Архів для категорії 'Дослідження'

Похакані сайти №25

22:44 18.12.2008

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.ukrmebli.com (хакером Zyoma)
  • http://site.cv.ua (хакером Cimch3)
  • http://www.terminal-tsc.com (хакером Assassin) - причому спочатку сайт 04.12.2008 був похаканий Assassin, а 14.12.2008 похаканий hacker_20. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://www.jurist.org.ua (хакером RealDarbe) - 22.10.2008, зараз сайт вже виправлений адмінами
  • http://fastrackids.com.ua (хакерами Kiproo і CrazY) - 11.12.2008, зараз сайт вже виправлений адмінами

Похакані сайти №24

22:48 10.12.2008

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://box.rv.ua (хакером hackTHEsystem) - 29.11.2008, зараз сайт не працює
  • http://www.panbud.com.ua (хакером hr0m)
  • http://www.ivaos.od.ua (хакером DarK_SovaLy3) - 28.11.2008, зараз сайт вже виправлений адмінами
  • http://mtk.kiev.ua (хакерами DERHUMAN і DESPOT) - причому спочатку сайт був похаканий 25.08.2008 цими двома хакерами, а 23.11.2008 похаканий hack-ponchika. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://www.iia.com.ua (хакером ProwL)

Похакані сайти №23

22:45 05.12.2008

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://mayka.dn.ua (хакером HighLaNDeR)
  • http://www.neoviz.net (хакером ALi_EREN) - 29.11.2008, зараз сайт вже виправлений адмінами
  • http://s-pchelove.com (хакером QeeQ)
  • http://annabublik.com.ua (хакером F34RL355) - взломаний орієнтовно 19.11.2008, зараз сайт вже виправлений адмінами (лише одна стара похакана сторінка залишилася)
  • http://www.svitkomfortu.ua (хакером Player)

Пекло редиректорів (Redirectors’ hell)

22:46 03.12.2008

Як я писав в Класифікації DoS уразливостей у веб додатках, існує такий тип DoS уразливостей, що називається Зациклений DoS. Це коли веб додаток редиректить на самого себе, що призводить до нескінченної редирекції.

Приведу приклад подібної DoS атаки під назвою Пекло редиректорів (Redirector’s hell), розробленої мною 18.09.2008. Дана атака - це другий варіант Зацикленого DoS, коли не редиректор сам на себе редиректить, а два редиректори нескінченно редиректять один на одного.

В якості демонстрації атаки я вибрав сервіси tinyurl.com та elfurl.com.

DoS (Looped DoS):

Атака двунаправлена: http://tinyurl.com <-> http://elfurl.com. Вона навантажує сайти обох сервісів.

http://tinyurl.com/very-fun-url
http://elfurl.com/5vosm

Зайшовши на будь-яку з цих адрес ви потрапите в “пекло редиректорів” :-) - в процес нескінченної редирекції.

Дана атака можлива через використання функції Custom alias на tinyurl.com. Це Abuse of Functionalty уразливість на tinyurl.com, що призводить до Looped DoS атаки.

Існують різні клієнти: Mozilla автоматично зупиняє зациклений редирект (видає Redirect Loop Error), а IE - не зупиняє. Якщо клієнт, що звертається до даних сервісів, сам не зупинить редирект, наприклад бот пошукових систем, то це спричинить велике навантаження на сервери.

Похакані сайти №22

22:41 27.11.2008

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://pokupka.dp.ua (хакером S4LIX3M) - причому спочатку сайт був похаканий 11.11.2008 хакером S4LIX3M, а 20.11.2008 похаканий redMin. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://black.net.ua (хакером 3RqU)
  • http://www.sadykov.mk.ua (хакером F34RL355) - 25.08.2008, зараз сайт не працює
  • http://www.tenderconsulting.com.ua (хакерами ThE.BiLeN та друзі)
  • http://elis.com.ua (хакером MecTruy) - 07.11.2008, зараз сайт вже виправлений адмінами

Похакані сайти №21

22:46 20.11.2008

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://vgorodke.com.ua (хакером islam_Bey)
  • http://www.svitkomfortu.ua (хакером Player)
  • http://www.newtest.provereno.com.ua (хакерами SpySecurityTeam) - 28.09.2008, зараз сайт не працює
  • http://wxd.com.ua (хакером SheKkoLik) - 01.11.2008, зараз сайт вже виправлений адмінами
  • http://cyouth.com.ua (хакером Beyaz_Hacker) - причому спочатку сайт був похаканий 13.10.2008 хакером Beyaz_Hacker, а 24.10.2008 похаканий Ab1i (зараз сайт вже виправлений адмінами). Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

Похакані сайти №20

22:43 13.11.2008

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://anycool-ua.com (хакером BLacK_Wh!TE) - 02.11.2008, зараз сайт вже виправлений адмінами
  • http://gotel.lisichansk.com.ua (хакером c@p@noglu) - 31.10.2008, зараз сайт вже виправлений адмінами
  • http://megayalta.com (хакером 3RqU) - причому спочатку сайт був похаканий 07.11.2008 хакером 3RqU, а 08.11.2008 похаканий Crazy-_-44 (зараз сайт вже виправлений адмінами). Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://www.arcgrants.info (хакером DEATH HACKER) - 26.09.2008, зараз сайт вже виправлений адмінами
  • http://realmoon.org (хакером yabas38) - 03.11.2008, зараз сайт вже виправлений адмінами

XSS уразливості в 215000 флеш файлах

22:41 12.11.2008

Проводячи сьогодні дослідження уразливості на cpmstar.com, що я знайшов 19.01.2008, я виявив, що в Інтернеті дуже багато флешек з цією ж самою уразливістю. Всього в Інтернеті біля 215000 флеш файлів вразливих до Cross-Site Scripting (на більше 200000 сайтів).

Це видно з даних Google:

filetype:swf inurl:clickTAG

І це тільки ті флешки, що проіндексував Гугл, а реально їх може бути набагато більше. В результатах трапляються сайти з невразливими флешками (або сайти де вже немає згаданих флешек), але це поодинокі випадки, і майже всі сайти в результатах пошуку Гугла є вразливими. До речі, торік я вже писав, що 500000 flash файлів на популярних сайтах уразливі до XSS.

XSS:

Уразливість в наступному AS коді:

getURL(_root.clickTAG, "_blank");

Атака відбувається через передачу XSS коду flash файлу в параметрі clickTAG:

http://site/flash.swf?clickTAG=javascript:alert('XSS')

При кліку на флешку відбувається передача функції getURL рядку, що переданий флешці через параметр clickTAG. Таким чином може виконатися JS код, що був переданий флешці.

На http://server.cpmstar.com:

Зазначу, що флешки з target = “_blank” (в getURL) не дозволяють дістатися до cookies. А також вони не працють в IE6. Якщо target заданий не “_blank” (або зовсім не вказаний), то тоді флешки дають можливість дістатися до кукісів в усіх браузерах (та працють в IE6).

Ось ще приклади вразливих флешек на трьох сайтах:

На http://www.banjohangout.org:

На http://ad1.emediate.dk:

На http://www.open4smart.eu:

Існують подібні флешки, що використовують змінну clickTAG, з наступним AS кодом:

getURL(_root.clickTAG, _root.TargetAS);

Атака відбувається з використанням змінних clickTAG і TargetAS:

http://site/flash.swf?clickTAG=javascript:alert('XSS')&TargetAS=

На http://www.adspeed.com:

Це дозволяє дістатися до кукісів в усіх браузерах та атака нормально працює в IE.

Дані XSS - це strictly social XSS, про які я вже згадував стосовно уразливості на craigslist.org. Про даний клас уразливостей я ще розповім детально.

P.S.

Як я вияснив під час додаткових досліджень, при target = “_blank” (в getURL) можна дістатися до кукісів в Firefox 3. Тому при вказаному в флешці target = “_blank” до кукісів не можна дістатися в IE6 та Mozilla, зате можна дістатися до кукісів в Firefox 3 і можливо в інших браузерах.

Похакані сайти №19

22:42 06.11.2008

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.old.biotint.com (хакером Snik) - 22.10.2008 був похаканий форум сайта, зараз форум не працює. Причому це інший домен сайта biotint.com, що вже був взломаний раніше
  • http://dbng.info (хакером DEATH HACKER) - 26.09.2008, зараз сайт вже виправлений адмінами
  • http://svsystems.com.ua (хакером 3RqU) - 31.10.2008, зараз сайт вже виправлений адмінами
  • http://creatautomation.com (хакером deli61) - причому спочатку сайт був похаканий 26.09.2008 хакером deli61, а сьогодні я виявив, що він вже похаканий SyMpHoNy_R. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://www.dn.npu.edu.ua (хакером c0derLine) - 19.09.2008, зараз сайт вже виправлений адмінами

Похакані сайти №18

23:41 01.11.2008

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://epicrise.lisichansk.com.ua (хакером c@p@noglu)
  • http://sisek.net.ua (хакером ProwL) - похаканий форум сайта, в даному випадку одна директорія, що взломана методом використання аплоадера
  • http://hopeis.org (хакером HOSAM ALI) - причому спочатку сайт був похаканий 23.10.2008 HOSAM ALI, а сьогодні я виявив, що він вже похаканий MR KARAM. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
  • http://www.krayany.lubny.com.ua (хакером Pit10) - 21.10.2008, зараз сайт не працює
  • http://kagarlyk-city.org.ua (хакером 3RqU) - похаканий форум сайта