Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://anycool-ua.com (хакером BLacK_Wh!TE) - 02.11.2008, зараз сайт вже виправлений адмінами
• http://gotel.lisichansk.com.ua (хакером c@p@noglu) - 31.10.2008, зараз сайт вже виправлений адмінами
• http://megayalta.com (хакером 3RqU) - причому спочатку сайт був похаканий 07.11.2008 хакером 3RqU, а 08.11.2008 похаканий Crazy-_-44 (зараз сайт вже виправлений адмінами). Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.arcgrants.info (хакером DEATH HACKER) - 26.09.2008, зараз сайт вже виправлений адмінами
• http://realmoon.org (хакером yabas38) - 03.11.2008, зараз сайт вже виправлений адмінами

Проводячи сьогодні дослідження уразливості на cpmstar.com, що я знайшов 19.01.2008, я виявив, що в Інтернеті дуже багато флешек з цією ж самою уразливістю. Всього в Інтернеті біля 215000 флеш файлів вразливих до Cross-Site Scripting (на більше 200000 сайтів).

Це видно з даних Google:

filetype:swf inurl:clickTAG

І це тільки ті флешки, що проіндексував Гугл, а реально їх може бути набагато більше. В результатах трапляються сайти з невразливими флешками (або сайти де вже немає згаданих флешек), але це поодинокі випадки, і майже всі сайти в результатах пошуку Гугла є вразливими. До речі, торік я вже писав, що 500000 flash файлів на популярних сайтах уразливі до XSS.

XSS:

Уразливість в наступному AS коді:

getURL(_root.clickTAG, "_blank");

Атака відбувається через передачу XSS коду flash файлу в параметрі clickTAG:

http://site/flash.swf?clickTAG=javascript:alert('XSS')

При кліку на флешку відбувається передача функції getURL рядку, що переданий флешці через параметр clickTAG. Таким чином може виконатися JS код, що був переданий флешці.

На http://server.cpmstar.com:

• alert(’XSS’)

Зазначу, що флешки з target = “_blank” (в getURL) не дозволяють дістатися до cookies. А також вони не працють в IE6. Якщо target заданий не “_blank” (або зовсім не вказаний), то тоді флешки дають можливість дістатися до кукісів в усіх браузерах (та працють в IE6).

Ось ще приклади вразливих флешек на трьох сайтах:

На http://www.banjohangout.org:

• alert(’XSS’)

На http://ad1.emediate.dk:

• alert(’XSS’)

На http://www.open4smart.eu:

• alert(’XSS’)

Існують подібні флешки, що використовують змінну clickTAG, з наступним AS кодом:

getURL(_root.clickTAG, _root.TargetAS);

Атака відбувається з використанням змінних clickTAG і TargetAS:

http://site/flash.swf?clickTAG=javascript:alert('XSS')&TargetAS=

На http://www.adspeed.com:

• alert(’XSS’)
• alert(document.cookie)
• цікавий

Це дозволяє дістатися до кукісів в усіх браузерах та атака нормально працює в IE.

Дані XSS - це strictly social XSS, про які я вже згадував стосовно уразливості на craigslist.org. Про даний клас уразливостей я ще розповім детально.

P.S.

Як я вияснив під час додаткових досліджень, при target = “_blank” (в getURL) можна дістатися до кукісів в Firefox 3. Тому при вказаному в флешці target = “_blank” до кукісів не можна дістатися в IE6 та Mozilla, зате можна дістатися до кукісів в Firefox 3 і можливо в інших браузерах.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.old.biotint.com (хакером Snik) - 22.10.2008 був похаканий форум сайта, зараз форум не працює. Причому це інший домен сайта biotint.com, що вже був взломаний раніше
• http://dbng.info (хакером DEATH HACKER) - 26.09.2008, зараз сайт вже виправлений адмінами
• http://svsystems.com.ua (хакером 3RqU) - 31.10.2008, зараз сайт вже виправлений адмінами
• http://creatautomation.com (хакером deli61) - причому спочатку сайт був похаканий 26.09.2008 хакером deli61, а сьогодні я виявив, що він вже похаканий SyMpHoNy_R. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.dn.npu.edu.ua (хакером c0derLine) - 19.09.2008, зараз сайт вже виправлений адмінами

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://epicrise.lisichansk.com.ua (хакером c@p@noglu)
• http://sisek.net.ua (хакером ProwL) - похаканий форум сайта, в даному випадку одна директорія, що взломана методом використання аплоадера
• http://hopeis.org (хакером HOSAM ALI) - причому спочатку сайт був похаканий 23.10.2008 HOSAM ALI, а сьогодні я виявив, що він вже похаканий MR KARAM. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.krayany.lubny.com.ua (хакером Pit10) - 21.10.2008, зараз сайт не працює
• http://kagarlyk-city.org.ua (хакером 3RqU) - похаканий форум сайта

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.forum.it-club.mk.ua (форум сайта it-club.mk.ua) (хакером HaCkSpY) - 09.09.2008, зараз форум вже виправлений адмінами
• http://wap.mydinamit.com (хакером KinG) - 27.09.2008, зараз сайт не працює (закритий адміністраторами)
• http://globus.in.ua (хакером ISHAK ALGERIa)
• http://you-buy-viagra.com (хакером GenthOnX)
• http://b-c1.com (хакером GHoST61)

В своїх дослідженнях похаканих сайтів, що я регулярно публікую з липня цього року, я розповідав про численні випадки взломів різних сайтів в Уанеті. Зокрема, серед числа нещодавно похаканих сайтів. Враховуючи важливість забезпечення безпеки державних сайтів (в кожній серйозній державі), я вирішив дослідити ситуацію зі взломами державних сайтів України.

Безпека сайтів наших органів влади залишає бажати кращого, про що я неодноразово писав. Зокрема, в новинах я розповідав про знайдені мною уразливості на сайті Верховної Ради України, Кабінета Міністрів України, Президента України, kmv.gov.ua, kmr.gov.ua, www.sbu.gov.ua, www.szru.gov.ua, www.dcz.gov.ua, www.niisp.gov.ua, mail.kmv.gov.ua та www.bank.gov.ua. Деякі з виявлених мною уразливостей були виправлені (на деяких з наведених сайтів), але не всі. Часто окрім того, що дані структури самі не слідкують за безпекою, так ще й мої попередження про уразливості ігнорують.

В цілому ситуація з безпекою державних сайтів в Україні не визиває позитивних емоцій і знаходиться на низькому рівні. Нашим спецслужбам, зокрема СБУ, варто потурбуватися про покращення рівня захищенності державних сайтів - як своїх власних, так і в цілому всіх державних сайтів. Що зараз ними робиться незадовільно і цю ситуацію варто покращувати.

Серед виявлених мною взломів державних сайтів є наступні:

• http://if.gov.ua (хакерами з byond hackers team) - був похаканий 01.03.2006, по даним redtram.com.
• http://www.mvk.if.ua (хакером DumansaL) - був похаканий 25.08.2008, про що я писав нещодавно.

Враховуючи наведені приклади, а також ту інформацію про взломи державних сайтів, що мені розповідали користувачі сайту, можна впевнено стверджувати, що державні сайти України періодично взламують. Хоча й лише рідкі випадки випливають у вільний доступ. Дана ситуація зі вломами gov-сайтів, пов’язана з недостатнім рівнем їх безпеки. Кожна країна в світі повинна слідкувати за безпекою власних державних сайтів, чого я бажаю й Україні.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.iasa.org.ua/forum/ (форум сайта www.iasa.org.ua) (хакером BuGiS) - причому спочатку форум був похаканий 19.09.2008 BuGiS, а сьогодні я виявив, що він вже похаканий CNB. Схоже, що форум сайта постійно хакається, як і деякі інші сайти в Уанеті
• http://team911.kiev.ua (хакером DeLeTe)
• http://www.iio.npu.edu.ua (хакером c0derLine) - 04.09.2008, зараз сайт не працює (виключений адміністраторами)
• http://www.zigmund.kiev.ua (хакером ProwL) - 10.08.2008, зараз сайт не працює, лише одна сторінка дефейсу залишилася
• www.vistrya.if.ua (хакером DumansaL) - 25.08.2008, зараз сайт вже виправлений адмінами

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://lisichansk.com.ua (хакерами MeXe, BLaSTER і 3RqU) - причому спочатку сайт був похаканий 29.09.2008 цими трьома хакерами, а потім 01.10.2008 хакером KIZGIN. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті. Зараз сайт вже виправлений адмінами
• http://www.compcenter.com.ua (хакером MEFTUN) - 28.09.2008, зараз сайт вже виправлений адмінами
• http://areca.com.ua (хакером Yusuf KARA) - 20.09.2008 був похаканий форум проекту
• http://www.idn.npu.edu.ua (хакером c0derLine) - 04.09.2008, зараз сайт вже виправлений адмінами
• http://zbvpsb.com (хакером MEFTUN) - 04.10.2008, зараз сайт відключений хостером

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://www.buddyhollytribute.info (хакером DEATH HACKER) - 26.09.2008, зараз сайт не працює із-за відсутності його сторінок
• http://www.avihuja.info (хакером DEATH HACKER) - 25.09.2008, причому DEATH HACKER спочатку взломав сайт 25.09.2008, а потім ще раз 26.09.2008, зараз сайт не працює із-за відсутності його сторінок
• http://ssa.ntu-kpi.kiev.ua (хакером XUGURX)
• http://www.forum.biotint.com (форум сайта biotint.com) (хакером novice) - 28.09.2008, зараз форум не працює, тому що відсутні його сторінки і виводиться лише інсталятор форума
• www.buk.kiev.ua (хакером Bgh7)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://www.joomlao.com (хакерами Huseyin і Ugur) - причому спочатку сайт був похаканий 14.08.2008 цими двома хакерами, а потім 16.09.2008 хакерами DnS TeAm. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.ii.npu.edu.ua (хакером PsychO.zZ) - 29.08.2008, зараз сайт вже виправлений адмінами
• http://mebelmarket.net (хакерами S4t4n1c_s0uls) - 12.09.2008, зараз сайт вже виправлений адмінами
• http://ycnex.kiev.ua (хакерами HipnotiyhC і Ziyaretci)
• http://aist.ntu-kpi.kiev.ua (хакером XUGURX) - 22.08.2008, зараз сайт вже виправлений адмінами