Архів для категорії 'Дослідження'

Похакані сайти №79

22:48 13.01.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://vnty.vn.ua (хакером Zeus)
  • http://kenly2009.at.ua (хакером jankiy3_es3r_genclik)
  • http://mebel-rodzin.com.ua (хакером Black^Monster) - 24.12.2009, зараз сайт вже виправлений адмінами
  • http://www.salonimperia.com.ua (хакером SALDIRAY)
  • http://www.mebel-glamour.com.ua (хакером SALDIRAY)

Уразливості у флешках на державних сайтах

22:45 12.01.2010

На державних сайтах (gov-сайтах) часто використовуться флеш файли. І у даних флешках можуть бути уразливості, зокрема Cross-Site Scripting уразливості.

Я вже писав про XSS уразливості в tagcloud.swf на gov та gov.ua, де наводив приклади уразливих флешек на державних сайтах України та інших країн. А зараз я більш детально розповім вам про мої дослідження уразливостей у флешках на державних сайтах в Інтернеті.

В своїй статті XSS уразливості в 8 мільйонах флеш файлах я наводив дані про приблизно 12675 уразливих флешек на gov-сайтах (та навів приклад уразливої флешки на www.fatherhood.gov). Зараз Google повідомляє про приблизно 12702 уразливих флешек. Це флеш банери, що використовуються на gov-сайтах. З них жодного флеш банера Гуглом на виявлено на gov.ua-сайтах.

В своїй статті XSS уразливості в 34 мільйонах флеш файлах я наводив дані про приблизно 273000 уразливих флешек на gov-сайтах. Зараз Google повідомляє про приблизно 305000 уразливих флешек. Це файли tagcloud.swf, що використовуються на державних сайтах. З них на українських державних сайтах розміщено як мінімум 8 tagcloud.swf файлів на восьми сайтах (про сім з яких я вже розповідав).

Всього по даним двом типам флеш файлів (банери і tagcloud.swf) в Інтернеті наявно 317702 флешек на державих сайтах різних країн, які уразливі до XSS та HTML Injection атак. З них в Уанеті як мінімум 8 флешек на восьми gov.ua-сайтах.

Інфіковані сайти №8

22:45 11.01.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://7seas-tour.com.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://boxnews.com.ua - інфекція була виявлена 04.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://elit-design.org.ua - інфекція була виявлена 02.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://kite.mk.ua - інфекція була виявлена 08.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 21 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://uletno.org.ua - інфекція була виявлена 18.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

XSS уразливості в 34 мільйонах флеш файлах

22:44 09.01.2010

В грудні в своїй статті XSS уразливості в 8 мільйонах флеш файлах я писав, що в Інтернеті є до 34000000 флешек tagcloud.swf потенційно вразливих до XSS атак. Враховучи, що мало хто звернув увагу в попередній статті на мою згадку про ще 34 мільйони вразливих флешек, то я вирішив написати про це окрему статтю.

Файл tagcloud.swf розроблений автором плагіна WP-Cumulus для WordPress і постачається з даним плагіном для WordPress, а також з іншими плагінами, зокрема Joomulus і JVClouds3D для Joomla та Blogumus для Blogger. Враховуючи поширеність даного флеш файла, зазначу, що це найбільш поширена флешка в Інтернеті з XSS уразливістю.

Поширенність проблеми.

Взразливих файлів tagcloud.swf в Інтернеті дуже багато (за даними Google):

filetype:swf inurl:tagcloud.swf

Якщо 18.12.2009 результатів було приблизно 34000000, то зараз результатів приблизно 32500000. І це лише флеш файли проіндексовані Гуглом, а реально їх може бути набагато більше.

Тобто є приблизно 32,5 мільйони сайтів з файлом tagcloud.swf вразливих до XSS та HTML Injection атак.

З них приблизно 273000 gov-сайтів вразливих до XSS та HTML Injection атак.

Уразливості в swf-файлі.

Файл tagcloud.swf вразливий до XSS та HTML Injection атак через параметр tagcloud.

XSS:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

HTML Injection:

http://site/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

HTML Injection атаку можна провести зокрема на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

Приклади уразливих сайтів.

Приклади уразливих сайтів з даним swf-файлом я наводив в записі XSS уразливості в tagcloud.swf на gov та gov.ua.

Так що флеш девелоперам варто слідкувати за безпекою своїх флешек. А власникам сайтів з уразливими флешками (зокрема tagcloud.swf) потрібно або самим їх виправити, або звернутися за цим до їх розробників.

Інфіковані сайти №7

22:48 08.01.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://teva.ua - інфекція була виявлена 07.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://posada.com.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 44 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://polynovepole.com.ua - інфекція була виявлена 07.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://aiuto.at.ua - інфекція була виявлена 06.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://odegda.cv.ua - інфекція була виявлена 08.01.2010. Зараз сайт входить до переліку підозрілих.

Похакані сайти №78

22:47 06.01.2010

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://superconnection.tv (хакером NuriBaba) - 01.01.2010, зараз сайт заблоковано
  • http://www.carillon.kiev.ua (хакером SALDIRAY) - 17.12.2009, зараз сайт вже виправлений адмінамий
  • http://4life.org.ua (хакером Th3 M4RoC4in GhOsT) - 29.12.2009, зараз сайт не працює
  • http://22usd.4life.org.ua (хакером Th3 M4RoC4in GhOsT) - 29.12.2009, взломаний піддомен сайта 4life.org.ua
  • http://bugtrack.begger.org (хакерами holocaust і BlackCAT)

Інфіковані сайти №6

22:46 05.01.2010

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

  • http://kpi.ua - інфекція була виявлена 12.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://www.i.com.ua/~prophesy - інфекція була виявлена 16.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://victoria-company.dp.ua - інфекція була виявлена 27.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://kr-soft-portal.at.ua - інфекція була виявлена 03.01.2010. Зараз сайт входить до переліку підозрілих.
  • http://khmilnuk.com.ua - інфекція була виявлена 15.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Похакані сайти №77

22:44 31.12.2009

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://hyundai.com.ua (хакером Qasim) - причому спочатку сайт був взломаний 25.11.2009 Qasim, а 22.12.2009 взломаний mc_intikam. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://dneprzori.com (хакером Black^Monster)
  • http://www.koras.com.ua (хакером marslinio) - 20.12.2009, зараз сайт вже виправлений адмінами
  • http://info.wols.com.ua (хакером Kam_06) - 22.12.2009, зараз сайт вже виправлений адмінами (сайт переїхав на інший домен)
  • http://yoga.kr.ua (хакером Mr.D4rK) - 02.12.2009, зараз сайт вже виправлений адмінами

Інфіковані сайти №5

22:47 29.12.2009

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

  • http://vip-love.com.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://bronedvery.com.ua - інфекція була виявлена 19.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://viptourism.org.ua - інфекція була виявлена 17.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://stroydetal.crimea.ua - інфекція була виявлена 28.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
  • http://concol.com.ua - інфекція була виявлена 20.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Інфіковані сайти №4

20:09 26.12.2009

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

Ось п’ятірка інфікованих сайтів в Уанеті:

  • http://newsforex.org.ua - інфекція була виявлена 30.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://univ.kiev.ua - інфекція була виявлена 25.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 17 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://microcredit.com.ua - інфекція була виявлена 20.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 58 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://annual-clan.org.ua - інфекція була виявлена 02.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
  • http://playground.org.ua - інфекція була виявлена 12.10.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.