деталі)
  • Mlffat 2.2 Remote Blind SQL Injection Exploit (деталі)
  • WebAsyst Shop-Script (bSQL/XSS) Multiple Remote Vulnerabilities (деталі)
  • EasyVillaRentalSite (Id) Remote SQL Injection Vulnerability (деталі)
  • FreeSSHD 1.2.1 (Post Auth) Remote Seh Overflow (деталі)

Уразливість в 3D Cloud для Joomla

23:59 22.01.2010

Раніше я вже писав про уразливість в JVClouds3D для Joomla. Така ж уразливість є і в плагіні 3D Cloud (mod_3dcloud), що використовує tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

Сьогодні я знайшов Cross-Site Scripting уразливість в плагіні 3D Cloud для Joomla. Про що найближчим часом повідомлю розробникам.

XSS:

http://site/modules/mod_3dcloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

Також можна провести HTML Injection атаку, в тому числі на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

HTML Injection:

http://site/modules/mod_3dcloud/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Уразливі 3D Cloud 1.3 та попередні версії.

Інфіковані сайти №11

22:49 22.01.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://areals.org.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://smartsoft.in.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://forvard.ucoz.ua - інфекція була виявлена 23.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://vavrynyuk.com.ua - інфекція була виявлена 30.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://4life.com.ua - інфекція була виявлена 16.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Численні уразливості в MySQL

18:34 22.01.2010

Виявені численні уразливості безпеки в MySQL.

Уразливі версії: MySQL 5.0, MySQL 5.1.

Підміна сертифіката, підвищення привілеїв, DoS.

Добірка уразливостей

15:20 22.01.2010

В даній добірці уразливості в веб додатках:

  • IBM WebSphere Application Server 7.0 Multiple XSS Vulnerabilities (деталі)
  • Smarty vulnerability (деталі)
  • New auth2db packages fix SQL injection (деталі)
  • osTicket v1.6 RC4 Admin Login Blind SQLi (деталі)
  • AjaxPortal v3.0 Remote File Inclusion Vulnerability (деталі)
  • Mega File Manager Remote File Vuln (деталі)
  • MULTIPLE SQL INJECTION VULNERABILITIES PHP-AddressBook v-4.0.x (деталі)
  • Directory traversal vulnerability in Geovision Digital Video Surveillance System (geohttpserver) (деталі)
  • SIPS v0.2.2 Remote File Inclusion Vulnerability (деталі)
  • dedecms v5.3 Arbitrary File Upload Vulnerability (деталі)

The future of XSS attacks

21:05 21.01.2010

This is English version of my The future of XSS attacks article.

In case if for Cross-Site Scripting attack it’s not possible to use any tags and angle brackets at the site, it’s possible to conduct XSS attack with using of tags’ properties. It can be style property, or different even handlers (or sometimes it’s possible to conduct attack via src property). For the attack it’s needed to use quotes (single or double ones, or sometimes even quotes isn’t required), to add new property to the tag, in which we managed to include the code.

At attack via style property the next methods are used (in which the code executes automatically at page opening):

1. Via expression(), which works only in browsers IE (before IE8).
2. Via background:url() or background-image:url(), which works only in browsers IE.
3. Via -moz-binding:url(), which works only in Mozilla Firefox and other browsers on Gecko engine (before Firefox 3).

Examples of attacks with expression() and -moz-binding you can see in case of vulnerabilities at www.ibm.com.

At attack via event handlers the next methods are used:

1. Via onMouseOver, onfocus, onblur, onselect, onchange, onclick and other events (in which the code executes at appropriate event).
2. Via onerror, onload, onunload (in which the code executes automatically at page opening, or its closing in case of onunload event).

A possibility of using of onerror, onload and onunload happens not very often, and other handlers trigger not automatically, so they are less popular at conducting of XSS attacks. The most often the attacks via style property are used.

But already in 2008 in Firefox 3 possibility of attack via -moz-binding was removed (it was partly removed - it’s possible to attack only with using of xml-files at the same site). Which I wrote about in article XSS attacks in Mozilla Firefox via styles. And in Internet Explorer 8, which released at beginning of 2009, support of expression() was removed. Support of javascript and vbscript URI in background-image and background-image also can be removed with time.

So in light of these events it became harder to conduct automated XSS attacks in new browsers in such conditions (when it’s not possible to use any tags and angle brackets). And as more widespread these versions of browsers become, the harder it’ll be to conduct XSS attacks in such conditions (so that they will be automated, without need for user to do some actions). From other side, such browsers as Opera, Chrome and other browsers completely resist to attacks via style property.

For solving of this task the technique MouseOverJacking can be used, which I already wrote about. This technique allows to conduct automated XSS attack. At that it’s cross-browser solution, which works in all browsers. Including in IE8 - at using of CSS (as in my PoCs) it allows to bypass IE8’s built-in protection against Clickjacking.

I.e. MouseOverJacking can be used not only for specific attacks, which were about in the article about this technique, but for wide variety of XSS attacks (instead of expression() and -moz-binding). At that the attack is fully automated, so the effectiveness of the attack is the same as in expression() and -moz-binding (and due to cross-browser it’s possible to attack even more users).

It’s possible to conduct such attacks as via MouseOverJacking, as via Clickjacking. But MouseOverJacking has higher effectiveness, because at Clickjacking attack the victim must to do a click (which can not always happen), but at MouseOverJacking it’s not needed to do any actions, only one move of the mouse (which will always happen).

Examples of PoC for Cross-Site Scripting vulnerabilities.

For reflected XSS:

http://site/script?param=%22%20style=%22width:100%;height:100%;display:block;position:absolute;top:0px;left:0px%22%20onMouseOver=%22alert(document.cookie)%22

For persistent XSS:

<a href="#" style="width:100%;height:100%;display:block;position:absolute;top:0px;left:0px" onMouseOver="alert(document.cookie)">&nbsp;</a>

So I propose to use MouseOverJacking technique for wide variety of XSS attacks (in case of impossibility of using of the tags and angle brackets). And security professionals and attackers can use this technique for creating of PoC for XSS vulnerabilities or for conducting of XSS attacks.

Уразливості на pravda.com.ua та president.pravda.com.ua

18:20 21.01.2010

18.08.2009

У грудні, 15.12.2008, я знайшов Cross-Site Scripting уразливості на проектах http://pravda.com.ua та http://president.pravda.com.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проектів.

Стосовно проектів pravda.com.ua раніше я вже писав про уразливості на tabloid.pravda.com.ua .

Детальна інформація про уразливості з’явиться пізніше.

21.01.2010

XSS:

http://pravda.com.ua

На сайті використовувався Яndex.Server.

XSS:

http://president.pravda.com.ua

Дані уразливості вже виправлені.

Добірка експлоітів

15:11 21.01.2010

В даній добірці експлоіти в веб додатках:

  • ARD-9808 DVR Card Security Camera (GET Request) Remote DoS Exploit (деталі)
  • YourTube <= 2.0 Arbitrary Database Disclosure Exploit (деталі)
  • Oracle 10g SYS.LT.COMPRESSWORKSPACETREE SQL Injection Exploit (деталі)
  • Apple Safari 4.x JavaScript Reload Remote Crash Exploit (деталі)
  • conpresso 3.4.8 (detail.php) Remote Blind SQL Injection Vuln (деталі)
  • Almnzm 2.0 Remote Blind SQL Injection Exploit (деталі)
  • AdminLog 0.5 (valid_login) Authentication Bypass Vulnerability (деталі)
  • Sourcefire 3D Sensor & Defense Center 4.8.x Privilege Escalation Vuln (деталі)
  • Rentventory Multiple Remote SQL Injection Vulnerabilities (деталі)
  • Exploits FreeSSHd Multiple Remote Stack Overflow Vulnerabilities (деталі)

Похакані сайти №80

22:42 20.01.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://ja-rammstein.com (хакером Azko) - 08.01.2010, зараз сайт вже виправлений адмінами
  • http://www.ounb.km.ua (хакером FormatXFormaT) - 16.01.2010, зараз сайт виправлений адмінами, але не повністю - все ще є одна папка сайта з дефейсом
  • http://kia.com.ua (хакером 3KB3R) - причому спочатку сайт був взломаний 10.01.2010 3KB3R, а вже 12.01.2010 взломаний Y4S!N. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://subaru.kiev.ua (хакером 3KB3R) - 10.01.2010, зараз сайт вже виправлений адмінами
  • http://www.liana.net.ua (хакером kLoq) - 13.01.2010, зараз сайт вже виправлений адмінами