Websecurity - Веб безпека

30.08.2012

У серпні, 16.08.2012, я виявив Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості в плагіні Floating Tweets для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Rokbox.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

11.01.2013

Full path disclosure (WASC-13):

http://site/wp-content/plugins/floating-tweets/dcwp_floating_tweets.php
http://site/wp-content/plugins/floating-tweets/dcwp_floating_tweets_widget.php
http://site/wp-content/plugins/floating-tweets/skin.php?skin=1

Directory Traversal (Windows) (WASC-33):

http://site/wp-content/plugins/floating-tweets/skin.php?widget_id=2&skin=1\1

DT дозволяє зчитувати лише css-файли (в папці /skins/ та підпапках). При відключених mq можна використати Null Byte Injection, що дозволить через DT зчитувати довільні файли.

XSS (persistent XSS) (WASC-08):

Три persistent XSS дірки. Для атаки потрібно обійти захист від CSRF (параметр savewidgets). Наприклад, використовуючи reflected XSS.

Floating Tweets XSS.html

Floating Tweets XSS-2.html

Floating Tweets XSS-3.html

Приклади атак для даних трьох XSS на IE7 та попереді версії. З використанням MouseOverJacking можна атакувати будь-які браузери (при цьому жертва повинна зробити рух мишкою). Код спрацює одразу при відправці запита і в подальшому при відвідуванні http://site/wp-admin/widgets.php.

Floating Tweets XSS-4.html

Приклад атаки на будь-які браузери. Код виконається на головній і будь-якій зовнішній сторінці сайта.

Уразливі Floating Tweets 1.0.1 та попередні версії.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Hacking tool
• Application service architecture
• Content filtering (Content-control software)
• Internet safety
• Website reputation ratings

У січні, 08.01.2013, вийшов Mozilla Firefox 18. Нова версія браузера вийшла через півтора місяця після виходу Firefox 17.

Mozilla офіційно представила реліз веб-браузера Firefox 18, примітний переходом на новий JIT-компілятор IonMonkey. Відповідно до шеститижневого циклу розробки, реліз Firefox 19 намічений на 19 лютого, а Firefox 20 на 2 квітня.

Також були випущені Thunderbird 18, Seamonkey 2.15 і Firefox 18 для платформи Android.

Одночасно з Firefox 18 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 10.0.2 і Firefox 17.0.2, у яких відзначається тільки виправлення уразливостей і серйозних помилок. Оновлення для ESR-гілки Firefox 10 будуть випускатися до 19 лютого до моменту виходу відновлення Firefox 17.0.3, на яке буде запропоновано мігрувати користувачам гілки Firefox 10 (планується автоматичне виконання міграції).

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 18.0 усунуто 21 уразливість, серед яких 12 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (включаючи покращення до одного попереднього патча).

Це найбільша кількість виправлень уразливостей в Firefox та движку Gecko (що використовується й в інших браузерах) в рамках одного випуску. Порівняно з усіма попередніми релізами.

• Релиз Firefox 18 c новым JIT-компилятором IonMonkey (деталі)

В даній добірці експлоіти в веб додатках:

• Maxthon3 about:history XCS Trusted Zone Code Execution (деталі)
• FreeFloat FTP Server Arbitrary File Upload Vulnerability (деталі)
• Nagios XI Network Monitor Graph Explorer Component Command Injection (деталі)
• Firefox/Chrome/Chromium Multiple Web Browsers (Memory Exhaustion) (деталі)
• XML-RPC PingBack API Remote DoS Exploit (through xmlrpc.php) (деталі)

DoS уразливість в XML-RPC стосується як WordPress, так й інших веб додатків, що використовують XML-RPC.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kyivobljust.gov.ua (хакерами з Ashiyane Digital Security Team) - 31.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.chernihiv.mns.gov.ua (хакером TURK KURSUNU) - 02.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://agrex.gov.ua (хакером FaiSaL404) - 06.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.s-p.com.ua (хакером Franky)
• http://www.p-planet.net (хакером hacker) - 07.01.2013, зараз сайт вже виправлений адмінами

Виявленні численні уразливості безпеки в Mozilla Firefox, Thunderbird та Seamonkey.

Уразливі продукти: Firefox ESR 10.0, Mozilla Firefox 17.0, Firefox ESR 17.0, Thunderbird 17.0, SeaMonkey 2.14.

Численні пошкодження пам’яті, переповнення буфера, підвищення привілеїв, підміна адреси, некоректно виданий сертифікат.

В цій версії представлено 21 патч (включаючи покращення до одного попереднього патча). Це новий рекорд, попередній був 17 патчів.

• Mozilla Foundation Security Advisory 2012-98 (деталі)
• Mozilla Foundation Security Advisory 2013-01 (деталі)
• Mozilla Foundation Security Advisory 2013-02 (деталі)
• Mozilla Foundation Security Advisory 2013-03 (деталі)
• Mozilla Foundation Security Advisory 2013-04 (деталі)
• Mozilla Foundation Security Advisory 2013-05 (деталі)
• Mozilla Foundation Security Advisory 2013-06 (деталі)
• Mozilla Foundation Security Advisory 2013-07 (деталі)
• Mozilla Foundation Security Advisory 2013-08 (деталі)
• Mozilla Foundation Security Advisory 2013-09 (деталі)
• Mozilla Foundation Security Advisory 2013-10 (деталі)
• Mozilla Foundation Security Advisory 2013-11 (деталі)
• Mozilla Foundation Security Advisory 2013-12 (деталі)
• Mozilla Foundation Security Advisory 2013-13 (деталі)
• Mozilla Foundation Security Advisory 2013-14 (деталі)
• Mozilla Foundation Security Advisory 2013-15 (деталі)
• Mozilla Foundation Security Advisory 2013-16 (деталі)
• Mozilla Foundation Security Advisory 2013-17 (деталі)
• Mozilla Foundation Security Advisory 2013-18 (деталі)
• Mozilla Foundation Security Advisory 2013-19 (деталі)
• Mozilla Foundation Security Advisory 2013-20 (деталі)

В даній добірці уразливості в веб додатках:

• EMC NetWorker Format String Vulnerability (деталі)
• Multiple SQL Injection Vulnerabilities in Elite Bulletin Board (деталі)
• Multiple vulnerabilities in Banana Dance (деталі)
• Symantec Messaging Gateway SSH with backdoor user account (деталі)
• Log Analyzer 3.6.0 - Cross Site Scripting Vulnerability (деталі)
• mahara security update (деталі)
• Symantec Messaging Gateway - Support Backdoor (деталі)
• MoinMoin vulnerabilities (деталі)
• mediawiki-extensions security update (деталі)
• Open-Realty CMS 3.x | Persistent Cross Site Scripting (XSS) Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Gmail Login, List Communities та ArribaLaEsteban. Для котрих з’явилися експлоіти. Simple Gmail Login - це плагін для аутентифікації через логін і пароль до Gmail, List Communities - це плагін для створення спільнот, ArribaLaEsteban - це тема движка.

• Wordpress Plugin Simple Gmail Login Stack Trace Vulnerability (деталі)
• WordPress List Communities SQL Injection (деталі)
• WordPress ArribaLaEsteban SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про просунуті SQL Injection, пропоную нове відео на веб секюріті тематику. Цього разу відео про нові шляхи взлому веб додатків. Рекомендую подивитися всім хто цікавиться цією темою.

28c3: New Ways I’m Going to Hack Your Web App

Наприкінці 2011 року на конференції 28c3 відбувся виступ Jesse Ou і Rich. В своєму виступі вони розповіли про нові техніки взлому веб додатків, такі як Clickjacking та методи обходу захисту від Clickjacking, обхід захисту від CSRF, експлуатація складних XSS, обхід SOP та атаки через XML.

Про деякі з цих методів я вже розповідав. Рекомендую подивитися дане відео для розуміння векторів атак на веб додатки.

У грудні, 20.12.2012, вийшли PHP 5.3.20 та PHP 5.4.10. В яких виправлено біля 15 багів. Дані релізи направлені на покращення стабільності гілок 5.3.x і 5.4.x.

Жодних уразливостей в цих версіях PHP виправлено не було.

По матеріалам http://www.php.net.