Websecurity - Веб безпека

Враховуючи накопичену мною за 2001-2013 роки інформацію про хакерську активність в Уанеті, я вирішив навести підсумкову інформацію про атаки gov.ua сайти. Наведу порівняльну статистику взломів і DDoS атак на державні сайти України за останні 13 років.

Статистика буде за 2001 - 2013 роки. За ці роки всього було атаковано 568 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких було виявлено чимало за час моїх досліджень інфікованих сайтів в Уанеті.

За весь 2001 рік в Уанеті було атаковано 2 веб сайти.

За весь 2002 рік в Уанеті було атаковано 2 веб сайти.

За весь 2003 рік в Уанеті було атаковано 1 веб сайт.

За весь 2004 рік в Уанеті було атаковано 3 веб сайти.

За весь 2005 рік в Уанеті було атаковано 10 веб сайти.

За весь 2006 рік в Уанеті було атаковано 23 веб сайти.

За весь 2007 рік в Уанеті було атаковано 13 веб сайтів.

За весь 2008 рік в Уанеті було атаковано 18 веб сайтів.

За весь 2009 рік в Уанеті було атаковано 24 веб сайти.

За весь 2010 рік в Уанеті була атаковано 48 веб сайтів.

За весь 2011 рік в Уанеті була атаковано 104 веб сайти.

За весь 2012 рік в Уанеті була атаковано 171 веб сайтів.

За весь 2013 рік в Уанеті була атаковано 149 веб сайтів.

Як видно зі статистики, починаючи з 2008 року кількість атак на державні сайти постійно зростає.

P.S.

Звіт був оновлений після виявлення нових даних за друге півріччя 2013 року.

18.12.2013

Виявлена можливість підміни сертифікатів в cURL.

Уразливі продукти: cURL 7.33, libcurl 7.33.

При виключеному CURLOPT_SSL_VERIFYPEER також не перевіряється ім’я хоста.

• Vulnerability in curl (деталі)

01.02.2014

Додаткова інформація.

• curl vulnerability (деталі)

В даній добірці експлоіти в веб додатках:

• Franklin Fueling TS-550 evo 2.0.0.6833 - Multiple Vulnerabilities (деталі)
• Ability Mail Server 2013 - Password Reset CSRF from Stored XSS (Web UI) (деталі)
• EMC Data Protection Advisor DPA Illuminator EJBInvokerServlet RCE (деталі)
• Adobe ColdFusion 9 Administrative Login Bypass Vulnerability (деталі)
• HP LoadRunner EmulationAdmin Web Service Directory Traversal (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ThisWay, Gallery Bank та Kernel. Для котрих з’явилися експлоіти. ThisWay - це тема движка, Gallery Bank - це плагін для створення галерей зображень, Kernel - це тема движка.

• WordPress ThisWay Shell Upload (деталі)
• WordPress Gallery Bank 2.0.19 Cross Site Scripting (деталі)
• WordPress Theme Kernel Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи розпочату традицію, після попереднього відео про Insufficient Process Validation уразливість в LiqPAY, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

MS12-063 Microsoft Internet Explorer execCommand Vulnerability Metasploit Demo

В даному відео ролику демонструється віддалене виконання коду в Internet Explorer версій 7, 8 і 9. Використовується експлоіт для проведення атаки на уразливість в Internet Explorer (показано на прикладі IE8) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в IE спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Виявлена можливість проведення DoS атаки проти PHP.

Уразливі версії: PHP 5.5.

Відмова при обробці інтервалів дат.

• Vulnerabilities in PHP (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.golovderzhkarantyn.gov.ua (хакером Dr.SHA6H) - 18.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.korosten-rayrada.in.ua (хакером Hmei7) - 23.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://revizor911.com (хакером Sejeal) - 16.08.2013, зараз сайт вже виправлений адмінами
• http://www.creativeschool.com.ua (хакером M05L3K) - 07.01.2014, зараз сайт вже виправлений адмінами
• http://chehly.com.ua (хакером Ayyildiz tim) - 11.01.2014, зараз сайт вже виправлений адмінами

18.06.2013

Сьогодні я знайшов Cross-Site Scripting уразливості на сайті http://www.ipay.ua. Про що найближчим часом сповіщу адміністрацію сайта.

iPay.ua - це електронна платіжна система, причому з PCI DSS сертифікатом, але дірява.

Стосовно дірок на сайтах електронних платіжних систем в останнє я писав про уразливості на www.payu.ua. Дірки на сайтах ЕПС з PCI DSS сертифікатами мені доводилося знаходити не раз, зокрема на easypay.ua та www.payu.ua. А також в 2011 і 2012 роках я проводив аудити безпеки двох ЕПС (які були PCI DSS сертифіковані), в яких я виявив чимало уразливостей. Всі ці випадки демонструють якість PCI DSS аудитів, проведених на цих сайтах.

Детальна інформація про уразливості з’явиться пізніше.

30.01.2014

XSS:

• alert(document.cookie)
• цікавий

В старих браузерах, де можна використовувати одинарні лапки:

https://www.ipay.ua/ru/bills/popolnit-schet-life-cherez-internet/?a=';alert(document.cookie)//

Друга дірка виправлена, але перша дірка досі не виправлена. Також в цій EPS є багато інших уразливостей.

Продовжуючи розпочату традицію, після попереднього відео про цікаву уразливість в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про Insufficient Process Validation уразливість в LiqPAY. Також відео демонструє Insufficient Session Expiration уразливість (сесія діє необмежений час), бо на момент запису відео сесія тривала вже 1,5 місяці. Рекомендую подивитися всім хто цікавиться цією темою.

Раніше я писав про уразливості в LiqPAY для Android та iOS. 19.07.2013 я зробив відео для Insufficient Process Validation уразливості (на прикладі свого Android-планшета, для iOS дірка аналогічна), яке 16.01.2014 виклав на YouTube.

В даному відео ролику демонструється використання уразливості в LiqPAY, яка дозволяє отримати доступ до акаунтів користувачів без введення OTP, лише при натисканні іконки LiqPAY клієнта.

Виявлена можливість проведення DoS атаки проти Microsoft Dynamics AX.

Уразливі версії: Microsoft Dynamics AX 4.0, Dynamics AX 2009, Dynamics AX 2012, Dynamics AX 2012 R2.

Зависання при обробці запиту.

• Microsoft Security Bulletin MS14-004 - Important Vulnerability in Microsoft Dynamics AX Could Allow Denial of Service (2880826) (деталі)