Websecurity - Веб безпека

В цьому місяці в журналі “PenTest Regular” була опублікована моя стаття (на англійській мові). В квітневому номері журналу PenTest Regular 04/2012, що вийшов 02.04.2012, опублікована стаття “Просунуті методи обходу блокування на веб сайтах” (Advanced Methods of Bypassing of Blockings at Web Sites).

В ній розповідається про такі методи блокування, що використовуються на сайтах, як капчі та блокування по IP. Та розповідається про просунуті методи їх обходу.

Дані методи блокування використовуються для секюріті цілей, тому вони повинні бути надійними. Але не всі ці методи є надійними (хоча існують такі стереотипи) й існують методи їх обходу, про що я розповів у своїй статті. Тому веб розробники і адміни веб сайтів повинні знати про це.

Дана стаття базується на двох моїх минулорічних статтях: Обхід капч та блокування на сайтах та Обхід блокування по IP на сайтах. Вона вміщує як матеріали цих статей, так і нову інформацію. В тому числі містить скріншоти для наглядної демонстрації методу обходу блокування на сайтах.

В себе на сайті я виклав тізер журналу, в якому наводиться фрагмент моєї статті.

P.S.

Виклав на сайті повну версію статті Advanced Methods of Bypassing of Blockings at Web Sites.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://r-p.com.ua - інфекція була виявлена 04.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://autopc.com.ua - інфекція була виявлена 02.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://vertushka.com.ua - інфекція була виявлена 06.04.2012. Зараз сайт входить до переліку підозрілих.
• http://upk.ua - інфекція була виявлена 03.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://sloboda.com.ua - інфекція була виявлена 04.04.2012. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Flexible Custom Post Type, Dean’s With Pwwangs Code та WordPress Integrator. Для котрих з’явилися експлоіти. Flexible Custom Post Type - це плагін для створення довільних типів постів та довільних таксономій, Dean’s With Pwwangs Code - це плагін для заміни вбудованого редактора WP на FCKeditor with pwwang’s code, WordPress Integrator - це плагін для виведення статистики движка на не WP частинах сайта або зовнішніх ресурсах.

• wordpress Flexible Custom Post Type plugin Xss Vulnerabilities (деталі)
• WordPress Deans With Pwwangs Code Shell Upload (деталі)
• WordPress Integrator 1.32 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kvs.gov.ua (хакерами з Ashiyane Digital Security Team) - 09.01.2012 - похаканий державний сайт. Ці хакери взламували його вже в 2009 і 2010 роках, і це знову вирішили за для піару його взломати використовуючи уразливості на kvs.gov.ua, про які я вже писав
• http://pfu-sumy.gov.ua (хакером Syrian_DraGon) - 27.01.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.jobconsult.com.ua (хакером Scary HaCker)
• http://liet.info (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами
• http://східниця.com.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами

Після того як наприкінці минулого року я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress та виправив їх, я випустив власну версію Register Plus Redux 3.8 (з виправленими уразливостями оригінального плагіна). І от нещодавно, 25.03.2012, під час аудиту безпеки сайта, на якому використовувався Register Plus Redux, я знайшов дві нові Cross-Site Scripting уразливості в цьому плагіні (які також мають місце в форках цього плагіна). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

XSS:

На сторінці http://site/wp-login.php?action=register в параметрах user_login і user_email.

Register Plus Redux XSS-1.html

Register Plus Redux XSS-2.html

Ці уразливості пов’язані з variable-width-encoding (за допомогою даної техніки можна обійти захисні фільтри). Ці експлоіти для IE6, для інших браузерів потрібно використовувати інші символи (дана атака можлива в старих браузерах).

Вразливий функціонал з’явився в Register Plus Redux потенційно з версії 3.7.2. Уразливі оригінальний Register Plus Redux та всі плагіни, що базуються на ньому. Зокрема уразливі Register Plus Redux 3.7.2 та наступні версії, мої версії Register Plus Redux 3.8 - 3.8.3, Register Plus Redux Auto Login 3.8.1 та попередні версії.

25.03.2012 в своїй версії Register Plus Redux 3.8.4 я виправив дані уразливості.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://badosov.com - інфекція була виявлена 11.03.2012. Зараз сайт входить до переліку підозрілих.
• http://eoyuah.pl.ua - інфекція була виявлена 22.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://badosova.com - інфекція була виявлена 07.03.2012. Зараз сайт входить до переліку підозрілих.
• http://torre.org.ua - інфекція була виявлена 03.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://siding.in.ua - інфекція була виявлена 10.01.2012. Зараз сайт не входить до переліку підозрілих.

В серпні була виявлена Cross-Site Scripting уразливість в WordPress. Вона була знайдена silentph33r, про що він написав на форумі та надав власний патч. А також він повідомив про неї розробникам, але жодних офіційних виправлень в WP зроблено не було.

Раніше я вже писав про XSS та BF уразливості в WordPress.

XSS (persistent):

Дана уразливість в post-template.php дозволяє зареєстрованому користувачу з правами Author та вище провести Persistent XSS атаку. XSS код можна розмістити в полі title і він виконається на індексній сторінці та сторінці запису.

• Wordpress 3.2.1 Core (post-template.php) Improper Sanitizing (Persistent XSS) (деталі)

Уразливі WordPress 3.2.1 та попередні версії. Враховуючи, що не було офіційних заяв розробників про виправлення даної уразливості, то версії 3.3 і 3.3.1 також можуть бути уразливими.

В WordPress є ще чимало уразливостей, в тому числі тих, які не виправлені до сих пір. І зараз я розповім про три уризливості, дві з яких вже виправлені, а одна має місце навіть в останній версії движка. Це Cross-Site Scripting та Brute Force уразливості WP.

Раніше я вже писав про Brute Force уразливість в WordPress. Нищенаведена BF уразливість є п’ятою Brute Force в WP.

XSS:

В 2007 році я писав про редиректори в WordPress, для яких я випустив патч в MustLive Security Pack v.1.0.5 (і цей патч також захищає від XSS). Тоді дослідники, які знайшли редиректори, не дослідили їх на XSS, тому я вирішив зробити це самостійно.

Через дані редиректори можливі XSS атаки (через data URI):

http://site/wp-login.php?redirect_to=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&action=logout
http://site/wp-pass.php?_wp_http_referer=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location. Розробники виправили редиректори в WP 2.3 (і зробили це приховано, що є типовим для них з 2007 року). Тому Redirector і XSS атаки можливі лише в попередніх версіях.

Brute Force:

Окрім BF через XML-RPC функціонал, також можна підбирати паролі через APP функціонал. На що я звернув увагу, коли 19.03.2012 вирішив оприлюднити BF через XML-RPC і дослідив APP функціонал.

http://site/wp-app.php

Уразливі WordPress 2.3 - 3.3.1.

Починаючи з версії WP 2.3 в движку з’явилася підтримка Atom Publishing Protocol. В даному функціоналі немає захису від BF атак (використовується Basic Authentication). APP функціонал за замовчуванням відключений з версії 2.6, як і XML-RPC.

Розробники WP відключили його разом з XML-RPC (коли відключали останній), тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак. І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати APP, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через APP та від раніше згаданих атак через XML-RPC та на запаролені записи і сторінки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ndei.me.gov.ua (хакером Ma3sTr0-Dz) - 21.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.police.gov.ua (хакерами з KHS) - 24.12.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://nucleardroid.com (хакерами з 1923Turk) - 20.01.2012, зараз сайт вже виправлений адмінами
• http://zas.org.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами
• http://woodendoor.com.ua (хакером KaoS) - 17.03.2012, зараз сайт вже виправлений адмінами

В WordPress є чимало уразливостей, які існують з версії 2.0, а то і з 1.х версій, і які не виправлені до сих пір. Ще одна уразливість, про яку мені відомо вже давно (і багато років я планував про неї написати) - це Brute Force через XML-RPC функціонал в WP.

Раніше я вже писав про уразливості в WordPress - це Full path disclosure, Content Spoofing та Cross-Site Scripting уразливості через TinyMCE та flvPlayer.

Brute Force:

http://site/xmlrpc.php

В даному функціоналі немає захисту від Brute Force атак. При відправці відповідних POST-запитів можна виявити пароль.

Уразливі WordPress 3.3.1 і попередні версії.

Зазначу, что починаючи з WordPress 2.6 XML-RPC функціонал відключений за замовчуванням. Розробники WP зробили це в зв’язку з уразливостями (такими як SQL Injection та іншими), що були виявлені в цьому функціоналі, тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак.

І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати XML-RPC, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Раніше в 2008 та 2010 роках я вже писав про Brute Force уразливості в WordPress і це ще одна подібна уразливість. Окрім них також відомою є BF атака не через форму логіна, а з використанням авторизаційного кукіса (коли підсовуючи різні кукіси можна підібрати пароль).

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через XML-RPC та від раніше згаданої атаки на запаролені записи і сторінки.