Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://programinform.nas.gov.ua (хакерами з Ashiyane Digital Security Team) - 09.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zmiivmisto.gov.ua (хакерами з BROTHERS TEAM) - 22.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ddq.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://amorphia.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://fgs.kiev.ua (українським хакером Dementor)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://4ertim.com.ua - інфекція була виявлена 14.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://skv5.ucoz.ua - інфекція була виявлена 31.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://ierapolis.com - інфекція була виявлена 11.06.2012. Зараз сайт входить до переліку підозрілих.
• http://marineschool.com.ua - інфекція була виявлена 07.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://tvbest.com.ua - інфекція була виявлена 22.04.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ispf.gov.ua (хакерами з TeaM MosTa) - 21.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://khust-miskrada.gov.ua (хакерами з S.V Crew) - 10.05.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.gracie.com.ua (хакером AMIN SAFI)
• http://beltguys.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://cities.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів та сайтів соціальної мережі ВКонтакте, яка є дуже популярною в Україні.

• http://hot-girls.kiev.ua - інфекція була виявлена 17.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://music-video.com.ua - інфекція була виявлена 28.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://vk.com - інфекція була виявлена 20.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://vkontakte.ru - інфекція була виявлена 15.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://trendmagazine.com.ua - інфекція була виявлена 11.04.2012. Зараз сайт не входить до переліку підозрілих.

Інфікованість сайтів ВКонтакте - це звичне явище. Про уразливості та віруси в соціальній мережі ВКонтакте писали в Інтернеті ще з початку її роботи.

В червні, 13.06.2012, вийшла нова версія WordPress 3.4.

WordPress 3.4 це перший випуск нової 3.4 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити покращення в налаштуванні тем (розширені можливості налаштування, попередній перегляд і зручний браузер тем) та індивідуальних заголовків, для яких можна використовувати зображення з бібліотеки (media library). А також покращення стосовно включення постів з Twitter та заголовків зображень.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. Зокрема API для XML-RPC, тем та індивідуальних заголовків, а також збільшена швидкодія WP_Query та системи перекладу.

А також була покращена безпека движка, хоча розробники про це ніде не згадали (достатньо часто вони втихаря виправляють дірки). Зокрема були виправлені уразливості в плагіні Akismet, що є core-плагіном, і саме з WP 3.4 постачаться оновлена версія плагіна з виправленими Cross-Site Scripting і Redirector уразливостями.

В продовження попередніх публікацій про дірки в плагіні Organizer, наведу ще 5 уразливостей в цьому дуже дірявому плагіні для WordPress.

Ще 15.04.2012 я знайшов Directory Traversal, Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress. Це четверта порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує його.

Раніше я писав про уразливості в Organizer для WordPress.

Directory Traversal:

http://site/wp-admin/wp-admin/admin.php?page=organizer/page/view.php

В полях Rename File to та Copy File As можна вказувати відносні шляхи (для переносу чи копіювання файлів в довільні каталоги, в тому числі перезапису існуючих файлів).

XSS:

POST запит на сторінці http://site/wp-admin/admin.php?page= organizer/page/dir.php
"><script>alert(document.cookie)</script>В полях dirname і newdirname.

Як я вже зазначав раніше, скрипт dir.php уразливий до CSRF, що спрощує проведення даних XSS атак.

FPD:

http://site/wp-admin/admin.php?page=organizer/page/users.php

Якщо для всіх ролей (в полі User) зроблені налаштування (в списку User Setting), то в тілі сторінки виводиться повідомлення про помилку з повним шляхом на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mon-ark.gov.ua (хакером SnIpEr_39) - 05.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://stakherson.gov.ua (хакерами з LatinHackTeam) - 07.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tutorials.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://scuba-d.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами
• http://whatisit.com.ua (хакером RcP) - 08.06.2012, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sta.gov.ua - інфікований сайт Державної податкової служби України. Інфекція була виявлена 10.06.2012. Зараз сайт не входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 12.05.2012. Зараз сайт не входить до переліку підозрілих.
• http://deltaig.com.ua - інфекція була виявлена 17.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://rusteatr.odessa.ua - інфекція була виявлена 27.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://dodmc.dn.ua - інфекція була виявлена 30.05.2012. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://legalreform.gov.ua (хакерами з LatinHackTeam) - 21.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lr.nssmc.gov.ua (хакерами з TeaM MosTa) - 23.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mebligrand.com.ua (хакером RcP)
• http://promaua.dp.ua (хакером RcP)
• http://zolotoy-koshik.com.ua (хакером ikus4) - 04.06.2012, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Uploadify, All-in-One Event Calendar та WPsc-MijnPress. Для котрих з’явилися експлоіти. Uploadify - це плагін для надання можливості завантажувати файли на сайт, All-in-One Event Calendar - це плагін для створення календаря, WPsc-MijnPress - це фреймворк для розробників.

• Reflected XSS in Uploadify Integration Wordpress plugin (деталі)
• Multiple XSS vulnerabilities in All-in-One Event Calendar Plugin for WordPress (деталі)
• Wordpress WPsc-MijnPress plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.