Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP Onboard Administrator (OA), Remote Unauthorized Access (деталі)
• Path disclosure in Cotonti (деталі)
• Multiple vulnerabilities in python-feedparser (деталі)
• Denial of Service in OpenSSL (деталі)
• spip security update (деталі)
• CRL validation bypass in OpenSSL (деталі)
• LANSA aXes Web Terminal (TN5250) Cross-Site Scripting Vulnerability (деталі)
• Cisco Show and Share Security Vulnerabilities (деталі)
• MediaCast Password Dump Vulnerability (деталі)
• SAP Enterprise Portal Path Disclosure (деталі)

Раніше я вже писав про XSS уразливість в WP-Cumulus для WordPress та багатьох інших плагінах (а також віджетах і темах) для різних движків, що використовують tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

В листопаді, 09.11.2011 (через три роки після оприлюднення попередньої уразливості), я знайшов нову Cross-Site Scripting уразливість в WP-Cumulus для WordPress. Знайшов її на одному е-комерс сайті. Що також має місце в багатьох інших веб додатках та мільйонах сайтів. Про що найближчим часом повідомлю розробнику WP-Cumulus. Якщо попередня уразливість стосувалася параметра mode, то нова - параметра xmlpath.

XSS:

http://site/tagcloud.swf?xmlpath=xss.xml
http://site/tagcloud.swf?xmlpath=http://site/xss.xml

Файл xss.xml:

<tags>
<a href="javascript:alert(document.cookie)" style="font-size:+40pt">Click me</a>
<a href="http://websecurity.com.ua" style="font-size:+40pt">Click me</a>
</tags>

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Атака спрацює лише у нових версіях флешки, де додали підтримку параметра xmlpath. В старих версіях (невразливих) в контекстному меню вказано “WP-Cumulus by Roy Tanck”, а в нових версіях (вразливих) вказано “WP-Cumulus by Roy Tanck and Luke Morton”. Атака спрацює лише коли xml-файл розміщений на цьому самому сайті (шлях може бути вказаний як відносний, так і абсолютний). Розширення файла може бути довільне.

При цьому патч Роя (версія флешки для WP-Cumulus 1.23) спрацьовує і для даної уразливості, тому в пропатчених версіях флешки XSS вже не спрацює, тільки HTML Injection.

Уразливі всі версії WP-Cumulus для WordPress. Та повинні бути уразливими Joomulus для Joomla, JVClouds3D для Joomla, Blogumus, 3D Cloud для Joomla, Tagcloud для DLE, t3m_cumulus_tagcloud для TYPO3, Cumulus для BlogEngine.NET, tagcloud для Kasseler CMS, 3D user cloud для Joomla, Flash Tag Cloud для Blogsa та інших ASP.NET движків, b-cumulus, Cumulus для Drupal, sfWpCumulusPlugin для symfony, Flash Tag Cloud For MT 4, MT-Cumulus для Movable Type, Tumulus для Typepad, WP-Cumulus для RapidWeaver, HB-Cumulus для Habari, Cumulus для DasBlog, EZcumulus та eZ Flash Tag Cloud для eZ Publish, Simple Tags для Expression Engine (версія 1.6.3 і нові версії, де була додана підтримка даного swf-файла), Freetag для Serendipity (підтримка флеш-файла була додана в версії 2.103), Tag cloud для Social Web CMS, Animated tag cloud для PHP-Fusion, 3D Advanced Tags Clouds для Magento, Cumulus для Sweetcron та інші веб додатки з цією флешкою.

А також теми для движків, зокрема для Drupal, що використовують цю флешку (про п’ять вразливих тем до Drupal я писав раніше). Як я зазначив вище, вразливі лише веб додатки з новими версіями цього флеш-файла (і багато веб додатків та сайтів використовують саме нові версії флешки).

Продовжуючи розпочату традицію, після попереднього відео про зміну адмінського пароля в Joomla, пропоную нове відео на веб секюріті тематику. Цього разу відео про обхід аутентифікації через SQL Injection. Рекомендую подивитися всім хто цікавиться цією темою.

sql injection

В даному відео ролику демонструється одна з найбільш простих і відомих SQL ін’єкцій. Але в даному випадку має місце не просто SQL Injection атака, а обхід аутентифікації через SQL Injection. Тому що SQL ін’єкція має місце в формі аутентифікації. Причому автор відео знайшов дану уразливість на сайті університету (web.arizona.edu) в старій версії phpMyAdmin (версія 2.5.6).

Подібні SQL ін’єкції в формах аутентифікації достатньо поширені. Я сам багато разів знаходив такі уразливості на різних сайтах та в різних веб додатках, про що я вже писав, зокрема в CMS WebManager-Pro. Рекомендую подивитися дане відео для розуміння векторів атак через SQL Injection.

В даній добірці уразливості в веб додатках:

• Apple MobileSafari Attachment Viewing Cross Site Scripting Vulnerability (деталі)
• XSS vulnerabilities in phpList (деталі)
• XSRF (CSRF) in phpList (деталі)
• ABUS TVIP 11550/21550 Multiple vulnerabilities (and possibly other ABUS cams) (деталі)
• XSS vulnerabilities in Noah’s Classifieds (деталі)
• Double free vulnerability in libxml2 (деталі)
• XSS in Max’s PHP Photo Album (деталі)
• Double free vulnerability in libxml2 (деталі)
• Path disclousure in yappa-ng Photo Gallery (деталі)
• HP SiteScope, Cross Site Scripting (XSS) and HTML Injection (деталі)

18.07.2011

У липні, 07.07.2010, я знайшов нові Cross-Site Scripting уразливості на http://www.alfabank.com.ua - сайті Альфа-Банка. Про що найближчим часом сповіщу адміністрацію сайта. Причому минулого літа я звертав увагу представників банку, що на даному сайті багато дірок, але вони так і не виправили їх (ні вищезгаданих дірок, ні попередніх) і не почали слідкувати за безпекою власних сайтів.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на alfabank.com.ua.

Детальна інформація про уразливості з’явиться пізніше.

16.11.2011

XSS:

• alert(document.cookie)
• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Всі сторінки сайта уразливі до XSS причому в будь-яких довільних параметрах. Це призводить до появи на кожній сторінці сайта довільного числа уразливостей (в довільному числі параметрів), хоч мільярда XSS дірок.

Тобто це “нескінченні дірки”, які ще й знаходиться на всіх сторінках сайта. Про дірки, які поширені на весь сайт, я вже писав в статті Уразливості, що мають місце на всьому сайті, а в даному випадку це поєднання цих двох типів уразливостей.

Дані уразливості досі не виправлені.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://8oda.kiev.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://autofan.kharkov.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://x-dom.com.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://oeda.com.ua (хакером iskorpitx) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.bcmebli.com.ua (хакером Mr.L4iVe) - 05.11.2011, зараз сайт вже виправлений адмінами

Численні уразливості безпеки в Adobe Shockwave Player.

Уразливі версії: Adobe Shockwave Player 11.6.

Численні пошкодження пам’яті.

• Adobe Shockwave Player Director File Parsing data of rcsl chunk multiple DOS vulnerabilities (деталі)
• Adobe Shockwave Player Director File Parsing PAMM memory corruption vulnerability (деталі)
• Security update available for Adobe Shockwave Player (деталі)

В даній добірці уразливості в веб додатках:

• Directory Traversal Vulnerability in Cisco Network Admission Control Manager (деталі)
• Request Tracker security update (деталі)
• Multiple XSS in ZENphoto (деталі)
• Multiple Vulnerabilities in Cisco Firewall Services Module (деталі)
• SQL injection in 4images (деталі)
• Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances and Cisco Catalyst 6500 Series ASA Services Module (деталі)
• Multiple Path disclousure in 4images (деталі)
• Path disclousure in ZENphoto (деталі)
• Multiple G-WAN vulnerabilities (деталі)
• XSS in Webmin 1.540 + exploit for privilege escalation (деталі)

13.07.2011

У липні, 07.07.2010, я знайшов Full path disclosure та Cross-Site Scripting уразливості на http://www.alfabank.com.ua - сайті Альфа-Банка. Про що найближчим часом сповіщу адміністрацію сайта. Причому минулого літа я звертав увагу представників банку, що на даному сайті багато дірок, але вони так і не виправили їх (ні вищезгаданих дірок, ні інших) і не почали слідкувати за безпекою власних сайтів.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.vab.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

15.11.2011

Full path disclosure:

http://www.alfabank.com.ua/ukr/vacancy/9/183/1

http://www.alfabank.com.ua/inc/vacancy.inc.php

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

Окрім параметра query також уразливі будь-які параметри в пошуковому скрипті. Це призводить до появи на сайті довільного числа уразливостей (в довільному числі параметрів), хоч мільярда XSS дірок.

Якщо FPD вже виправлені, то XSS уразливості досі не виправлені.

За повідомленням www.xakep.ru, американці готові судитися через витік особистих даних.

Американці підуть на багато чого, щоб уникнути крадіжки особистих даних. І, відповідно до нового дослідження Unisys, багато хто з них визнають, що готові подавати позови в суд на уряд і організації, що піддають ризику їхні дані.

Результати дослідження Unisys Security Index, що проводиться два рази на рік, у ході якого опитуються більше 1000 американців на предмет з’ясування споживчої точки зору на цілий ряд проблем безпеки, показали, що більше трьох чвертей опитаних готові цілком припинити мати справу з організацією у випадку витоку даних. Це зайвий раз підкреслює необхідність кращого захисту споживчих даних, переданих електронним способом.

За повідомленням www.securit13.com, вийшов Епізод 9: Мобільна загроза.

На початку листопада вийшов дев’ятий подкаст від Securit13, що публікує подкасти про інформаційну безпеку. Головная тема цього епізоду безпека мобільних пристроїв (але у випуску розглянуто багато й інших тем).

Зазначу, що нещодавно я дав інтерв’ю Securit13. Тому в наступному їхньому подкасті ви зможете його прослухати .

За повідомленням gizmodo.com, SQL Injection License Plate Hopes to Foil Euro Traffic Cameras.

Однією з тем дев’ятого подкасту від Securit13 є пошук SQL ін’єкцій у камерах відеоспостереження за трафіком. Один європейський дослідник безпеки вирішив перевірити камери відеоспостереження за машинами на предмет SQL Injection уразливостей, розмістивши атакуючий SQL запит замість номера автомобіля.

Звичайно малоімовірно, що в алгоритмі розпізнавання номерів авто в ПЗ, що обробляє дані з камер, буде SQL ін’єкція. Особливо така, що спрацює від коду, який використав секюріті дослідник . Але він вирішив перевірити свою вдачу.