Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://putivlrada.gov.ua - інфікований державний сайт. Інфекція була виявлена 29.05.2012. Зараз сайт входить до переліку підозрілих.
• http://connecteurope.com.ua - інфекція була виявлена 30.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://highway.ua - інфекція була виявлена 29.05.2012. Зараз сайт входить до переліку підозрілих.
• http://siloam.org.ua - інфекція була виявлена 02.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://eurica.com.ua - інфекція була виявлена 29.05.2012. Зараз сайт не входить до переліку підозрілих.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Variable Width Encoding, RSnake розповідає про використання Variable Width Encoding для XSS атак через різні кодування. Він згадав про статтю Cheng Peng Su “Bypassing script filters with variable-width encodings” та продемонстрував власний інструмент для тестування різних кодувань в браузерах на предмет вразливості до XSS.

Інформацію зі статті Ченга я активно використовую з 2006 року в своїх дослідженнях уразливостей на сайтах і в браузерах. Зокрема я писав про Charset Remembering в Firefox та XSS і Charset Remembering через кодування в різних браузерах.

В своєму записі Semi Reflective XSS Worm hits Gaiaonline.com, RSnake розповідає про XSS хробака, що розповсюджувався на сайті gaiaonline.com.

В своєму записі CSS History Hack In Firefox Without JavaScript for Intranet Portscanning, RSnake розповідає про проведення сканування інтранет портів без JavaScript. Зокрема з використанням такої уразливості в браузерах, як History Hack. І він продемонстрував власний інструмент для проведення такого сканування в Firefox.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://programinform.nas.gov.ua (хакерами з Ashiyane Digital Security Team) - 09.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zmiivmisto.gov.ua (хакерами з BROTHERS TEAM) - 22.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ddq.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://amorphia.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://fgs.kiev.ua (українським хакером Dementor)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://4ertim.com.ua - інфекція була виявлена 14.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://skv5.ucoz.ua - інфекція була виявлена 31.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://ierapolis.com - інфекція була виявлена 11.06.2012. Зараз сайт входить до переліку підозрілих.
• http://marineschool.com.ua - інфекція була виявлена 07.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://tvbest.com.ua - інфекція була виявлена 22.04.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ispf.gov.ua (хакерами з TeaM MosTa) - 21.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://khust-miskrada.gov.ua (хакерами з S.V Crew) - 10.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.gracie.com.ua (хакером AMIN SAFI)
• http://beltguys.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://cities.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів та сайтів соціальної мережі ВКонтакте, яка є дуже популярною в Україні.

• http://hot-girls.kiev.ua - інфекція була виявлена 17.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://music-video.com.ua - інфекція була виявлена 28.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://vk.com - інфекція була виявлена 20.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://vkontakte.ru - інфекція була виявлена 15.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://trendmagazine.com.ua - інфекція була виявлена 11.04.2012. Зараз сайт не входить до переліку підозрілих.

Інфікованість сайтів ВКонтакте - це звичне явище. Про уразливості та віруси в соціальній мережі ВКонтакте писали в Інтернеті ще з початку її роботи.

В червні, 13.06.2012, вийшла нова версія WordPress 3.4.

WordPress 3.4 це перший випуск нової 3.4 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити покращення в налаштуванні тем (розширені можливості налаштування, попередній перегляд і зручний браузер тем) та індивідуальних заголовків, для яких можна використовувати зображення з бібліотеки (media library). А також покращення стосовно включення постів з Twitter та заголовків зображень.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. Зокрема API для XML-RPC, тем та індивідуальних заголовків, а також збільшена швидкодія WP_Query та системи перекладу.

А також була покращена безпека движка, хоча розробники про це ніде не згадали (достатньо часто вони втихаря виправляють дірки). Зокрема були виправлені уразливості в плагіні Akismet, що є core-плагіном, і саме з WP 3.4 постачаться оновлена версія плагіна з виправленими Cross-Site Scripting і Redirector уразливостями.

В продовження попередніх публікацій про дірки в плагіні Organizer, наведу ще 5 уразливостей в цьому дуже дірявому плагіні для WordPress.

Ще 15.04.2012 я знайшов Directory Traversal, Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress. Це четверта порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує його.

Раніше я писав про уразливості в Organizer для WordPress.

Directory Traversal:

http://site/wp-admin/wp-admin/admin.php?page=organizer/page/view.php

В полях Rename File to та Copy File As можна вказувати відносні шляхи (для переносу чи копіювання файлів в довільні каталоги, в тому числі перезапису існуючих файлів).

XSS:

POST запит на сторінці http://site/wp-admin/admin.php?page= organizer/page/dir.php
"><script>alert(document.cookie)</script>В полях dirname і newdirname.

Як я вже зазначав раніше, скрипт dir.php уразливий до CSRF, що спрощує проведення даних XSS атак.

FPD:

http://site/wp-admin/admin.php?page=organizer/page/users.php

Якщо для всіх ролей (в полі User) зроблені налаштування (в списку User Setting), то в тілі сторінки виводиться повідомлення про помилку з повним шляхом на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mon-ark.gov.ua (хакером SnIpEr_39) - 05.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://stakherson.gov.ua (хакерами з LatinHackTeam) - 07.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tutorials.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://scuba-d.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://whatisit.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sta.gov.ua - інфікований сайт Державної податкової служби України. Інфекція була виявлена 10.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 12.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://deltaig.com.ua - інфекція була виявлена 17.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://rusteatr.odessa.ua - інфекція була виявлена 27.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://dodmc.dn.ua - інфекція була виявлена 30.05.2012. Зараз сайт не входить до переліку підозрілих.