Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://kpi.ua - інфекція була виявлена 12.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://www.i.com.ua/~prophesy - інфекція була виявлена 16.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://victoria-company.dp.ua - інфекція була виявлена 27.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://kr-soft-portal.at.ua - інфекція була виявлена 03.01.2010. Зараз сайт входить до переліку підозрілих.
• http://khmilnuk.com.ua - інфекція була виявлена 15.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://hyundai.com.ua (хакером Qasim) - причому спочатку сайт був взломаний 25.11.2009 Qasim, а 22.12.2009 взломаний mc_intikam. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://dneprzori.com (хакером Black^Monster)
• http://www.koras.com.ua (хакером marslinio) - 20.12.2009, зараз сайт вже виправлений адмінами
• http://info.wols.com.ua (хакером Kam_06) - 22.12.2009, зараз сайт вже виправлений адмінами (сайт переїхав на інший домен)
• http://yoga.kr.ua (хакером Mr.D4rK) - 02.12.2009, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://vip-love.com.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://bronedvery.com.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://viptourism.org.ua - інфекція була виявлена 17.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://stroydetal.crimea.ua - інфекція була виявлена 28.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://concol.com.ua - інфекція була виявлена 20.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://newsforex.org.ua - інфекція була виявлена 30.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://univ.kiev.ua - інфекція була виявлена 25.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 17 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://microcredit.com.ua - інфекція була виявлена 20.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 58 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://annual-clan.org.ua - інфекція була виявлена 02.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://playground.org.ua - інфекція була виявлена 12.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://liqpay.com (невідомими хакерами) - 21.12.2009 - DDoS атака на сайт системи LiqPAY
• http://www.sana-centr.info (хакером Black^Monster)
• http://www.4ertim.com (хакером FormatXformat)
• http://www.artan.kiev.ua (хакером SALDIRAY) - 17.12.2009, зараз сайт вже виправлений адмінами
• http://www.ukra.biz (хакером SALDIRAY) - 14.12.2009, зараз сайт закритий адмінами (знаходиться в розробці)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://ce.lviv.ua - інфекція була виявлена 22.11.2009. Зараз сайт не входить до переліку підозрілих.
• http://uhf.com.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://vip-com.lviv.ua - інфекція була виявлена 23.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://zalik.org.ua - інфекція була виявлена 04.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://newsukraine.com.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 54 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Зазначу, що я вже писав про уразливість на newsukraine.com.ua. І власникам цього сайта (як і власникам всіх інфікованих сайтів, про які я писав) варто було краще слідкувати за безпекою. Тоді б подібного з ними не трапилося.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. Якщо минулого разу я навів приклади інфікованих як звичайних сайтів, так і gov-сайтів в Уанеті, то цього разу наведу приклади лише інфікованих недержавних сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://fsetyt.org.ua - інфекція була виявлена 21.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://donnatravel.kiev.ua - інфекція була виявлена 14.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pp.ua - інфекція була виявлена 06.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 15 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://energodar.zp.ua - інфекція була виявлена 03.10.2009. Зараз сайт не входить до переліку підозрілих.
• http://mobile.lviv.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

This is English version of my XSS vulnerabilities in 8 millions flash files article.

I’ll continue a topic, which I started in 2008 in my article XSS vulnerabilities in 215000 flash files. That time I found hundreds of thousands flash files vulnerable to Cross-Site Scripting attacks. After previous article, published at 12.11.2008, I continued researches and found, that much more flash files - millions flash files - were vulnerable to XSS attacks. As flash files in different global and local banner systems, as flash files at individual sites.

Vulnerable ActionScript code.

As I already wrote in previous article, vulnerability is in the next AS code. As with setting second parameter in function getURL (target), as without it.

getURL(_root.clickTAG, "_blank");

But, as my researches showed, in different flash files (at different sites and banner systems) different parameters are using for passing of a site’s address to flash file. Besides clickTAG there are also using url and other parameters.

getURL(_root.url, "_blank");

Attack occurs via passing of XSS code to flash file in clickTAG, url or other parameter:

http://site/flash.swf?clickTAG=javascript:alert('XSS')

http://site/flash.swf?url=javascript:alert('XSS')

There are also flash files which are using two parameters, particularly clickTAG and TargetAS, with the next AS code:

getURL(_root.clickTAG, _root.TargetAS);

Attack occurs with using of parameters clickTAG and TargetAS:

http://site/flash.swf?clickTAG=javascript:alert('XSS')&TargetAS=

After click on flash the transfer of string to function getURL occurs, which passed to flash via appropriate parameter. Thus can be executed JavaScript code, which was passed to flash. So it’s strictly social XSS.

Prevalence of the problem.

Vulnerability exists in ActionScript code for counting of clicks in flash banners. And taking into account that such code is using for many years in different banner systems of Internet (including widespread instructions for developing of flash banners with using of vulnerable AS code), so the problem is widespread enough. For example, I registered at banner.kiev.ua already in 2000, and, as far as I remember, already at that time they had recommendations at the site with using of vulnerable AS code.

So problem is concerned with faulty recommendations for developing of flash banners with possibility of counting of clicks. And it’s concerned millions flash banners in the Net.

Such vulnerabilities exist in many banner system, as global, as local ones. Particularly these vulnerabilities I found in systems phpAdsNew, OpenAds and OpenX (at many sites on these engines), and also in banner system www.banner.kiev.ua and in other banner systems of Uanet an Runet.

There are a lot of potentially vulnerable flash files in Internet (according to Google):

filetype:swf inurl:clickTAG

About 3960000 results. At 12.11.2008 there were about 215000. Growth in 18,42 times for this time.

filetype:swf inurl:url

About 4050000 results. At 12.11.2008 there were about 996000. Growth in 4,07 times for this time.

In total it’s about 8010000 (more than 8 millions) flash files which are potentially vulnerable to XSS attacks. Not all of these flashes are vulnerable, but many of them. And these are only those flash files, which were indexed by Google, and actually there can be much more of them.

Among them there are about 12400 + 275 gov-sites - the sites of state institutions of different countries.

Note, that some of these flashes are using method #1 for protection against XSS, which is mentioned bellow. But it’s small percent of flashes - mostly they are using vulnerable AS code.

Besides, similar Strictly social XSS vulnerability I found at 15.03.2009 in plugin WP-Cumulus for WordPress (in file tagcloud.swf).

filetype:swf inurl:tagcloud.swf

About 34000000 results. I.e. another 34 millions flashes which are potentially vulnerable to XSS attacks . Add 34 millions to 8 millions and result 42 millions of vulnerable flash files!

Nuances of work in different browsers.

In flashes with set target = “_blank” it’s not possible to get to cookies in Internet Explorer (particularly IE6), Mozilla and Google Chrome. But it’s possible to get to cookies in Firefox 3, Opera 9.52 and possibly in other browsers.

Also in case of set target = “_blank”, JS-code doesn’t work in browsers IE6 and Google Chrome.

If target is unspecified, or if target set to other than “_blank” (including via parameter TargetAS, if it’s using in flash), JS-code works in all browsers. And it’s possible to get to cookies in all browsers.

Examples of vulnerable flash files.

Among sites with flashes vulnerable to XSS there is server.cpmstar.com (attack via parameter clickTAG):

• alert(’XSS’)

Among gov-sites as an example of flash at www.fatherhood.gov (attack via parameter clickTag):

• alert(’XSS’)

Example of vulnerable flash at www.banner.kiev.ua (attack via parameter url):

• alert(’XSS’)

Example of vulnerable flash at www.wie-man-sieht.net, which allows to get to cookies in all browsers (attack via parameter url):

• alert(’XSS’)
• alert(document.cookie)

Example of vulnerable flash at www.adspeed.com, which allows to get to cookies in all browsers (attack via parameters clickTAG and TargetAS):

• alert(’XSS’)
• alert(document.cookie)

Protection of flash files against XSS attacks.

To prevent such XSS attacks via flash files it’s needed to not use vulnerable AS code and it’s needed to use one of the next methods.

1. Instead of vulnerable AS code it’s possible to use more secure code. E.g. code which is mentioned at Adobe’s site - Designer’s Guide: Building Macromedia Flash Banners with Tracking Capabilities.

on (release) {
if (clickTAG.substr(0,5) == "http:") {
getURL(clickTAG);
}
}

It’s code on button. If using of code on frame, then for button “button” code will be the next:

_root.button.onRelease = function () {
if (clickTAG.substr(0,5) == "http:") {
getURL(clickTAG);
}
}

But this method isn’t protecting against URL spoofing, which allows to conduct of redirection attacks to arbitrary (including malicious) sites. So it’s better to use more secure AS code.

2. To use direct URL in flash (http://site), without using of parameter clickTAG.

3. If needed to count clicks, then it’s possible to use URL to banner system (http://banner/click?id=1), which will redirect to necessary site.

For example, in my system MustLive Banner System directly in the interface I’m recommending to use for flash banners above-mentioned methods #2 and #3, so there is no this problem with XSS via flash files in it. So attend to your flash files and don’t allow such vulnerabilities in them.

В своїй статті Використання Safe Browsing від Google я розповідав про розроблену мною методику пошуку інфікованих сайтів (які були взломані і на них були розміщені шкідливі коди, або адміни цих сайтів самі розмістили шкідливі коди). Дана методика дозволяє знайти сайти, що були інфіковані на протязі останніх 90 днів.

Наведу вам приклади інфікованих українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

• http://sputnikovoe-tv.com.ua - інфекція була виявлена 16.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://seho.org.ua - інфекція була виявлена 20.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 15 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://cifraweek.com.ua - інфекція була виявлена 01.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://franko.lviv.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ivax.ua - інфекція була виявлена 30.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як видно власники сайтів зовсім не слідкують за їх безпекою. Що призводить до розміщення на них вірусів і про подібні випадки я вже неодноразово писав.

А ось п’ятірка інфікованих gov-сайтів в Уанеті:

• http://man.gov.ua - інфекція була виявлена 17.12.2009. Зараз сайт не входить до переліку підозрілих.
• http://kyivobljust.gov.ua - інфекція була виявлена 14.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://dpa-zp.gov.ua - інфекція була виявлена 23.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://lisproekt.gov.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://dpi.gov.ua - інфекція була виявлена 15.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як видно адміністратори державних сайтів також зовсім не слідкують за їх безпекою. Як цього не роблять і СБУ та ДСТСЗІ.

Після написання новини про те, що понад 100000 сайтів заражені шкідливими iframe, я провів дослідження і знайшов цікавий сервіс Safe Browsing від Google (який є частиною вбудованої в пошуковець антивірусної системи). Даний сервіс дозволяє дізнатися інформацію про будь-який сайт просканований Гуглом, чи він є інфікованим і чи він був інфікованим на протязі останніх 90 днів.

Google є один з небагатьох пошуковців, що вже багато років проводить власні дослідження зараженності веб сайтів, про що періодично публікує звіти, чи заяви стосовно найбільш гучних випадків, як у вищезгаданій новині. А також повідомляє користувачів власної пошукової системи про небезпечність інфікованих сайтів у результатах пошуку. І сервіс Safe Browsing дозволяє отримати доступ до даних Гугла стосовно зараженності сайтів в Інтернеті.

Щоб скористатися сервісом Safe Browsing, потрібно зайти на сторінку діагностики сайта (в URL потрібно вказати домен сайта, інформацію по якому ви хочете отримати):

http://google.com/safebrowsing/diagnostic?site=site.com

І ознайомившись з цим сервісом я розробив метод, за допомогою якого я зможу використовувати Safe Browsing для пошуку інфікованих сайтів (окрім безпосереднього пошуку в Гуглі та знаходженні повідомлень про зараженність сайтів).

Щоб виявити кількість сайтів занесених Гуглом в базу інфікованих, потрібно використати наступні запити:

site:google.com/safebrowsing/

Всього в індексі Гугла до 1570000 сайтів занесених в базу Safe Browsing. Раз вони туди були занесені, значить вони або зараз інфіковані, або були інфіковані раніше.

site:google.com/safebrowsing/ ua

В Уанеті за даними Гугла до 8970 сайтів занесених в базу Safe Browsing.

Скільки сайтів інфіковано за даними Гугла:

site:google.com/safebrowsing/ “suspicious activity”

Всього до 29900 сайтів. З них до 817 gov-сайтів.

Скільки сайтів інфіковано в Уанеті за даними Гугла:

site:google.com/safebrowsing/ ua “suspicious activity”

Всього до 555 сайтів. З них до 84 державних сайтів.