Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Alt-N WebAdmin Source Code Disclosure (деталі)
• LFI in Hycus CMS (деталі)
• SQL injection in Hycus CMS (деталі)
• HP Discovery & Dependency Mapping Inventory (DDMI) Running on Windows, Remote Cross SIte Scripting (XSS) (деталі)
• XSS vulnerability in Injader CMS (деталі)
• SQL injection in Injader CMS (деталі)
• HP Power Manager (HPPM) Running on Linux and Windows, Remote Execution of Arbitrary Code (деталі)
• SQL injection in Injader CMS (деталі)
• XSS vulnerability in Injader CMS (деталі)
• HP Insight Management Agents Running on Linux and Windows, Remote Full Path Disclosure (деталі)

20.07.2010

У липні, 01.07.2010, я знайшов SQL Injection уразливість на проекті http://ledovskih.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

18.06.2010

SQL Injection:

http://ledovskih.com.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести CSRF або XSS атаку.

CSRF:

В розділі Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) через CSRF можлива зміна параметрів MAC і Reset Defaults.

В розділі Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) через CSRF можлива зміна параметрів Reset, MAC і Reset Defaults.

В розділі Adsl Port Configuration (http://192.168.1.1/configuration/ports.html?96) через CSRF можлива зміна параметрів Adsl порта.

В розділі Advanced Adsl Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?96) через CSRF можлива зміна параметрів Adsl порта.

XSS:

В розділі Ethernet Port Configuration (http://192.168.1.1/configuration/ports.html?95) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Ethernet Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?95) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Adsl Port Configuration (http://192.168.1.1/configuration/ports.html?96) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В розділі Advanced Adsl Port Configuration (http://192.168.1.1/configuration/ports_advanced.html?96) у всіх текстових полях та деяких прихованих полях мають місце persistent XSS уразливості.

В травні, 17.05.2011 і 21.05.2011, відбувся масовий взлом сайтів на сервері Uplink. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Uplink. Взлом відбувся після згаданого масового взлому сайтів на сервері Візор.

Всього було взломано 107 сайтів на сервері української компанії Uplink (IP 195.3.204.194). Перелік сайтів можете подивитися на www.zone-h.org. Серед них український державний сайт medstat.gov.ua.

106 зазначених сайтів були взломані 17 травня 2011 року - 105 хакером Brunei і 1 хакером iskorpitx. Іще один сайт був дефейснутий 21 травня хакером Executive.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

12.10.2010

У червні, 25.06.2010, я знайшов Abuse of Functionality, Insufficient Anti-automation, Source Code Disclosure, Full path disclosure та Cross-Site Scripting уразливості на проекті http://about42.nl. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.06.2011

Abuse of Functionality:

http://about42.nl/www/showheaders.php

Через даний функціонал можна проводити атаки на інші сайти. А також DoS атаку на сам сервіс.

Insufficient Anti-automation:

http://about42.nl/www/showheaders.php

На даній сторінці немає захисту від автоматизованих запитів (капчі).

Source Code Disclosure (обмежений):

http://about42.nl/www/showsource.php

Full path disclosure:

http://about42.nl/www/showsource.php?page=/index.php/

POST запит на сторінці http://about42.nl/www/showheaders.php
'В полі Url.

XSS:

• alert(document.cookie)
• цікавий

POST запит на сторінці http://about42.nl/www/showheaders.php
<script>alert(document.cookie)</script>В полі Url.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Embedded Video та Star Rating і в самому WordPress. Для котрих з’явилися експлоіти. Embedded Video - це плагін для розміщення відео, Star Rating - це плагін для створення системи рейтингів. А також 7 нових FPD уразливостей в WP, що стосуються версій WP 3.0 - 3.1.х.

• Embedded Video WordPress Plugin Cross Site Vulnerability (XSS) (деталі)
• WordPress Star Rating SQL Injection (деталі)
• Path disclosure in Wordpress (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своїй презентації Web Malware Explosion Requires New Protection Paradigm, Invincea розповідає про шкідливе програмне забезпечення у Вебі. Про масштаби поширення інфекцій на веб сайтах в Інтернеті та засоби захисту від шкідливого ПЗ.

Зазначу, що минулого місяця я виступав з доповіддю про системи виявлення інфікованих веб сайтів.

09.10.2010

У червні, 22.06.2010, я знайшов Cross-Site Scripting та SQL DB Structure Extraction уразливості на http://www.kontrakt.ua - сайті банку Контракт. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше.

16.06.2011

XSS:

http://www.kontrakt.ua/index.php?pages='&language=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Та три інші XSS, що є в Martinweb CMS.

SQL DB Structure Extraction:

http://www.kontrakt.ua/index.php?pages=’

Зараз дані уразливості вже виправлені. Адміни замінили одну діряву CMS на іншу CMS (менш діряву, але в ній також є дірки).

Продовжуючи тему уразливостей в ADSL модемі Callisto 821+, розповім вам про нові уразливості в даному модемі. У квітні, 07.04.2011, я виявив Denial of Service, Cross-Site Request Forgery та Cross-Site Scripting уразливості в ADSL модемі Callisto 821+ (SI2000 Callisto821+ Router).

Уразлива версія SI2000 Callisto821+ Router: X7821 Annex A v1.0.0.0 / Argon 4×1 CSP v1.0 (ISOS 9.0) [4.3.4-5.1]. Дана модель з іншими прошивками також повинна бути вразливою.

Дані атаки потрібно проводити на власника модему, який залогінений в адмінку. Враховуючи, що малоймовірно застати його в такому стані, то можна використати раніше згадані уразливості для проведення віддаленого логіну (щоб залогінити його в адмінку). Після чого можна спокійно провести DoS, CSRF або XSS атаку.

DoS:

http://192.168.1.1/configuration/qbridgestatsclearintfstats.html

http://192.168.1.1/configuration/qbridgestatsflushintf.html

http://192.168.1.1/configuration/qbridgevlanstatsclear.html

При даних запитах відбувається рестарт модема, при якому тимчасово недоступними є як адмінка, так і сам модем (тому й відсутній зв’язок з Інтернет).

CSRF:

Дана уразливість дозволяє провести очищення статистики вибранного VLAN порту.

http://192.168.1.1/configuration/qbridgevlanstatsclear.html?ImBridge.ImQbridgeVlans.DefaultVlan.ImQbridgeVlanUntaggedPorts.ethernet

XSS:

На вищезгаданій сторінці є persistent XSS уразливість.

Callisto 821+ XSS20.html

В даному випадку код виконається одразу, а також при відвіданні сторінок http://192.168.1.1/system/events.html і http://192.168.1.1/shared/event_log_selection.html.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.na-dosuge.net (хакером COde InjectOr) - 31.05.2011, зараз сайт вже виправлений адмінами
• http://www.socinform.vn.ua (хакером HEXB00T3R) - 09.06.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://cms.orbk.net (хакером WolfRom)
• http://megastroy-ltd.com (хакерами з Prishtina Hackers Group) - 23.05.2011, зараз сайт вже виправлений адмінами
• http://pisateli.co.ua (хакером F!k0s) - 13.06.2011, зараз сайт вже виправлений адмінами