Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.fmi.npu.edu.ua (хакером BlackLabeL) - 08.06.2009, зараз сайт вже виправлений адмінами
• http://www.1r.dn.ua (хакером XSSql) - 06.06.2009, зараз сайт вже виправлений адмінами
• http://www.maxmayar.com.ua (хакером Ozel HarekaT з 1923Turk-Grup) - причому спочатку сайт 06.06.2009 був похаканий Ozel HarekaT, а зараз сайт похаканий P@RS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.energostal.com.ua (хакером CodexT-Piiz HacKer) - 10.05.2009, зараз сайт вже виправлений адмінами
• http://x2.net.ua (хакером AsSerT) - 04.06.2009, зараз сайт закритий (залишився лише каталог статей)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://hackua.com (невідомими хакерами) - 07.06.2009 - DDoS атака на hackua.com
• http://novovolynsk-rada.gov.ua (хакером cHyK0) - 04.06.2009 - ще один похаканий державний сайт, зараз сайт не працює
• http://www.vip-mobile.mobi (хакером TheWayEnd) - 02.06.2009, зараз сайт вже виправлений адмінами
• http://www.tsp.com.ua (хакером z()()m) - 28.05.2009, зараз сайт вже виправлений адмінами
• http://propolis.sunnet.com.ua (хакером DeMuRe) - 03.06.2009, зараз сайт не працює

В минулому році я писав про взломи державних сайтів України. За весь 2008 рік мною був виявлений один взлом державного сайта. Це явно лише верхівка айзбергу, бо це лише той випадок, що я знайшов (а подібні взломи за звичай швидко виправляються і про них офіційно ніде не повідомляється), і реальна кількість взломів державних сайтів України набагато більша.

В цьому році ситуація зі взломами державних сайтів погіршилася. Лише за перші 5 місяців 2009 року були похакані два державні сайти: Державної податкової адміністрації у Волинській області (http://www.vl-sta.gov.ua) та Головного управління Пенсійного фонду України в Хмельницькій області (http://pfu-km.gov.ua). І це лише знайдені мною випадки, й таких сайтів могло бути більше.

На минулому тижні я знайшов цікаву статтю (за 2005 рік) на сайті журнала Хакер - Неприступный .gov.ua. В якій розповідається про взлом (автором статті) одного урядового порталу. І з якою ви можете ознайомитися. З цієї статті в Хакері, з вищезгаданих випадків взломів державних сайтів та з інформації, яку я навів в своїй попередній статті, можна зробити відповідні висновки про стан безпеки державних сайтів України.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.traveller.com.ua (хакером AsSerT) - 27.05.2009 - похаканий форум сайта, який вже виправлений адмінами
• http://www.bob.com.ua (хакером ProwL)
• http://cvalka.org.ua (хакером AsSerT)
• http://fbulldog.kiev.ua (хакерами з Ashiyane Digital Security Team)
• http://vtp.com.ua (хакерами з ParsiHacker Security Team)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://extreme.com.ua (хакером AsSerT) - 26.05.2009, зараз сайт вже виправлений адмінами
• http://plural.org.ua (хакером AsSerT)
• http://www.thegta4.com (хакером Al-Mafia) - 25.05.2009, зараз сайт вже виправлений адмінами
• http://www.travel-extreme.com.ua (хакером AsSerT) - 22.05.2009 - похаканий форум сайта, який вже виправлений адмінами
• http://www.board.sevcity.com (хакером fOx) - 22.04.2009, зараз сайт вже виправлений адмінами

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://finrada.com (хакером LANCE)
• http://www.iia.com.ua (хакером ProwL) - похакана директорія сайта
• http://www.mvmpu99.com.ua (хакером cHyK0)
• http://www.ukrface.kiev.ua (хакерами AycanBey і M3G4-TURK)
• http://inet-mag.com.ua (хакером CrAzY HaCkErZ) - 13.05.2009, зараз сайт вже виправлений адмінами

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pfu-km.gov.ua (хакером DeRf) - 10.05.2009, зараз сайт вже виправлений адмінами. Це другий похаканий державний сайт в цьому році після www.vl-sta.gov.ua
• http://avtomarket.rv.ua (хакером HALLELUJAH) - 06.05.2009, зараз сайт вже виправлений адмінами
• http://www.samara-sv.info (хакерами з 1923Turk-Grup) - 06.05.2009, зараз сайт вже виправлений адмінами
• http://magicnumbers.com.ua (хакером 3RqU)
• http://www.pczone.com.ua (хакером SyMpHoNy_R) - 11.05.2009, зараз сайт закритий адміном

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.wyshywka.com.ua (хакерами з 1923TurK-Grup) - 19.04.2009, зараз сайт вже виправлений адмінами
• http://www.inbest.com.ua (хакером ProwL)
• http://www.websites-development.net (хакером RoLLBacK з 1923TurK-Grup)
• http://marketing.ua (хакером Cyb3rking)
• http://ksvolodar.com (хакерами з ParsiHacker Security Team)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://wad.cs-mapping.com.ua (хакером moroccan-alien)
• http://www.ogneupor.com (хакерами з AYYILDIZ TEAM)
• http://www.rinok-ukraina.com.ua (хакером AsSerT) - 24.04.2009, зараз сайт вже виправлений адмінами
• http://www.library.crimea.ua (хакером Brkod) - 25.04.2009, зараз сайт вже виправлений адмінами
• http://ya-kianin.com.ua (хакером Cyb3rking) - 13.04.2009 - похаканий форум сайта, який вже виправлений адмінами

This is English version of my URL Spoofing attacks in browsers and search engines article.

I continue the topic, which I begun in previous two advisories about URL Spoofing vulnerability in GoogleBot, Yahoo! Slurp, Mozilla and Internet Explorer, which also can exists in bots of other search engines. And I tell you about the attack which can work in all browsers and all search engines (bots of all search engines can be vulnerable).

At 29.04.2009 I found during researches, that not only url-encoded chars can be used for attack, but standard ASCII chars (from among visible chars). There are possible requests with chars AZaz09, at that AZ automatically converted to az in Mozilla (but not in IE6). And with some special chars in Mozilla (!%^&()`~-_+=) and in IE6 (!^&()`~-_+=, at that ^ and ` IE converts in url-encoded) and corresponding special chars in other browsers (- and _ are supported by all browsers).

URL Spoofing:

http://site.com.aaaaaaaaaawww.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

There must be not more than 63 chars in total between dots (it’s limit on name of subdomain). So between “http://site.com.” and “.tab.net.ua” there can be up to 63 (including) chars. At that there can be arbitrary amount of such subdomains. Among different chars most suitable for attack are chars “-” and especially “_”.

http://site.com.---------------------------------------------------------------.tab.net.ua/sites/blog/site_name.mikolasz/id.195/
http://site.com._______________________________________________________________.tab.net.ua/sites/blog/site_name.mikolasz/id.195/

These attacks work in all browsers and obviously will work in all search engines. As opposed to attacks with using of url-encoded chars, which work among browsers only in Mozilla, IE6, IE7 and Safari 3.2.2 (and potentially in IE8).

Mentioned examples of attacks work in the next browsers: Mozilla 1.7.x, Internet Explorer 6 (6.0.2900.2180), Firefox 3.0.9, Opera 9.52 and Google Chrome 1.0.154.48. And must work in Internet Explorer 7, Safari 3.2.2 and potentially in IE8 and other browsers.

Conducting of attack.

As I wrote earlier, possibility of this attack depends on settings of web server, which must support any domains. So this attack can be conducted not at any web site, but only at appropriately configured ones. Particularly I found next sites, which are vulnerable to this attack: www.tab.net.ua, www.engadget.com and www.poweroptimizer.com.

I pick out two algorithms of conducting of this attack.

1. Using of the site, which has appropriate configuration of web server, which is vulnerable to this attack. Via registration at this site, or via vulnerabilities at it. Let’s look on example of www.tab.net.ua (social network).

• Register an account at www.tab.net.ua.
• Place at your site at this service the malicious code (for conducting of fishing attack, or for spreading of malware).
• Create special URL: http://bank.com._(x63).tab.net.ua/sites/blog/site_name.bad/id.1/.
• Attract victim at this URL.
• Including it’s possible to give this URL to search engines for indexation, so victims will fall into a trap through search engines.

2. Using of own site, which has appropriately configured web server.

• Place at your site the malicious code (for conducting of fishing attack, or for spreading of malware).
• Create special URL: http://bank.com._(x63).badsite.com.
• Attract victim at this URL.
• Including it’s possible to give this URL to search engines for indexation, so victims will fall into a trap through search engines.

In second case, if special antifishing services will put domain of this site (badsite.com) into their lists, than owners of the browsers with antifishing systems will be protected. But only in case, if such systems work on domain (badsite.com), not on domain with subdomains (bank.com._(x63).badsite.com). Otherwise, or filter will not work (depending on what was put into it), or bad guys will can easily bypass it by changing an URL for attack (bank.com._._(x63).badsite.com).

In first case it’ll be hard for antifishing systems to ban the site, because attacking sites will be hosted on legal and popular services.

In conclusion I said, that Internet users must be careful and attend to their security, to not become victim of URL Spoofing attack. As web sites owners must attend to security of their sites.

P.S.

Domain gluing can be used not only for URL Spoofing attack, but also for XSS attack (in some browsers), as I showed on example of www.engadget.com.