Websecurity - Веб безпека

Окрім згаданих мною в 2007 році двох редиректорів (які окрім Redirector, також уразливі до XSS), є багато інших редиректорів. І один зі знайдених мною 13.02.2012 редиректорів (хоча захистився від нього я ще на початку 2007 року) я оприлюдню зараз, а з часом й інші редиректори.

Ще з WP 2.0 є Insufficient Anti-automation, Redirector і Cross-Site Scripting уразливості в wp-comments-post.php. З IAA я стикнувся одразу, як почав використовувати WP в 2006 році. Якщо розробники виправили попередні два редиректори (і уразливості в них) в WP 2.3, то ці уразливості не виправлені навіть в WP 3.3.1.

Раніше я вже писав про DoS та SQL Injection уразливості в WordPress.

Insufficient Anti-automation:

Відсутність капчі в формі коментарів дозволяє проводити автоматизовані атаки. Розробники досі не встановили капчу в форму коментарів WP (з першої версії движка), що окрім IAA атак, також дозволяє проводити Redirector і XSS атаки.

По замовчуванню в WordPress включена премодерація, а також існує вбудований анти-спам фільтр. Якщо 10 років тому премодерації вистачило б, то вже давно цей механізм не може вважатися достатнім захистом від спаму, а анти-спам фільтр має ефективність менше 1% - лише деякі зі спам повідомлень він помічає як спам. А також ці механізми не захищають від нижченаведених атак. Також з WP постачається плагін Akismet, що захищає від спаму “без капчі”. Але по замовчуванню він відключений та порівняно з капчею вважається менш надійним і також не захищає від нижченаведених атак.

Redirector (URL Redirector Abuse):

WordPress Redirector.html

XSS:

WordPress XSS.html

XSS атака можлива на різні браузери, але її провести важче ніж у випадку попередніх двох редиректорів (через data URI). На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

В зв’язку з особливостями роботи даного скрипта (фільтрація важливих символів та додавання якорю), для виконання JS коду потрібно використовувати хитрі обхідні методи. При цьому, якщо редирект відбувається через заголовок Location, код спрацьовує в Opera 10.62 і він повинен працювати в Firefox, IE6 і Chrome, але різні версії Firefox (та IE6 і Chrome) упорно ігнорують даний заголовок (виводячи лише пусту сторінку) - при тому, що окремо заголовок Location з даним кодом спрацьовує в Firefox і в інших браузерах, але не в рамках WordPress. З комбінованим варіантом javascript URI + data URI та сама ситуація.

Для цих атак непотрібно мати акаунт на сайті й немає значення чи увімкнена премодерація або плагін Akismet. Єдине що може захистити від цих атак - це капча в формі коментарів, причому надійна (або повне виключення коментарів, але з капчею можна продовжити використовувати цей функціонал). Таким чином капча захищає як від IAA, так і від Redirector та XSS уразливостей.

Уразливі WordPress 2.0 - 3.3.1.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://berdichev-rda.gov.ua (хакерами з TeaM MosTa) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.ztrada.gov.ua (хакерами з TeaM MosTa) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.roscha.com.ua (хакерами з QHR) - 04.2012, зараз сайт вже виправлений адмінами
• http://vse-v.bomond-club.com.ua (хакером s4udi-h4ck) - 04.06.2011, зараз сайт вже виправлений адмінами
• http://dostavkapizza.kiev.ua (хакером s4udi-h4ck) - 04.06.2011, зараз сайт вже виправлений адмінами

16.04.2012

Ще 18.04.2008 я знайшов Cross-Site Scripting, Cross-Site Request Forgery та Arbitrary File Upload (Code Execution) уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це друга порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Раніше я писав про уразливості в Organizer для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

24.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&edit_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

Organizer XSS-2.html

Код виконається на сторінці users.php плагіна.

CSRF:

Через атаку на функцію Add/Edit User Setting можна додавати і редагувати налаштування. Додавання і редагування поєднані в один і той же POST запит.

POST запит на сторінці http://site/wp-admin/admin.php ?page=organizer/page/users.php (аналогічно експлоіту для XSS).

Через атаку на функцію Delete User Setting можна вадалити налаштування.

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=admin

Arbitrary File Upload (Code Execution):

Можливе необмежене завантаження файлів з виконанням коду (php файлів). Тому що в полі File extensions allowed можна вказати розширення скриптів, такі як “php”.

Так що окрім використання обхідних методів, таких як подвійні розширення (при нашаштуваннях плагіна по замовчуванню), можна змінити налаштування і задати “php” в дозволені розширення. Що дозволить завантажувати на сервер та виконувати довільні скрипти. Окрім проведення атаки на адміна через вищезгадану CSRF уразливість для зміни налаштувань (або отримання доступу до адмінського акаунту для цього), також для цього можна використати Insufficient Authorization уразливість (при наявності акаунта навіть з найменшими правами Subscriber).

Уразливі Organizer 1.2.1 та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://orthodox.ho.ua - інфекція була виявлена 04.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://io.ua - інфекція була виявлена 17.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://dn.kiev.ua - інфекція була виявлена 16.02.2012. Зараз сайт не входить до переліку підозрілих.
• http://certsystems.kiev.ua - інфекція була виявлена 12.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://olimpkino.dp.ua - інфекція була виявлена 28.02.2012. Зараз сайт не входить до переліку підозрілих.

14.04.2012

Ще 27.09.2006 я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress (одразу як почав ним користуватися). Але довго відкладав публікацію інформації про дані уразливості. Це перша порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Стосовно уразливостей в плагінах для WP раніше я писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

POST запит на сторінці http://site/wp-admin/admin.php? page=organizer/page/users.php в полі “File extensions allowed”. Код виконається на сторінці users.php плагіна.

Organizer XSS-1.html

FPD:

http://site/wp-content/plugins/organizer/plugin_hook.php

http://site/wp-content/plugins/organizer/page/index.php

http://site/wp-content/plugins/organizer/page/dir.php

http://site/wp-content/plugins/organizer/page/options.php

http://site/wp-content/plugins/organizer/page/resize.php

http://site/wp-content/plugins/organizer/page/upload.php

http://site/wp-content/plugins/organizer/page/users.php

http://site/wp-content/plugins/organizer/page/view.php

Уразливі Organizer 1.2.1 та попередні версії.

Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив. Тому користувачам даного плагіна потрібно буде власноруч виправляти всі уразливості.

Нещодавно знайшов цікаве рішення, що призначене для покращення надійсності старих добрих паролів. Компанія LoginWall пропонує новий погляд на паролі.

Вона пропонує новий підхід до формування паролів, що на порядки покращує їх захист перед брутфорс атаками. Окрім безпоседньо секретної фрази, як у звичайних паролів, також використовується часова інформація (таймінг). Вона включає час між натисканням різних кнопок та час натискання кожної кнопки. За рахунок поєднання текстових даних з часовими даними, стійкість такого пароля до підбору збільшується на порядки.

Для демонстрації надійності своєї системи паролів компанія проводить хакерський марафон - LoginWall’s New Cyber Hackathon. Який проводиться на цьому тижні. Переможець змагання отримає новий iPad. Але навряд чи такий знайдеться виходячи з рівня надійності даної системи.

Ще 18.04.2008 я знайшов Insufficient Authorization, Cross-Site Request Forgery та Full path disclosure уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це третя порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив.

Раніше я писав про уразливості в Organizer для WordPress.

Insufficient Authorization:

Доступ до users.php та виконання всіх операцій дозволено будь-яким користувачам системи (навіть Subscriber).

http://site/wp-admin/admin.php?page=organizer/page/users.php

Можливий перегляд налаштувань, додавання, редагування та видалення налаштувань користувачів. Зокрема будь-який користувач (той же Subscriber) зможе задати, в тому числі для свого акаунту, дозволені розширення для завантаження файлів, наприклад, php.

В тому числі непривілегійований користувач може проводити Persistent XSS атаки на адміна (через дві раніше згадані Persistent XSS дірки). А також дана уразливість дозволяє проводити CSRF атаки (для зміни налаштувань) не тільки на адміна, а на будь-якого залогіненого користувача.

CSRF:

Увесь фунціонал плагіна вразливий до CSRF атак. Окрім раніше загадних CSRF в скрипті users.php, наприклад, в скрипті dir.php через CSRF можна створювати, переіменовувати та видаляти директорії (переіменовувати та видаляти можна лише пусті директорії). Для цього потрібно відправити три відповідних POST запити.

http://site/wp-admin/admin.php?page=organizer/page/dir.php

А в скрипті view.php через CSRF можна переіменовувати, копіювати та видаляти завантажені файли. Для цього потрібно відправити три відповідних POST запити.

http://site/wordpress/wp-admin/admin.php?page=organizer/page/view.php

FPD:

Скрипт http://site/wordpress/wp-admin/admin.php?page=organizer /page/view.php має вбудований функціонал (і уразливість) - виведення повного шляху на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це StopTheHacker. Що є безпосереднім конкурентом моїй Web VDS.

В лютому, коли я знайшов цей онлайновий сервіс, я виявив уразливості на stopthehacker.com, про які вже писав. Це лише кілька з багатьох уразливостей, що мають місце на основному сайті та на сайті з акаунтами користувачів StopTheHacker - дірок там вистачає (і забивати на безпеку є типовим для секюріті проектів) й розробникам вистачить роботи по їх виправленню. На що я звернув їх увагу і вони планують цим зайнятися.

Це комерційний сервіс, що призначений для сканування сайтів на предмет шкідливого коду та хакерських атак. Тобто він лише частково перетинається з моєю Web VDS, а також він має додатковий фунціонал по перевірці сайтів (по функціоналу він ближче до моєї SecurityAlert). Він може використовуватися власниками сайтів для захисту від вірусів та інших проблем з безпекою на власних сайтах.

Веб сервіс StopTheHacker схожий більше на сервіс HackAlert V3, ніж на такі сервіси як McAfee SiteAdvisor чи Norton Safe Web від Symantec. Він призначений для використання саме власниками сайтів. В цьому його відмінність від публічних сервісів, які можуть використовуватися безпосередньо Інтернет-користувачами для захисту від інфікованих сайтів.

Безпосередньо на зовнішіх сторінках сайта скористатися даним сервісом не вийде (на відміну від деякий інших сервісів). Щоб це зробити потрібно зареєструвати акаунт на сайті й протестувати в ньому цей сервіс. В тому числі є один безкоштовний тип акаунта, який робить перевірку лише по базі WOT (в комерційних типах акаунтів можливості перевірки значно більші).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vinsta.gov.ua (хакерами з TeaM MosTa) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zarrada.org (хакером SouTHRaNDA) - 11.02.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tpark.rv.ua (хакером SouTHRaNDA) - 11.02.2012, зараз сайт вже виправлений адмінами
• http://www.kostopil.rv.ua (хакером SouTHRaNDA) - 11.02.2012, зараз сайт вже виправлений адмінами
• http://sumka.te.ua (хакером iskorpitx) - 18.05.2011, зараз сайт вже виправлений адмінами

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2011 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Активно знаходилися та використовувалися уразливості в браузерах (а також в плагінах, таких як Flash, Shockwave та Java) для атак на користувачів.
3. Збільшилася кількість атак на державні сайти України - зростання взломів gov.ua-сайтів в 2,1 рази.
4. Розробники браузерів почали більш активно впроваджувати секюріті механізми в свої продукти.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2010 я виявив 264 інфікованих сайтів, а в 2011 вже 233 сайти (зменшення динаміки у 1,1 рази, але це я менше шукав інфіковані сайти, а насправді їх кількість зросла).
6. Збільшилися атаки на соціальні мережі, в тому числі на Facebook та WordPress.com.
7. Зросла хакерська активність (але в Уанеті вона дещо впала порівняно з 2010 роком, зокрема в Уанеті спад на 8%, але ще не всі дані мною оброблені).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2012 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Збільшиться кількість атак на державні сайти України.
3. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
4. Збільшиться кількість DDoS-атак в Уанеті, в тому числі на державні сайти.
5. Зростання кількості заражених вірусами веб сторінок буде більш активним.
6. Атаки на соціальні мережі та їхніх користувачів продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.