Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chasy.com.ua - інфекція була виявлена 16.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://turizm-ua.in - інфекція була виявлена 01.04.2012. Зараз сайт входить до переліку підозрілих.
• http://shops-in.net - інфекція була виявлена 12.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://chatel.kharkov.com - інфекція була виявлена 16.04.2012. Зараз сайт входить до переліку підозрілих.
• http://kvakva.org.ua - інфекція була виявлена 20.02.2012. Зараз сайт не входить до переліку підозрілих.

В лютому була виявлена та оприлюднена у березні SQL Injection уразливість (обмежена до Information Leakage) в WordPress. А також цікава можливість виявлення кількості користувачів на сайті (через той же вразливий функціонал). Вони були знайдені HauntIT.

Раніше я вже писав про DoS уразливість в WordPress.

SQL Injection (Information Leakage):

Дана уразливість в profile.php в параметрі user_id дозволяє зареєстрованому користувачу з правами Subscriber та вище провести SQL Injection атаку. Вона обмежена лише можливістю отримати імена користувачів в системі, тобто це Information Leakage.

• WordPress 3.3.1 Post-Auth SQL Injection (деталі)
• WordPress 3.3.1 User Count Enumeration (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

В WordPress 2.9, що вийшла 19.12.2009, як було заявлено розробниками системи, зокрема була виправлена Abuse of Functionality уразливість в WordPress. Що могла привести до DoS, а в деяких випадках до повного захоплення сайта (при наявності інсталятора на сайті). Розробники WP заявили, що вони зробили автоматичне виправлення таблиць в БД.

Але 24.03.2012 я знайшов Denial of Service уразливість в даному секюріті функціоналі движка, а потім також перевірив, що виправлення таблиць в БД не є автоматичним. Тільки адмін сайта, коли виявить, що його сайт не працює, понен сам вручну запустити виправлення таблиць (і щоб не використовувати інші програми, до WP був доданий зручний скрипт). Тобто AoF уразливість, про яку я писав в травні 2009, так виправлена не була. І все ще можливе проведення атак через неї.

В WP 2.9 і вище, скрипт repair.php - це захист проти моєї атаки на WP через атаку на MySQL. Який сам має DoS уразливість.

Раніше я вже писав про XSS та FPD уразливості в WordPress.

DoS:

Постійно відправляючи запити до скрипта http://site/wp-admin/maint/repair.php (функції “Repair Database” та “Repair and Optimize Database”) можна створити велике навантаження на сайт (і увесь сервер). І чим більше даних в БД сайта, тим більше навантаження від кожного запиту.

http://site/wp-admin/maint/repair.php?repair=1&_wpnonce=a4ca36d5ff
http://site/wp-admin/maint/repair.php?repair=2&_wpnonce=a4ca36d5ff

Атака спрацює лише при увімкненому WP_ALLOW_REPAIR в wp-config.php. Захист від CSRF (токенами) обходиться тим, що для використання цього функціоналу не потрібна авторизація. Тому можна віддалено отримати _wpnonce та провести DoS атаку.

Якщо до раніше згаданої AoF вразливі всі версії WordPress, то до DoS вразливі версії 2.9 - 3.3.1.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.uecr.gov.ua (хакером Over-X) - 16.01.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://kostopil-rada.gov.ua (хакером SouTHRaNDA) - 11.02.2012 - похаканий державний сайт, адмінка сайта все ще дефейснута
• http://invtur.com.ua (хакерами з S.V Crew) - 03.2012, зараз сайт вже виправлений адмінами
• http://сходница.com.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт не працює (на цьому домені)
• http://dspdesign.rv.ua (хакером Edo) - 08.04.2012

В лютому були виявлені та оприлюднені у березні Cross-Site Scripting та Full path disclosure уразливості в WordPress. Вони були знайдені HauntIT.

Раніше я вже писав про Persistent XSS уразливість в WordPress.

XSS (persistent):

Дана уразливість в post.php дозволяє зареєстрованому користувачу з правами Editor та вище провести Persistent XSS атаку. XSS код можна розмістити в полі content і він виконається на індексній сторінці та сторінці запису. Якщо для адміна підтримка всіх тегів - це звичайна практика і стандартний функціонал, то для Editor контент повинен бути обмежений. І вбудовані анти-XSS фільтри обмежують деякі вектори атак для менших ролей в системі, але не всі вектори й фільтри можуть бути обійдені.

FPD:

http://site/wp-admin/media-upload.php?type=image&tab=’&post_id=1

Одна з багатьох FPD в адмінці (про багато інших в попередніх версіях WP я писав раніше) - це уразливість в media-upload.php.

• WordPress 3.3.1 Post-Auth Cross Site Scripting (деталі)
• WordPress 3.3.1 Post-Auth Information Disclosure (деталі)

Уразливі WordPress 3.3.1 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Buddypress, Taggator та Another WordPress Classifieds Plugin. Для котрих з’явилися експлоіти. Buddypress - це плагін для створення соціальної мережі на сайті на WP, Taggator - це плагін для автоматичного тагування, Another WordPress Classifieds Plugin - це плагін для створення локальної рекламної системи.

• SQL injection in Wordpress plugin Buddypress (деталі)
• Wordpress taggator plugin Sql Injection Vulnerabilities (деталі)
• Vulnerability in Another WordPress Classifieds Plugin for WordPress (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Два роки тому я вже писав про безпечний пошук і наводив перелік пошукових систем, що мають захист від шкідливого програмного забпечення (malware). А також вони захищають від фішингу (як мінімум Google та Yahoo). Про ефективність даних систем, як вбудованих антивірусів в пошуковці, так і окремих систем пошуку вірусів на веб сайтах, я писав в своєму дослідженні Тестування систем пошуку вірусів на веб сайтах та в своїй статті в журналі Системний адміністратор за липень 2011 року.

Тоді це були пошукові системи Google, Yahoo та Яндекс. І я чекав, хто ж з відомих пошуковців наступним запровадить вбудований захист від malware. І на початку квітня я дізнався про таку систему - це Bing. І хоча я прочитав про це лише нещодавно, вбудований захист від malware в Microsoft Bing з’явився ще в 2009 році.

З виходом Internet Explorer 8 19.03.2009, в браузері був доданий захист від шкідливих і фішинг сайтів під назвою SmartScreen. Фільтр SmartScreen є в IE8 та IE9 (в IE7 був лише Phishing Filter). Тобто починаючи з восьмої версії всі браузери Microsoft підтримують цю технологію захисту.

І в тому ж році, 17.06.2009, компанія Microsoft додала захист від шкідливого ПЗ в свою пошукову систему Bing. Якщо в IE ця технологія захисту називається SmartScreen filter, то в Bing - Malware Filter. Але це одна і та сама технологія (тобто malware фільтр в Bing базується на SmartScreen).

Зазначу, що Microsoft зі своєю пошуковою системою були одними з головних потенційних клієнтів моєї системи WebVDS. Так що, якщо б її розробка була завершена в 2008 і вона була запущена, то Майкрософту не довелось бы створювати в 2009 свою SmartScreen, а вони могли б використовувати мою WebVDS.

В цьому місяці в журналі “PenTest Regular” була опублікована моя стаття (на англійській мові). В квітневому номері журналу PenTest Regular 04/2012, що вийшов 02.04.2012, опублікована стаття “Просунуті методи обходу блокування на веб сайтах” (Advanced Methods of Bypassing of Blockings at Web Sites).

В ній розповідається про такі методи блокування, що використовуються на сайтах, як капчі та блокування по IP. Та розповідається про просунуті методи їх обходу.

Дані методи блокування використовуються для секюріті цілей, тому вони повинні бути надійними. Але не всі ці методи є надійними (хоча існують такі стереотипи) й існують методи їх обходу, про що я розповів у своїй статті. Тому веб розробники і адміни веб сайтів повинні знати про це.

Дана стаття базується на двох моїх минулорічних статтях: Обхід капч та блокування на сайтах та Обхід блокування по IP на сайтах. Вона вміщує як матеріали цих статей, так і нову інформацію. В тому числі містить скріншоти для наглядної демонстрації методу обходу блокування на сайтах.

В себе на сайті я виклав тізер журналу, в якому наводиться фрагмент моєї статті.

P.S.

Виклав на сайті повну версію статті Advanced Methods of Bypassing of Blockings at Web Sites.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://r-p.com.ua - інфекція була виявлена 04.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://autopc.com.ua - інфекція була виявлена 02.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://vertushka.com.ua - інфекція була виявлена 06.04.2012. Зараз сайт входить до переліку підозрілих.
• http://upk.ua - інфекція була виявлена 03.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://sloboda.com.ua - інфекція була виявлена 04.04.2012. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Flexible Custom Post Type, Dean’s With Pwwangs Code та WordPress Integrator. Для котрих з’явилися експлоіти. Flexible Custom Post Type - це плагін для створення довільних типів постів та довільних таксономій, Dean’s With Pwwangs Code - це плагін для заміни вбудованого редактора WP на FCKeditor with pwwang’s code, WordPress Integrator - це плагін для виведення статистики движка на не WP частинах сайта або зовнішніх ресурсах.

• wordpress Flexible Custom Post Type plugin Xss Vulnerabilities (деталі)
• WordPress Deans With Pwwangs Code Shell Upload (деталі)
• WordPress Integrator 1.32 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.