Websecurity - Веб безпека

Сьогодні я виявив Cross-Site Scripting та Insufficient Anti-automation уразливості в плагіні Wordfence Security. Це секюріті плагін для WordPress. Дані уразливості я виявив на security-testlab.com. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Floating Tweets.

XSS:

Wordfence Security XSS.html

Insufficient Anti-automation:

Wordfence Security IAA.html

Немає захисту (капчі) від автоматизованого підбору емайла адміна. А якщо знати емайл адміна, то таким чином можна буде автоматизовано спамити йому листами з сайта.

Уразливі Wordfence Security 3.3.5 та попередні версії.

P.S.

Після мого повідомлення, розробник виправив дані уразливості в версії 3.3.7. Але при цьому IAA дірка була виправлена неякісно.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://popilnya-rajrada.gov.ua (хакером NeT-DeViL) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://minregiongkh.ark.gov.ua (хакером Dr-TaiGaR) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://msp.ark.gov.ua (хакером NeT-DeViL) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.britishcouncil.lviv.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.britishcouncil.com.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ABC-Test, Archin та Token Manager. Для котрих з’явилися експлоіти. ABC-Test - це плагін для проведення тестування, Archin - це комерційна (преміум) тема движка, Token Manager - це плагін для створення компонентів під час розробки для даної CMS.

• WordPress ABC-Test 0.1 Cross Site Scripting (деталі)
• WordPress Archin Cross Site Scripting (деталі)
• Wordpress Plugin Token Manager Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжу розповідати вам про сайти для пошуку md5 хешей.

В Інтернеті існують веб сайти для пошуку md5 хешей (як й інших хешей). Тобто вони призначені для взлому md5 хешей, щоб по хешу отримати його значення (у випадку хеша пароля, це дозволить отримати пароль).

До раніше наведених сайтів зверну вашу увагу на наступні:

• http://md5.thekaine.de
• http://www.onlinehashcrack.com (md5 та інші хеші)
• http://www.cmd5.org (md5, sha1, mysql та інші хеші)
• http://www.cmd5.ru (md5, sha1, mysql та інші хеші)
• https://goog.li (md4, md5 та інші хеші)

В подальшому я продовжу наводити перелік подібних сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://cs-mapping.com.ua - інфекція була виявлена 09.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://c8.net.ua - інфекція була виявлена 29.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://3s.ua - інфекція була виявлена 16.10.2012. Зараз сайт входить до переліку підозрілих.
• http://lukas.com.ua - інфекція була виявлена 08.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://ava.ua - інфекція була виявлена 26.09.2012. Зараз сайт не входить до переліку підозрілих.

Серед різних секюріті плагінів для WordPress, про деякі з них я вже розповідав, як то WordPress File Monitor, існує такий плагін як WordPress Attack Scanner.

Цей плагін постачається в двух версіях: безкоштовній (Free) та платній (Pro). WordPress Attack Scanner Free доступний для скачування як з packetstormsecurity.org, так і з офіційного сайта розробника www.attack-scanner.com. Версію Pro можна купити на офіційному сайті.

Даний сканер атак представляє собою детектор атак для WP. У версії Free плагіна доступне лише логування атак, збір статистики та виведення статистики в адмінці. В Pro версії окрім цього також доступне блокування атак, додання IP нападників в блекліст та інші функції (в тому числі підтримка IP Ban list від партнерів). Тобто якщо безкоштовна версія плагіна - це IDS, то платна версія - це не тільки детектор атак, але й IPS або WAF. Повний перелік відмінностей між двома версіями наводиться на сайті.

Зазначу, що чи то в їхньому власному списку заблокованих IP, чи то в партнерському списку додані IP мого провайдера (якщо не всієї України). Бо, по їхнім даним, з цього регіону у них багато абюзу (не вперше зустрічаю таке регіональне блокування). Що призвело до блокування доступу до їхнього сайта, де вони використовують власний плагін (в тому числі це не дозволяє викачати з офіційного сайта Free версію, чи купити Pro версію плагіна). Що є наочною демонстрацією його роботи . Такі дрібниці ні мене, ні будь-кого, хто цього бажає, не зупинить в отриманні доступу до цього сайта, бо це блокування легко обходиться.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.amnu.gov.ua (хакером The.Bilen) - 10.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://chasovrada.gov.ua (хакером AL.MaX HaCkEr) - 16.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.minagro.gov.ua (хакером ENO) - 24.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.fokus-pokus.info (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.fokus-pokus.com (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.sharpei.com.ua (хакером uykusuz001)
• http://www.britishcouncil.net.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.britishcouncil.kiev.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://www.britishcouncil.od.ua (хакером Ops507) - 02.09.2012, зараз сайт вже виправлений адмінами
• http://zoorinok.com.ua (хакером endless)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Add Multiple Users, Sexy Add Template та Download Monitor. Для котрих з’явилися експлоіти. Add Multiple Users - це плагін для додання багатьох користувачів, Sexy Add Template - це плагін для розширення тем движка, Download Monitor - це плагін для ведення статистики скачувань файлів.

• WordPress Add Multiple Users Cross Site Request Forgery (деталі)
• WordPress Sexy Add Template CSRF Shell Upload (деталі)
• Wordpress Download Monitor - Download Page Cross-Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

25.07.2012

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку (1-20), 21 та 22.

Ось нова добірка уразливих секюріті сайтів:

• iss.incom.ua
• security-testlab.com
• zpd.gov.ua

Всім секюріті фірмам та державним органам з питань безпеки слід приділяти більше уваги безпеці власних веб сайтів.

05.10.2012

Ще одна добірка уразливих секюріті сайтів:

• www.8.uisgcon.org
• iss.incom.ua та it-consulting.incom.ua
• www.cisco.com

Всім секюріті фірмам та організаторам конференцій на тему безпеки слід приділяти більше уваги безпеці власних веб сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ideatrio.com.ua - інфекція була виявлена 09.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://politologs.org.ua - інфекція була виявлена 09.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://kdc.kiev.ua - інфекція була виявлена 30.09.2012. Зараз сайт входить до переліку підозрілих.
• http://dana-kiev.com.ua - інфекція була виявлена 16.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://waldorf.in.ua - інфекція була виявлена 07.09.2012. Зараз сайт не входить до переліку підозрілих.