Websecurity - Веб безпека

У вересні була виявлена та оприлюднена Cross-Site Request Forgery уразливість в WordPress. Яка стосується останньої версії WP. Вона була знайдена Akastep.

Раніше я вже писав про XSS, Redirector та CSRF уразливості в WordPress.

CSRF:

Дана уразливість в /wp-admin/index.php дозволяє відправити міжсайтовий запит залогіненому адміну та змінити RSS лінку на дошці оголошень.

• WordPress 3.4.2 Cross Site Request Forgery (деталі)

Уразливі WordPress 3.4.2 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wp-TopBar, Notices Ticker та Sociable. Для котрих з’явилися експлоіти. Wp-TopBar - це плагін для створення панелей на сторінках сайта, Notices Ticker - це плагін для створення приміток, Sociable - це плагін для додання соціальних функцій на сайт.

• WordPress Wp-TopBar 4.02 CSRF / XSS (деталі)
• WordPress Notices CSRF / XSS (деталі)
• WordPress Sociable Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.krasn-rada.gov.ua (хакерами з KalimndorTeam) - 13.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.molodogvardiysk-rada.gov.ua (хакерами з KalimndorTeam) - 13.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.krasnoarmiyska-rada.gov.ua (хакерами з KalimndorTeam) - 13.06.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nshvets.com (хакерами з Black HaT Group)
• http://alexdesign.dn.ua (хакером siamak.black) - 03.09.2012, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Krea3AllMedias, Tierra’s Audio Playlist Manager та MF Gig Calendar. Для котрих з’явилися експлоіти. Krea3AllMedias - це плагін для роботи з медіа, Tierra’s Audio Playlist Manager - це плагін для управління аудіо плейлістами, MF Gig Calendar - це плагін для розміщення календаря.

• WordPress Krea3AllMedias SQL Injection (деталі)
• WordPress Tierra Audio Path Disclosure (деталі)
• WordPress MF Gig Calendar 0.9.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В цьому місяці, 29 вересня, в Києві відбудеться Всеукраїнська конференція розробників та користувачів вільних програм.

Даний захід - це щорічна конференція, яка присвячена розробці та практичному застосуванню рішень на базі вільного програмного забезпечення. Це буде вже одинадцята конференція. Про цей захід та про перелік доповідей ви можете детальніше дізнатися на офіційному сайті конференції.

Я планую прийняти участь в конференції та виступити з доповіддю “Проблеми безпеки відкритих веб додатків”. Тому всі бажаючі можуть відвідати мою та інші доповіді на конференції.

P.S.

Розмістив доповідь в себе на сайті:

Проблемы безопасности открытых веб приложений

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://connected.dn.ua - інфекція була виявлена 20.07.2012. Зараз сайт входить до переліку підозрілих.
• http://sanatoriitruskavca.com - інфекція була виявлена 27.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://olenchinkova.com - інфекція була виявлена 26.08.2012. Зараз сайт не входить до переліку підозрілих.
• http://ukrwest.com.ua - інфекція була виявлена 04.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://ukrzahid.com.ua - інфекція була виявлена 01.07.2012. Зараз сайт не входить до переліку підозрілих.

Існує такий плагін для WP як WordPress File Monitor, що являє собою монітор файлів.

Цей секюріті плагін подібний до плагінів WordPress Exploit Scanner та Belavir, про які я розповідав раніше. Він проводить перевірку цілісності файлів та сповіщає адміна при будь-яких додаваннях, видаленнях та змінах файлів. Повідомлення відправляються на емайл адміністратора, а також створюється алерт в адмінці. При цьому WordPress File Monitor може сканувати й інші файли, окрім файлів движка - в цьому він краще за вищезгадані плагіни.

Користувачі WP можуть користуватися цим плагіном для виявлення шелів та бекдорів на власних сайтах (після взлому, або якщо часто хакають, або для профілактики - про всяк випадок). Також його можна використати для виявлення розміщення шкідливого коду на сайті, але більш краще використати для цього веб антивіруси, які перевірять також і всі записи сайту (з БД). Для цього існують спеціальні плагіни для WP, про які я вже писав, та численні антивірусні системи, такі як Web Virus Detection System.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Forum, Cloudsafe365 та HD Webplayer. Для котрих з’явилися експлоіти. Simple Forum - це плагін для створення форуму, Cloudsafe365 - це секюріті плагін (і при цьому дірявий, як й інші плагіни для WP), HD Webplayer - це флеш відео плеєр.

• WordPress Simple Forum Shell Upload (деталі)
• WordPress Cloudsafe365 Local File Inclusion (деталі)
• WordPress HD Webplayer 1.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://tcso.gov.ua (хакером VirusDuba) - 20.07.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://khkr.gov.ua (хакером MeGo) - 07.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kava.vn.ua (хакером Dr-spam) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://www.ekstramed.com.ua (хакером Hmei7) - 11.07.2012, зараз сайт вже виправлений адмінами
• http://privat-agent.if.ua (хакером aLLiGaToR) - 01.09.2012, зараз сайт вже виправлений адмінами. До речі, це сайт агента ПриватБанк (і за безпекою він слідкує так само як і ПБ)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dobrostroy.com.ua - інфекція була виявлена 04.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://kishta.com.ua - інфекція була виявлена 01.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://megasuperomatic.com - інфекція була виявлена 21.09.2012. Зараз сайт входить до переліку підозрілих.
• http://insel.kiev.ua - інфекція була виявлена 12.09.2012. Зараз сайт не входить до переліку підозрілих.
• http://muzfan.in.ua - інфекція була виявлена 25.07.2012. Зараз сайт не входить до переліку підозрілих.