Websecurity - Веб безпека

В продовження попередніх публікацій про дірки в плагіні Organizer, наведу ще 5 уразливостей в цьому дуже дірявому плагіні для WordPress.

Ще 15.04.2012 я знайшов Directory Traversal, Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress. Це четверта порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує його.

Раніше я писав про уразливості в Organizer для WordPress.

Directory Traversal:

http://site/wp-admin/wp-admin/admin.php?page=organizer/page/view.php

В полях Rename File to та Copy File As можна вказувати відносні шляхи (для переносу чи копіювання файлів в довільні каталоги, в тому числі перезапису існуючих файлів).

XSS:

POST запит на сторінці http://site/wp-admin/admin.php?page= organizer/page/dir.php
"><script>alert(document.cookie)</script>В полях dirname і newdirname.

Як я вже зазначав раніше, скрипт dir.php уразливий до CSRF, що спрощує проведення даних XSS атак.

FPD:

http://site/wp-admin/admin.php?page=organizer/page/users.php

Якщо для всіх ролей (в полі User) зроблені налаштування (в списку User Setting), то в тілі сторінки виводиться повідомлення про помилку з повним шляхом на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mon-ark.gov.ua (хакером SnIpEr_39) - 05.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://stakherson.gov.ua (хакерами з LatinHackTeam) - 07.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tutorials.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://scuba-d.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://whatisit.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sta.gov.ua - інфікований сайт Державної податкової служби України. Інфекція була виявлена 10.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 12.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://deltaig.com.ua - інфекція була виявлена 17.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://rusteatr.odessa.ua - інфекція була виявлена 27.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://dodmc.dn.ua - інфекція була виявлена 30.05.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://legalreform.gov.ua (хакерами з LatinHackTeam) - 21.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lr.nssmc.gov.ua (хакерами з TeaM MosTa) - 23.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mebligrand.com.ua (хакером RcP)
• http://promaua.dp.ua (хакером RcP)
• http://zolotoy-koshik.com.ua (хакером ikus4) - 04.06.2012, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Uploadify, All-in-One Event Calendar та WPsc-MijnPress. Для котрих з’явилися експлоіти. Uploadify - це плагін для надання можливості завантажувати файли на сайт, All-in-One Event Calendar - це плагін для створення календаря, WPsc-MijnPress - це фреймворк для розробників.

• Reflected XSS in Uploadify Integration Wordpress plugin (деталі)
• Multiple XSS vulnerabilities in All-in-One Event Calendar Plugin for WordPress (деталі)
• Wordpress WPsc-MijnPress plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://masterphone.com.ua - інфекція була виявлена 27.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://litech.net - інфекція була виявлена 25.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://valki.ucoz.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://masofrt.pl.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://priroda.com.ua - інфекція була виявлена 26.04.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dabi.gov.ua (хакером Vprotest) - 15.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vin-osvita.gov.ua (хакерами з BRMC) - 22.03.2012 - похаканий державний сайт, на сайті все ще розміщений txt файл хакерів
• http://www.gtseminary.kiev.ua (хакерами з Kosova Hackers Crew)
• http://ringfb.net (хакером Hybris) - 25.04.2012, зараз сайт вже виправлений адмінами
• http://propipe.com.ua (хакером sovok)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт, інфекція була виявлена 22.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://simonischool.at.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://medsjoy.biz - інфекція була виявлена 27.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://tcp.com.ua - інфекція була виявлена 23.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://campton.pp.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.lr-pl.gov.ua (хакером Mr.XHat) - 19.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://balta.odessa.gov.ua (хакерами з LatinHackTeam) - 07.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.villavaleria.in.ua (хакером iskorpitx) - 03.06.2011, зараз сайт вже виправлений адмінами
• http://www.business-academy.com.ua (хакером KiLLerMiNd) - 07.06.2011, зараз сайт вже виправлений адмінами
• http://www.boxers.com.ua (хакером urbanr00ts) - 05.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ppu.gov.ua - інфікований державний сайт, інфекція була виявлена 11.04.2012. Зараз сайт входить до переліку підозрілих.
• http://karier.crimea.ua - інфекція була виявлена 22.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://tuib.com.ua - інфекція була виявлена 22.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://orienteering.dp.ua - інфекція була виявлена 14.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://5fg4.pp.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.