Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://areals.org.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://smartsoft.in.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://forvard.ucoz.ua - інфекція була виявлена 23.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://vavrynyuk.com.ua - інфекція була виявлена 30.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://4life.com.ua - інфекція була виявлена 16.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ja-rammstein.com (хакером Azko) - 08.01.2010, зараз сайт вже виправлений адмінами
• http://www.ounb.km.ua (хакером FormatXFormaT) - 16.01.2010, зараз сайт виправлений адмінами, але не повністю - все ще є одна папка сайта з дефейсом
• http://kia.com.ua (хакером 3KB3R) - причому спочатку сайт був взломаний 10.01.2010 3KB3R, а вже 12.01.2010 взломаний Y4S!N. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://subaru.kiev.ua (хакером 3KB3R) - 10.01.2010, зараз сайт вже виправлений адмінами
• http://www.liana.net.ua (хакером kLoq) - 13.01.2010, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://med.odessa.ua - інфекція була виявлена 11.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://alt-cafe.com.ua - інфекція була виявлена 20.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://miracle.dn.ua - інфекція була виявлена 19.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://osh.org.ua - інфекція була виявлена 05.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://violis.com.ua - інфекція була виявлена 11.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://24.ua - інфекція була виявлена 13.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ved.kiev.ua - інфекція була виявлена 28.12.2009. Зараз сайт не входить до переліку підозрілих.
• http://samex.com.ua - інфекція була виявлена 11.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://slipdanbux.org.ua - інфекція була виявлена 04.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://onlinevideo.org.ua - інфекція була виявлена 18.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vnty.vn.ua (хакером Zeus)
• http://kenly2009.at.ua (хакером jankiy3_es3r_genclik)
• http://mebel-rodzin.com.ua (хакером Black^Monster) - 24.12.2009, зараз сайт вже виправлений адмінами
• http://www.salonimperia.com.ua (хакером SALDIRAY)
• http://www.mebel-glamour.com.ua (хакером SALDIRAY)

На державних сайтах (gov-сайтах) часто використовуться флеш файли. І у даних флешках можуть бути уразливості, зокрема Cross-Site Scripting уразливості.

Я вже писав про XSS уразливості в tagcloud.swf на gov та gov.ua, де наводив приклади уразливих флешек на державних сайтах України та інших країн. А зараз я більш детально розповім вам про мої дослідження уразливостей у флешках на державних сайтах в Інтернеті.

В своїй статті XSS уразливості в 8 мільйонах флеш файлах я наводив дані про приблизно 12675 уразливих флешек на gov-сайтах (та навів приклад уразливої флешки на www.fatherhood.gov). Зараз Google повідомляє про приблизно 12702 уразливих флешек. Це флеш банери, що використовуються на gov-сайтах. З них жодного флеш банера Гуглом на виявлено на gov.ua-сайтах.

В своїй статті XSS уразливості в 34 мільйонах флеш файлах я наводив дані про приблизно 273000 уразливих флешек на gov-сайтах. Зараз Google повідомляє про приблизно 305000 уразливих флешек. Це файли tagcloud.swf, що використовуються на державних сайтах. З них на українських державних сайтах розміщено як мінімум 8 tagcloud.swf файлів на восьми сайтах (про сім з яких я вже розповідав).

Всього по даним двом типам флеш файлів (банери і tagcloud.swf) в Інтернеті наявно 317702 флешек на державих сайтах різних країн, які уразливі до XSS та HTML Injection атак. З них в Уанеті як мінімум 8 флешек на восьми gov.ua-сайтах.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://7seas-tour.com.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://boxnews.com.ua - інфекція була виявлена 04.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://elit-design.org.ua - інфекція була виявлена 02.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://kite.mk.ua - інфекція була виявлена 08.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 21 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://uletno.org.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

В грудні в своїй статті XSS уразливості в 8 мільйонах флеш файлах я писав, що в Інтернеті є до 34000000 флешек tagcloud.swf потенційно вразливих до XSS атак. Враховучи, що мало хто звернув увагу в попередній статті на мою згадку про ще 34 мільйони вразливих флешек, то я вирішив написати про це окрему статтю.

Файл tagcloud.swf розроблений автором плагіна WP-Cumulus для WordPress і постачається з даним плагіном для WordPress, а також з іншими плагінами, зокрема Joomulus і JVClouds3D для Joomla та Blogumus для Blogger. Враховуючи поширеність даного флеш файла, зазначу, що це найбільш поширена флешка в Інтернеті з XSS уразливістю.

Поширенність проблеми.

Взразливих файлів tagcloud.swf в Інтернеті дуже багато (за даними Google):

filetype:swf inurl:tagcloud.swf

Якщо 18.12.2009 результатів було приблизно 34000000, то зараз результатів приблизно 32500000. І це лише флеш файли проіндексовані Гуглом, а реально їх може бути набагато більше.

Тобто є приблизно 32,5 мільйони сайтів з файлом tagcloud.swf вразливих до XSS та HTML Injection атак.

З них приблизно 273000 gov-сайтів вразливих до XSS та HTML Injection атак.

Уразливості в swf-файлі.

Файл tagcloud.swf вразливий до XSS та HTML Injection атак через параметр tagcloud.

XSS:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

HTML Injection:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

HTML Injection атаку можна провести зокрема на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

Приклади уразливих сайтів.

Приклади уразливих сайтів з даним swf-файлом я наводив в записі XSS уразливості в tagcloud.swf на gov та gov.ua.

Так що флеш девелоперам варто слідкувати за безпекою своїх флешек. А власникам сайтів з уразливими флешками (зокрема tagcloud.swf) потрібно або самим їх виправити, або звернутися за цим до їх розробників.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://teva.ua - інфекція була виявлена 07.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://posada.com.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 44 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://polynovepole.com.ua - інфекція була виявлена 07.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://aiuto.at.ua - інфекція була виявлена 06.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://odegda.cv.ua - інфекція була виявлена 08.01.2010. Зараз сайт входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://superconnection.tv (хакером NuriBaba) - 01.01.2010, зараз сайт заблоковано
• http://www.carillon.kiev.ua (хакером SALDIRAY) - 17.12.2009, зараз сайт вже виправлений адмінамий
• http://4life.org.ua (хакером Th3 M4RoC4in GhOsT) - 29.12.2009, зараз сайт не працює
• http://22usd.4life.org.ua (хакером Th3 M4RoC4in GhOsT) - 29.12.2009, взломаний піддомен сайта 4life.org.ua
• http://bugtrack.begger.org (хакерами holocaust і BlackCAT)