Несколько проблем в Webalizer

Рекомендуем почитать:

Xakep #299. Sysmon

Webalizer - популярный инструмент анализа лог
файлов web-сервера, который выдает сообщения
в HTML-формате. Некоторые версии webalizer
содержат два недостатка, которые могут
позволять злонамеренному пользователю
вставлять неподконтрольные данные в
сгенерированные сообщения. Это может
использоваться, чтобы выполнить сценарии в
контексте защиты рассматриваемого сайта.
При некоторых условиях, эти недостатки
могут позволять злонамеренному
пользователю выполнять команды
дистанционно на Web-сервере, где эти
сообщения сохранены.

Список ниже суммирует недостатки, которые
могут эксплуатироваться злонамеренным
пользователем, чтобы ввести HTML-теги в
сообщения webalizer. После введения,
злонамеренные данные будут обработаны, как
только жертва просмотрит
скомпрометированное сообщение.

1. Тэги в именах хоста

Программа webalizer вслепую доверяет данным,
возвращенным распознавательной
библиотекой операционной системы, при
выполнении обратного определения адресов.
Злонамеренный пользователь, который имеет
контроль над зоной отображения адресов DNS,
может установить адрес с PTR-записью,
указывающим на имя, содержащее HTML-тэги, и
затем обратится к Web-серверу, на котором
выполняется webalizer. Когда программа webalizer
считывает файлы регистрации, адрес,
зарегистрированный в них, распознается к
имени, содержащему HTML-тэги, которые будут
вставлены в сгенерированные HTML-сообщения.
Обратите внимание, что число систем,
уязвимых к этому недостатку, может быть
небольшим, поскольку наиболее современные
распознавательные библиотеки отказываются
возвращать имена хоста, содержащие
метасимволы HTML.

2. Тэги в ключевых словах поиска

Программа webalizer имеет способность
синтаксического анализа содержания HTTP referrer.
Собранные данные сравниваются со списком
механизма поиска URL, так, чтобы программа
могла представлять слова, которые
используются при анализе сайта. К сожалению,
извлеченные ключевые слова хранятся не
модифицированными в сгенерированных HTML
файлах - это позволяет злонамеренному
пользователю вставлять тэги
непосредственно в сообщения, соединяясь с
Web сервером и посылая HTTP заголовок "Referer",
содержащий мета символы HTML.

Уязвимость найдена в webalizer 2.01-06. Более
ранние версии не тестировались.

Несколько проблем в Webalizer

Xakep #299. Sysmon

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Картинки в водопаде. Учимся рисовать изображения радиоволнами

Agent Tesla. Учимся реверсить боевую малварь в Ghidra

HTB Surveillance. Эксплуатируем инъекцию команд через скрипт ZoneMinder

Как работает EDR. Подробно разбираем механизмы антивирусной защиты

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

Количество атак на мобильные устройства в России возросло в 5,2 раза

Microsoft: ATP28 эксплуатировала баг в Windows Print Spooler несколько лет

Малварь GuptiMiner распространялась через обновления антивируса eScan

Открыта регистрация на соревнования Киберколизей

Малварь атакует тех, кто ищет детское порно