13.04.2011
У серпні, 16.08.2010, я знайшов Cross-Site Scripting та Brute Force уразливості в Drupal. Які я виявив під час секюріті аудиту на одному сайті. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про XSS і AoF уразливості в Drupal.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
25.06.2011
XSS:
На сторінках з формами (наприклад на сторінці коментарю http://site/comment/reply/1, як формах додання, так і редагування даних), що захищені токеном від CSRF, можлива reflected XSS атака. Причому без необхідності знати form_token (тобто захист від CSRF обходиться). Атака проводиться на будь-які форми з включеним FCKeditor/CKEditor (які дуже поширені на сайтах на Drupal). Подібна атака може бути проведена і на форми з TinyMCE - про подібні уразливості в PHP-Nuke через TinyMCE я вже писав.
Якщо це форма редагування даних, то атака може бути проведена тільки на залогіненого користувача сайта, який є власником даного акаунта (хто розмістив даний коментар і т.д.), або адміна сайта. А якщо форма додання даних (наприклад коментарю), то можна проводити атаки на адміна і будь-яких залогінених користувачів сайта. Атакуючий код може бути в параметрі comment, body або іншому, в залежності від форми.
Drupal XSS.html
Brute Force:
В формі логіна в боковій панелі, що розміщена на будь-яких зовнішніх сторінках сайту (http://site/node), не реалізований надійний захист від підбору пароля. В самому Drupal капчі немає, а існуючий Captcha модуль (а також всі плагіни до нього, такі як reCAPTCHA) є уразливим, як я вже писав. Експлоіт відрізняється від попередної BF: якщо в попередній Brute Force уразливості form_id рівний user_login, то в даній - form_id рівний user_login_block.
Уразливі Drupal 6.22 та попереднії версії (перевірено в Drupal 6.17). Враховуючи, що розробники не виправили дані уразливості, то версії 7.x також повинні бути вразливими.