Websecurity - Веб безпека

18.04.2011

Сьогоні я знайшов численні Cross-Site Scripting уразливості (причому persistent) в плагіні Register Plus Redux для WordPress. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

05.08.2011

XSS (persistent):

Є багато persistent XSS дірок в налаштуваннях плагіна (http://site/wp-admin/options-general.php?page=register-plus-redux). В полях: Enable Password Strength Meter (Short, Bad, Good, Strong), Grace Period, Invitation Code, Disclaimer Title, Disclaimer Content, Agreement Text, License Title, License Content, Agreement Text, Privacy Policy Title, Privacy Policy Content, Agreement Text, Required Field Style Rules, Custom Field, Extra Options, Date Format, First Selectable Date, Default Year, Customize User Notification Email (From Email, From Name, Subject, User Message, Login Redirect URL), Customize Admin Notification Email (From Email, From Name, Subject, Admin Message), Custom Register CSS, Custom Login CSS.

Код спрацює на сторінці налаштуваннь плагіна і/або на сторінці реєстрації (http://site/wp-login.php?action=register).

При цьому на сторінці налаштуваннь плагіна використовується захист від CSRF, тому необхідно використати reflected XSS для його обходу та проведення persistent XSS атаки.

Зазначу, що в dash_widget.php є persistent XSS (як і в Register Plus), де код спрацює при заході на сторінку Dashboard. Але в Register Plus Redux не використовується widget, тому дана атака неможлива (доки автор не додасть підтримку віджета, так як файл dash_widget.php є в плагіні).

Уразливі версії плагіна Register Plus Redux 3.7.3 та попередні версії. Перевірялось в версії 3.6.1, але всі версії повинні бути вразливими, тому що розробник не виправив жодної уразливості (ні цих, ні минулорічних).

23.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://www.bag.net.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.08.2011

SQL Injection:

http://www.bag.net.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Продовжуючи розпочату традицію, після попереднього відео про eксплуатація DLL Hijacking уразливостей, пропоную нове відео на веб секюріті тематику. Цього разу відео про eксплоіт для Microsoft Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Exploit for Internet Explorer (CVE-2011-1256/MS11-050)

В даному відео ролику демонструється процес використання експлоіта для Internet Explorer, зокрема для уразливості MS11-050 IE mshtml!CObjectElement Use After Free. Дана уразливість в IE, що призводить до пошкодження пам’яті в браузері, була оприлюднена в червні (і виправлена в червневому вівторку патчів).

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Минулого місяця, 07-08.07.2011 (а також в попередні місяці), відбувся масовий взлом сайтів на сервері Goodnet. Нещодавно я вже розповідав про інші масові взломи.

Був взломаний сервер української компанії Goodnet. Взлом відбувався багаторазово на протязі року, в тому числі майже в той же час, що і третій масовий взлом сайтів на сервері HostPro.

Всього було взломано 34 сайти на сервері хостера Goodnet (IP 91.203.146.38). Це наступні сайти: krasaua.com, www.stropuva.com.ua (двічі), wellnessworld.com.ua, wbud.net, basseinplus.com.ua, lad-ltd.te.ua, protuvsih.com.ua, kulyba.ru, spektr.in.ua, vil.org.ua, foto-print.org.ua, vanilla.zp.ua, detka.zp.ua, top-style.org.ua, agropromstal.com.ua, expert.zp.ua, ksujen.com.ua, amgu.org.ua, l-dsk.com, vetmir.kiev.ua, www.absolutplus.com.ua, bogatir.pp.ua, bratva.pp.ua, demo-test.pp.ua, income.kh.ua, isachenko.pp.ua, laptopshop.kh.ua, www.l-dsk.ru, www.school25.kiev.ua, www.zvichay.kiev.ua, group-expo.com, it-sphere.net, www.westsiders.net.

З зазначених сайтів 1 був взломаний в березні і 1 в серпні 2010 року, 3 в лютому, 2 в квітні, 9 в травні, 8 в червні, 9 в липні і 1 в серпні 2011 року. Сайти були взломані наступними хакерами: SALDIRAY і PC_MAN, The-Force, ahs-hackerz, KSG-CREW, iskorpitx, HEXB00T3R, RKH, S.V Crew та SLYHACKER.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі року, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

P.S.

Після публікації звіту я виявив ще один дефейс на даному сервері. Це сайт krasaua.com, який я додав до звіту.

В даній добірці уразливості в веб додатках:

• Novell ZenWorks TFTPD Remote Code Execution Vulnerability (деталі)
• Path disclousure in Pixelpost (деталі)
• File Content Disclosure in Pixelpost (деталі)
• Cisco Security Agent Management st_upload Remote Code Execution Vulnerability (деталі)
• XSS in Pixelpost (деталі)
• Management Center for Cisco Security Agent Remote Code Execution Vulnerability (деталі)
• XSS in Pivotx (деталі)
• Re: Domino Sametime Multiple Reflected Cross-Site Scripting (деталі)
• Domino Sametime Multiple Reflected Cross-Site Scripting (деталі)
• XSS in Pivotx (деталі)

22.10.2010

У липні, 02.07.2010, я знайшов SQL Injection уразливість на сайті http://shintorg.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

04.08.2011

SQL Injection:

http://shintorg.kiev.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

Після виходу Opera 11.11, спочатку 31.05.2011 вийла версія Opera 11.50 beta, а потім 28.06.2011 вийша фінальна версія Opera 11.50.

Нова версія Opera є оновленням, що покращує безпеку та стабільність браузера. А також додає багато нового функціоналу та покращень.

Серед виправлень безпеки в Opera 11.50:

• Посилена політика безпеки в декількох місцях.
• Виправлена уразливість середнього рівня ризику.
• Виправлена уразливість, що дозволяла через data URI проводити XSS атаки на непов’язані сайти.
• Виправлена уразливість зі сторінками про промилку, що могла призвести до вибивання системи.
• Виправлена велика кількість вибивань браузера. Opera традиційно (як й інші виробники браузерів) не відносить вибивання і зависання, тобто DoS в браузерах, до уразливостей, а відносить їх до “проблем стабільності”.

Зазначу, що торік я вже писав про XSS через data URI в Opera, що розробник в несерйозній манері виправив в своєму браузері.

По матеріалам http://www.opera.com.

Виявлені численні уразливості в багатьох додатках Oracle і Sun.

Уразливі продукти: Oracle 10g, Oracle 11g, Oracle Application Server 10g, PeopleSoft Enterprise HRMS 8.9, PeopleSoft Enterprise PeopleTools 8.51, Oracle E-Business Suite Release 11i та інші продукти Oracle.

Чергове щоквартальне оновлення закриває 78 уразливостей у всіх основних продуктах.

• Oracle Enterprise Manager vulnerable to XSS (metricDetail$type page) (деталі)
• Oracle Enterprise Manager vulnerable to XSS (sitemap page) (деталі)
• Oracle Enterprise Manager vulnerable to XSS (notifRuleInfo$mode page) (деталі)
• Oracle Sun GlassFish Enterprise Server Stored XSS Vulnerability - Security Advisory (деталі)
• Oracle Secure Backup validate_login Command Injection Remote Code Execution Vulnerability (деталі)
• Oracle Critical Patch Update Advisory - July 2011 (деталі)

16.04.2011

Сьогоні я знайшов численні Cross-Site Scripting уразливості (причому persistent) в плагіні Register Plus для WordPress. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

03.08.2011

XSS (persistent):

При включених опціях Enable Invitation Code(s) та Enable Invitation Tracking Dashboard Widget та коді <script>alert(document.cookie)</script> в прикладі Invitation Code на сторінці налаштуваннь плагіна (http://site/wp-admin/options-general.php?page=register-plus), код спрацює при заході на сторінку Dashboard (http://site/wp-admin/index.php). Сама persistent XSS має місце в dash_widget.php.

Є багато persistent XSS уразливостей в налаштуваннях плагіна (http://site/wp-admin/options-general.php?page=register-plus). В полях: Enable Password Strength Meter (Short, Bad, Good, Strong), Grace Period, Invitation Code, Disclaimer Title, Disclaimer Content, Agreement Text, License Title, License Content, Agreement Text, Privacy Policy Title, Privacy Policy Content, Agreement Text, Required Field Style Rules, Custom Field, Extra Options, Date Format, First Selectable Date, Default Year, Customize User Notification Email (From Email, From Name, Subject, User Message, Login Redirect URL), Customize Admin Notification Email (From Email, From Name, Subject, Admin Message), Custom Register CSS, Custom Login CSS.

Код спрацює на сторінці налаштувань плагіна і/або на сторінці реєстрації (http://site/wp-login.php?action=register).

При цьому на сторінці налаштуваннь плагіна використовується захист від CSRF, тому необхідно використати reflected XSS для його обходу та проведення persistent XSS атаки.

Уразливі Register Plus 3.5.1 та попередні версії. Враховуючи, що даний плагін більше не підтримується розробником, то його користувачам потрібно виправити дірки власноруч.

21.10.2010

У липні, 02.07.2010, я знайшов SQL Injection та Cross-Site Scripting уразливості на http://www.scb-ua.com - сайті секюріті компанії. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.08.2011

SQL Injection:

http://www.scb-ua.com/index.php?content_id=-1%20or%20version()%3E4

XSS:

http://www.scb-ua.com/index.php?content_id=-1%20or%201=1/*%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Дані уразливості (та багато інших, що були на цьому сайті) вже виправлені шляхом заміни движка. Але зараз на даному домені розміщений зовсім інший сайт (замість сайта секюріті фірми), на якому дірок також вистачає. Бо адміни встановили не саму останню версію WP, в якій є уразливості, про які я вже розповідав.