Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• RSA Security Analytics Multiple Vulnerabilities (деталі)
• TomatoCart v1.x (latest-stable) Multiple Vulnerabilities (деталі)
• Multiple Cross-Site Scripting vulnerabilities in OCS Inventory NG (деталі)
• Apache Cordova 3.5.1: CVE-2014-3502 update (деталі)
• EMC Replication Manager Unquoted File Path Enumeration Vulnerability (деталі)

Раніше я писав про свою систему Web Virus Detection System, що була розроблена мною в 2008 році. Потім я створив нову систему SecurityAlert, в якої доля склалася схоже до першої системи, тому прочитайте історію Web VDS.

SecurityAlert - це сервіс для інформування про інциденти з безпекою на веб сайтах, що була розроблена мною в 2012 році. Відео демонстрація системи SecurityAlert.

Я розробив ідею системи та створив детальний бізнес план ще в липні 2011. Але рік витратив на спілкування з українськими секюріті компаніями та пошук фінансування. В липні 2012 я почав розробку системи, коли знайшов компанію, що обіцяла фінансувати проект, але вже в серпні вона кинула мене і не надала жодної підтримки. Ситуація подібна до 2008 року з Web Virus Detection System (і жодна з компаній, з якими я спілкувався про обидві свої системи, не викликає в мене поваги). Але на відміну від попередньої системи, я продовжив роботу над цією системою після обману спонсора, і з 2012 року значно покращив систему.

У січні, 24.01.2015, я виявив Abuse of Functionality, Brute Force та Cross-Site Request Forgery уразливості в D-Link DCS-910 (веб камера).

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DVG-5402SP та D-Link DCS-910.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

Я опублікував відео про мою систему SecurityAlert. Це система виявлення та інформування про інциденти з безпекою на веб сайтах, такі як взломи, інфікування, фішинг та інші.

Більш детально про SecurityAlert ви можете прочитати в розділі мого сайту.

Виявлені Cross-Site Scripting уразливості в Microsoft Exchange.

Уразливі версії: Microsoft Exchange Server 2013.

Безліч можливостей міжсайтового скриптінга.

• Microsoft Security Bulletin MS15-026 - Important Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (3040856) (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Disqus, Mobile Pack та KenBurner Slider. Для котрих з’явилися експлоіти. Disqus - це плагін для написання коментарів, Mobile Pack - це плагін для перетворення сайта у мобільний веб додаток, KenBurner Slider - це плагін для створення слайдеру.

• WordPress Disqus 2.7.5 CSRF / Cross Site Scripting (деталі)
• WordPress Mobile Pack 2.0.1 Information Disclosure (деталі)
• WordPress KenBurner Slider Arbitrary File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox ESR 31.4, Firefox 35, Thunderbird 31.4, SeaMonkey 2.33.

Обхід обмежень, підміна даних, розкриття інформації, переповнення буфера, пошкодження пам’яті, DoS, виконання коду.

• MFSA 2015-11 Miscellaneous memory safety hazards (rv:36.0 / rv:31.5) (деталі)
• MFSA 2015-12 Invoking Mozilla updater will load locally stored DLL files (деталі)
• MFSA 2015-13 Appended period to hostnames can bypass HPKP and HSTS protections (деталі)
• MFSA 2015-14 Malicious WebGL content crash when writing strings (деталі)
• MFSA 2015-15 TLS TURN and STUN connections silently fail to simple TCP connections (деталі)
• MFSA 2015-16 Use-after-free in IndexedDB (деталі)
• Buffer overflow in libstagefright during MP4 video playback (деталі)
• MFSA 2015-18 Double-free when using non-default memory allocators with a zero-length XHR (деталі)
• MFSA 2015-19 Out-of-bounds read and write while rendering SVG content (деталі)
• MFSA 2015-20 Buffer overflow during CSS restyling (деталі)
• MFSA 2015-21 Buffer underflow during MP3 playback (деталі)
• MFSA 2015-22 Crash using DrawTarget in Cairo graphics library (деталі)
• MFSA 2015-23 Use-after-free in Developer Console date with OpenType Sanitiser (деталі)
• MFSA 2015-24 Reading of local files through manipulation of form autocomplete (деталі)
• MFSA 2015-25 Local files or privileged URLs in pages can be opened into new tabs (деталі)
• MFSA 2015-26 UI Tour whitelisted sites in background tab can spoof foreground tabs (деталі)
• MFSA 2015-27 Caja Compiler JavaScript sandbox bypass (деталі)
• MFSA 2015-28 Privilege escalation through SVG navigation (деталі)
• MFSA 2015-29 Code execution through incorrect JavaScript bounds checking elimination (деталі)

Продовжу тему “Warning” Гугл хакінга (”Warning” Google hacking). Котрий є різновидом Гугл хакінга - використання пошукових систем (зокрема Гугла) для пошуку уразливостей на сайтах.

Дана методика передбачає використання Гугла (чи інших пошукових систем) з метою пошуку повідомлень на сайтах про помилки, і дозволяє знайти важливу інформацію стосовно даних сайтів. За допомогою спеціальних пошукових запитів (дорків) можна знайти Full path disclosure та Information leakage уразливості на різноманітних сайтах в Інтернеті.

Новий перелік “варнінг” пошукових запитів:

Warning: eregi

Warning: eregi_replace

Warning: dbplus

Warning: easter_date

Warning: error_log

Warning: error_reporting

Warning: escapeshellarg

Warning: escapeshellcmd

В даній добірці експлоіти в веб додатках:

• Cisco Ironport AsyncOS HTTP Header Injection Vulnerability (деталі)
• Seagate Business NAS <= 2014.00319 - Pre-Authentication Remote Code Execution (0day) (деталі)
• .NET Remoting Services Remote Command Execution Vulnerability (деталі)
• Samsung Galaxy KNOX Android Browser Remote Code Execution Exploit (деталі)
• MantisBT XmlImportExport Plugin PHP Code Injection Exploit (деталі)

Ще у березні, 05.03.2011, я виявив численні уразливості в phpThumb. Зокрема Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

Цей веб додаток зроблений на основі TimThumb і має подібні XSS, FPD, AoF і DoS уразливості.

XSS (WASC-08):

http://site/phpThumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/phpThumb.php
http://site/phpThumb.php?src=http://

Abuse of Functionality (WASC-42):

http://site/phpThumb.php?src=http://site&h=1&w=1

Denial of Service (WASC-10):

http://site/phpThumb.php?src=src=http://site/big_file&h=1&w=1

Уразливі всі версії phpThumb та веб додатки, що його використовують.