Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kvs.gov.ua (хакерами з Ashiyane Digital Security Team) - 09.01.2012 - похаканий державний сайт. Ці хакери взламували його вже в 2009 і 2010 роках, і це знову вирішили за для піару його взломати використовуючи уразливості на kvs.gov.ua, про які я вже писав
• http://pfu-sumy.gov.ua (хакером Syrian_DraGon) - 27.01.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.jobconsult.com.ua (хакером Scary HaCker)
• http://liet.info (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами
• http://східниця.com.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами

Після того як наприкінці минулого року я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress та виправив їх, я випустив власну версію Register Plus Redux 3.8 (з виправленими уразливостями оригінального плагіна). І от нещодавно, 25.03.2012, під час аудиту безпеки сайта, на якому використовувався Register Plus Redux, я знайшов дві нові Cross-Site Scripting уразливості в цьому плагіні (які також мають місце в форках цього плагіна). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

XSS:

На сторінці http://site/wp-login.php?action=register в параметрах user_login і user_email.

Register Plus Redux XSS-1.html

Register Plus Redux XSS-2.html

Ці уразливості пов’язані з variable-width-encoding (за допомогою даної техніки можна обійти захисні фільтри). Ці експлоіти для IE6, для інших браузерів потрібно використовувати інші символи (дана атака можлива в старих браузерах).

Вразливий функціонал з’явився в Register Plus Redux потенційно з версії 3.7.2. Уразливі оригінальний Register Plus Redux та всі плагіни, що базуються на ньому. Зокрема уразливі Register Plus Redux 3.7.2 та наступні версії, мої версії Register Plus Redux 3.8 - 3.8.3, Register Plus Redux Auto Login 3.8.1 та попередні версії.

25.03.2012 в своїй версії Register Plus Redux 3.8.4 я виправив дані уразливості.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://badosov.com - інфекція була виявлена 11.03.2012. Зараз сайт входить до переліку підозрілих.
• http://eoyuah.pl.ua - інфекція була виявлена 22.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://badosova.com - інфекція була виявлена 07.03.2012. Зараз сайт входить до переліку підозрілих.
• http://torre.org.ua - інфекція була виявлена 03.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://siding.in.ua - інфекція була виявлена 10.01.2012. Зараз сайт не входить до переліку підозрілих.

В серпні була виявлена Cross-Site Scripting уразливість в WordPress. Вона була знайдена silentph33r, про що він написав на форумі та надав власний патч. А також він повідомив про неї розробникам, але жодних офіційних виправлень в WP зроблено не було.

Раніше я вже писав про XSS та BF уразливості в WordPress.

XSS (persistent):

Дана уразливість в post-template.php дозволяє зареєстрованому користувачу з правами Author та вище провести Persistent XSS атаку. XSS код можна розмістити в полі title і він виконається на індексній сторінці та сторінці запису.

• Wordpress 3.2.1 Core (post-template.php) Improper Sanitizing (Persistent XSS) (деталі)

Уразливі WordPress 3.2.1 та попередні версії. Враховуючи, що не було офіційних заяв розробників про виправлення даної уразливості, то версії 3.3 і 3.3.1 також можуть бути уразливими.

В WordPress є ще чимало уразливостей, в тому числі тих, які не виправлені до сих пір. І зараз я розповім про три уризливості, дві з яких вже виправлені, а одна має місце навіть в останній версії движка. Це Cross-Site Scripting та Brute Force уразливості WP.

Раніше я вже писав про Brute Force уразливість в WordPress. Нищенаведена BF уразливість є п’ятою Brute Force в WP.

XSS:

В 2007 році я писав про редиректори в WordPress, для яких я випустив патч в MustLive Security Pack v.1.0.5 (і цей патч також захищає від XSS). Тоді дослідники, які знайшли редиректори, не дослідили їх на XSS, тому я вирішив зробити це самостійно.

Через дані редиректори можливі XSS атаки (через data URI):

http://site/wp-login.php?redirect_to=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&action=logout
http://site/wp-pass.php?_wp_http_referer=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location. Розробники виправили редиректори в WP 2.3 (і зробили це приховано, що є типовим для них з 2007 року). Тому Redirector і XSS атаки можливі лише в попередніх версіях.

Brute Force:

Окрім BF через XML-RPC функціонал, також можна підбирати паролі через APP функціонал. На що я звернув увагу, коли 19.03.2012 вирішив оприлюднити BF через XML-RPC і дослідив APP функціонал.

http://site/wp-app.php

Уразливі WordPress 2.3 - 3.3.1.

Починаючи з версії WP 2.3 в движку з’явилася підтримка Atom Publishing Protocol. В даному функціоналі немає захису від BF атак (використовується Basic Authentication). APP функціонал за замовчуванням відключений з версії 2.6, як і XML-RPC.

Розробники WP відключили його разом з XML-RPC (коли відключали останній), тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак. І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати APP, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через APP та від раніше згаданих атак через XML-RPC та на запаролені записи і сторінки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ndei.me.gov.ua (хакером Ma3sTr0-Dz) - 21.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.police.gov.ua (хакерами з KHS) - 24.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://nucleardroid.com (хакерами з 1923Turk) - 20.01.2012, зараз сайт вже виправлений адмінами
• http://zas.org.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами
• http://woodendoor.com.ua (хакером KaoS) - 17.03.2012, зараз сайт вже виправлений адмінами

В WordPress є чимало уразливостей, які існують з версії 2.0, а то і з 1.х версій, і які не виправлені до сих пір. Ще одна уразливість, про яку мені відомо вже давно (і багато років я планував про неї написати) - це Brute Force через XML-RPC функціонал в WP.

Раніше я вже писав про уразливості в WordPress - це Full path disclosure, Content Spoofing та Cross-Site Scripting уразливості через TinyMCE та flvPlayer.

Brute Force:

http://site/xmlrpc.php

В даному функціоналі немає захисту від Brute Force атак. При відправці відповідних POST-запитів можна виявити пароль.

Уразливі WordPress 3.3.1 і попередні версії.

Зазначу, что починаючи з WordPress 2.6 XML-RPC функціонал відключений за замовчуванням. Розробники WP зробили це в зв’язку з уразливостями (такими як SQL Injection та іншими), що були виявлені в цьому функціоналі, тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак.

І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати XML-RPC, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Раніше в 2008 та 2010 роках я вже писав про Brute Force уразливості в WordPress і це ще одна подібна уразливість. Окрім них також відомою є BF атака не через форму логіна, а з використанням авторизаційного кукіса (коли підсовуючи різні кукіси можна підібрати пароль).

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через XML-RPC та від раніше згаданої атаки на запаролені записи і сторінки.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://aromantica.com.ua - інфекція була виявлена 15.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://6222.com.ua - інфекція була виявлена 23.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://mednesko.com - інфекція була виявлена 20.03.2012. Зараз сайт входить до переліку підозрілих.
• http://buynaksk.com - інфекція була виявлена 15.03.2012. Зараз сайт не входить до переліку підозрілих.
• http://lds-led.com.ua - інфекція була виявлена 26.01.2012. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт 6222.com.ua також хостить в себе Укртелеком.

20.10.2011

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку (1-20) та 21.

Ось нова добірка уразливих секюріті сайтів:

• www.barracudacentral.org
• www.sophos.com
• incom.ua

Всім секюріті фірмам та розробникам антивірусів слід приділяти більше уваги безпеці власних веб сайтів.

20.03.2012

Ще одна добірка уразливих секюріті сайтів:

• it-consulting.incom.ua
• incom.ua
• stopthehacker.com

ІБ компаніям і секюріті веб проектам варто більше слідкувати за безпекою власних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sms.gov.ua (хакером CyberMind) - 02.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.shevruo.da-kyiv.gov.ua (хакером Z4R4THUSTR4) - взломаний державний сайт
• http://natorg.com.ua (хакером SonTurk) - 16.11.2011, зараз сайт вже виправлений адмінами
• http://shiny.co.ua (хакером EhabNeo) - 03.2012, зараз сайт не працює
• http://credit.inf.ua (хакером FunKraL) - 12.01.2012, зараз сайт вже виправлений адмінами