Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://cube.lviv.ua - інфекція була виявлена 15.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://hc.donetsk.ua - інфекція була виявлена 15.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://warrior.in.ua - інфекція була виявлена 29.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://luxmebel.net.ua - інфекція була виявлена 05.07.2012. Зараз сайт не входить до переліку підозрілих.
• http://luglawyer.ucoz.ua - інфекція була виявлена 16.07.2012. Зараз сайт не входить до переліку підозрілих.

Сьогодні вийшов мій новий комерційний реліз - мій альбом “Narcotic Sound”. В даному випадку це EP і це четвертий комерційний реліз після мого альбому “It’s My House”.

Альбом складається з чотирьох house і tech-house композицій. Він вже розміщений на Juno Download та багатьох інших онлайн магазинах, де його можна прослухати та придбати (в високій якості). Всі композиції можна прослухати в нормальній якості в моєму акаунті на SoundCloud.

До альбому увійшли 4 композиції, що були створені мною в 2011-2012 роках. Це наступні композиції:

1. Narcotic
2. Narcotic (Mix)
3. Addictive Sound
4. Dreaming

У січні я дав інтерв’ю журналу “Власть денег”. І в п’ятому номері журналу, що вийшов 01.02.2012, вийшла стаття, в якій також розповідається і про мене.

Стаття називається “Кібервибори”. В ній розповідається про українських хакерів (як blackhat, так і whitehat хакерів), про кримінальні хакерські послуги в Україні та їх використання партіями, в тому числі в контексті майбутніх парламентських виборів.

Так що кому буде цікаво прочитати інформацію про мене, як тим хто вже читав про мене в журналі Фокус на інших журналах , так і всім іншим, можете дістати собі цей номер “Власть денег”, або прочитати статтю в Інтернеті.

Стаття була розміщена 3 лютого на сайті ДеПо - Кибервыборы.

В зв’язку з тим, що в березні 2014 року з сайта www.depo.ua всі статті були прибрані, то ось вам дана стаття на іншому сайті - Кибервойна! Кибервойна!...

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://new.zmiivrda.gov.ua (хакерами з BROTHERS TEAM) - 22.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.gorodok-vlada.gov.ua (хакерами з iranhack security team) - 27.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tsymbaliuk.com (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта
• http://razom.cv.ua (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта
• http://dlyadoma.kiev.ua (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://if.gov.ua - інфікований державний сайт - інфекція була виявлена 27.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://topspeed.ua - інфекція була виявлена 22.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://med-dovidka.com.ua - інфекція була виявлена 31.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://1tv.com.ua - інфекція була виявлена 19.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://viva.ua - інфекція була виявлена 22.06.2012. Зараз сайт не входить до переліку підозрілих.

Після семи попередніх уразливостей в Akismet, ось нові дірки. У лютому, 23.02.2012, я знайшов Cross-Site Scripting, Redirector та Cross-Site Request Forgery уразливості в плагіні Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. Це друга порція уразливостей в плагіні Akismet.

Раніше я вже писав про XSS, Redirector та FPD уразливості в WordPress.

XSS:

Якщо включена опція “Auto-delete spam submitted on posts more than a month old” і відправці спам коментарю для посту, який старше 30 діб, можлива XSS і Redirector атаки (and they can be conducted as on logged in admins and users, as on any visitors of the site). Вразливі всі версії Akismet з даним функціоналом (до версії 2.5.6).

Потрібно відправити POST запит http://site/wp-comments-post.php (подібно до мого попереднього експлоіту для XSS в коментарях) з вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

Redirector (URL Redirector Abuse):

Атака відбувається при вищенаведених умовах. Потрібно відправити POST запит http://site/wp-comments-post.php (подібно до мого попереднього експлоіту для Redirector в коментарях) з вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: http://attackers_site

При цьому в останній версії Akismet 2.5.6 ці дві уразливості вже виправлені (причому приховано, без жодного згадування в readme.txt). Схоже, що це трапилося після моєї березневої чи квітневої публікації про XSS і Redirector уразливості через редиректори в WP.

CSRF:

В Akismet < 2.0.2 (WordPress < 2.0.11) взагалі не було захисту від CSRF, окрім поля введеня API key. Починаючи з версії Akismet 2.0.2 захист з'явився, але не в усьому фунціоналі.

CSRF уразливість в функції збереження конфігурації. Через POST запит до скрипта http://site/wp-admin/plugins.php ?page=akismet-key-config можна змінювати конфігурацію.

Атака спрацює лише на WP < 2.0.3 (де не було захисту від CSRF в движку) в старих версіях Akismet (таких як 2.0.2 і попередні та деяких наступних).

CSRF уразливість в функції "Check network status". При GET запиті до сторінки http://site/wp-admin/plugins.php ?page=akismet-key-config відбується запит до чотирьох серверів Akismet з кешуванням запиту.

Для відправки запитів до серверів Akismet в обхід кешування, можна відправити POST запит до цієї сторінки. При активних CSRF запитах можна створити навантаження на сервери Akismet (особливо якщо атакувати з багатьох серверів).

WordPress Akismet CSRF.html

Уразливі Akismet 2.5.6 та попередні версії та WordPress 2.0 - 3.4.1.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://investinartemivsk.gov.ua (хакером AL.MaX HaCkEr) - 07.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sts-rrada.gov.ua (хакером shmook) - 12.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://led-profil.com.ua (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта
• http://serial-peremena.com (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта
• http://beachsoccer.com.ua (хакером AL.MaX HaCkEr) - 07.05.2012, зараз сайт вже виправлений адмінами, але дефейс все ще розміщений на окремій сторінці сайта

В червні, 27.06.2012, вийшла нова версія WordPress 3.4.1.

WordPress 3.4.1 це секюріті та багфікс випуск нової 3.4 серії. В якому розробники виправили декілька уразливостей і 6 багів (причому до одного з багів віднесли FPD, що виникала на PHP 5.2.4 і 5.4). А також зробили деякі секюріті покращення.

Про дірки сказано мало, згадується лише про Іnformation disclosure та баг пов’язаний з мультисайтовими інсталяціями. З наявної інформації схоже, що виправили FPD.

Також були виправлені XSS і Redirector уразливості, про які вони не згадали в офіційній публікації, лише назвавши ці виправлення, як секюріті покращення (security hardening). Зокрема з WP 3.4 і 3.4.1 постачається оновлена версія плагіна Akismet з виправленими Cross-Site Scripting і Redirector уразливостями.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://putivlrada.gov.ua - інфікований державний сайт. Інфекція була виявлена 29.05.2012. Зараз сайт входить до переліку підозрілих.
• http://connecteurope.com.ua - інфекція була виявлена 30.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://highway.ua - інфекція була виявлена 29.05.2012. Зараз сайт входить до переліку підозрілих.
• http://siloam.org.ua - інфекція була виявлена 02.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://eurica.com.ua - інфекція була виявлена 29.05.2012. Зараз сайт не входить до переліку підозрілих.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Variable Width Encoding, RSnake розповідає про використання Variable Width Encoding для XSS атак через різні кодування. Він згадав про статтю Cheng Peng Su “Bypassing script filters with variable-width encodings” та продемонстрував власний інструмент для тестування різних кодувань в браузерах на предмет вразливості до XSS.

Інформацію зі статті Ченга я активно використовую з 2006 року в своїх дослідженнях уразливостей на сайтах і в браузерах. Зокрема я писав про Charset Remembering в Firefox та XSS і Charset Remembering через кодування в різних браузерах.

В своєму записі Semi Reflective XSS Worm hits Gaiaonline.com, RSnake розповідає про XSS хробака, що розповсюджувався на сайті gaiaonline.com.

В своєму записі CSS History Hack In Firefox Without JavaScript for Intranet Portscanning, RSnake розповідає про проведення сканування інтранет портів без JavaScript. Зокрема з використанням такої уразливості в браузерах, як History Hack. І він продемонстрував власний інструмент для проведення такого сканування в Firefox.