Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://genich-rada.gov.ua (хакером Dr-Angel) - 12.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://vip.bereg-rda.gov.ua (хакером MCA-CRB) - 18.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://cartoy.com.ua (хакером Dr-Angel) - 12.10.2011, зараз сайт вже виправлений адмінами
• http://www.aertecnica.com.ua (хакером Dr-Angel) - 12.10.2011, на сайті все ще розміщений текстовий файл хакера
• http://hotelgloria.com.ua (хакерами Nasper H4CK і scHool) - 05.01.2012, зараз сайт вже виправлений адмінами

На початку року, 03.01.2012, лише через пів місяця після виходу WordPress 3.3, вийшла нова версія WordPress 3.3.1.

WordPress 3.3.1 це секюріті та багфікс випуск нової 3.3 серії. В якому розробники виправили 15 багів та одну уразливість.

В версії 3.3 була виявлена Cross-Site Scripting уразливість (що стосується лише WP 3.3), яка була виправлена в даній версії.

06.12.2011

Нещодавно, 25.11.2011, коли я виявив нові уразливості в Register Plus Redux, я також знайшов нові уразливості в плагіні Register Plus для WordPress. Це Cross-Site Scripting, Code Execution та Full path disclosure уразливості. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

26.01.2012

XSS:

Використовуючи функцію Autocomplete URL можна провести атаку через GET:

Уразливі всі ті параметри, що і при POST запиті. Про які я розповідав раніше.

XSS (persistent):

Вказавши XSS код в якості імені файла (наприклад, можна створити такий файл на Linux та Unix системах) та завантаживши його, код викнається на сторінках http://site/wp-admin/options-general.php?page=register-plus та http://site/wp-login.php?action=register.

Code Execution:

Маючи доступ до налаштувань плагіна, можна провести Code Execution (в полі Custom Logo) через аплоадінг файла з довільний розширенням (наприклад, PHP). Для атаки можна просто завантажити 1.php (на відміну від Register Plus Redux, де це неможливо і потрібно використовувати обхідні техніки). Це пов’язано з тим, що використовується власний аплоадер, а не вбудований в WordPress.

Full path disclosure:

При включеній опції плагіна “Enable Invitation Tracking Dashboard Widget” на сторінці http://site/wp-admin/index.php виводиться повний шлях на сервері.

Уразливі Register Plus 3.5.1 та попередні версії. Враховуючи, що даний плагін більше не підтримується розробником, то його користувачам потрібно виправити дірки власноруч. Або оновити цей плагін до версії Register Plus Redux з виправленими уразливостями.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://if.gov.ua - інфікований державний сайт - інфекція була виявлена 13.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://best-tv.com.ua - інфекція була виявлена 17.01.2012. Зараз сайт входить до переліку підозрілих.
• http://footclub.pp.ua - інфекція була виявлена 04.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://bestcats.kiev.ua - інфекція була виявлена 21.01.2012. Зараз сайт входить до переліку підозрілих.
• http://doctorpharm.com.ua - інфекція була виявлена 28.11.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт bestcats.kiev.ua також хостить в себе Укртелеком.

В цьому місяці в журналі “PenTest Extra” була опублікована моя стаття. В січневому номері журналу PenTest Extra 01/2012, що вийшов 15.01.2012, опублікована стаття “Business Logic vulnerabilities via CSRF” (на англійській мові).

В ній розповідається про Business Logic уразливості, атака на які проводиться через CSRF. Дані уразливості дозволяють викрадати гроші з рахунків користувачів на сайтах банків, електронних платіжних систем та інших е-комерс сайтів. Такі уразливості я неодноразово знаходив та писав про них в новинах.

Це нова редакція статті Business Logic уразливості через CSRF (перероблена та доповнена), що я опублікував в грудні 2010 року. В даній статті наводиться багато нового матеріалу порівняно з першою редакцією, зокрема новодяться сценарії атак на Business Logic уразливості та експлоти для них. Описуються однокрокові та багатокрокові атаки, зазначається необхідність таймінгу при багатокрокових атаках та наводяться приклади реальних уразливостей на е-комерс сайтах з відповідними експлоітами.

А також в даній статті я вперше анонсував свій новий інструмент Генератор CSRF, що призначений для створення CSRF експлотів. На якому були зроблені всі приклади експлоітів для статті.

В себе на сайті я виклав тізер журналу, в якому наводиться повний текст моєї статті. Так що можете почитати її .

Настав новий 2012 рік. І до своїх новорічних побажань, я також додам пропозицію подивитися мою святкову листівку на флеші .

Серед сюрпризів, що я приготовував в новому році та вже розмістив на сайті, є наступні. Другого січня я додав на сайт мій новий інструмент Генератор CSRF, що призначений для створення CSRF експлотів. Він стане в нагоді при проведенні секюріті досліджень та аудитів безпеки. Який став хорошим доповненням до таких моїх онлайн секюріті інструментів як Генератор XSS та SQL Injection ASCII Encoder та інших секюріті програм.

А в розділі Статті та доповіді на минулому тижні я розмістив тізер журналу PenTest Extra 01/2012, в якому опублікована моя нова стаття Business Logic vulnerabilities via CSRF. В якій я вперше анонсував свій новий інструмент Генератор CSRF, на якому були зроблені всі приклади експлоітів для статті.

Вже наближається 2012 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам в новому році, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати композицію Sense Of Beat (Energy Mix) з мого нового сінгла.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Skysa App Bar, 1 jquery photo gallery slideshow flash та Flash album gallery. Для котрих з’явилися експлоіти. Skysa App Bar - це плагін для розширення сайту за рахунок розміщення веб додатків на панелі, 1 jquery photo gallery slideshow flash - це плагін для створення фотогалереї, Flash album gallery - це також плагін для створення фотогалереї.

• Wordpress skysa-official plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress 1-jquery-photo-gallery-slideshow-flash plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress flash-album-gallery plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

01.12.2011

Нещодавно, 25.11.2011, я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress. Перевірялася остання версія плагіна. Це друга з серії публікацій про нові дірки в даному плагіні. В якій я розповім про Cross-Site Scripting та Insufficient Anti-automation уразливості. Про що вже повідомив розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

31.12.2011

Persistent XSS:

На сторінці http://site/wp-admin/options-general.php ?page=register-plus-redux є наступні уразливості.

В полях: Email Verification, Admin Verification, User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification), Custom Register CSS, Custom Login CSS:
</textarea><script>alert(document.cookie)</script>
Код спрацює на сторінці http://site/wp-admin/options-general.php?page=register-plus-redux, а у випадку полей Email Verification і Admin Verification ще спрацює на сторінці http://site/wp-login.php?checkemail=registered.

Якщо вказати код в полях Custom Register CSS, Custom Login CSS:

body {-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)}

То код відповідно спрацює на сторінках http://site/wp-login.php?action=register та http://site/wp-login.php. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Якщо вказати код в полі Minimum password length (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
1){}};alert(document.cookie);function a(){if(1==1
То код спрацює на сторінці http://site1/wp-login.php?action=register.

Якщо вказати код в полях Empty, Short, Bad, Good, Strong, Mismatch (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
"};alert(document.cookie);/*
То код спрацює на сторінці http://site/wp-login.php?action=register.

Якщо вказати код в полі Required Fields Style Rules:
-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)
То код спрацює на сторінці http://site/wp-login.php?action=register. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Strictly Social XSS persistent:

У вищезгаданих полях User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification) окрім XSS в самому полі, є ще XSS через візуалізацію (що відбувається через jQuery), і відповідно при відправці POST запиту код спрацює двічі, й виправляти кожну з цих уразливостей потрібно в двох місцях (бо навіть заескейпчений html-код виконається). Також, окрім атаки через відправку POST запиту, можна провести XSS атаку через візуалізацію в цих трьох полях, а також в девяти інших полях (From Email, From Name, Subject в Custom New User Message, в Custom Verification Message та в Custom Admin Notification) при вставці XSS коду в поле.

Тобто потрібно обманним чином змусити жертву вставити код в одне з цих дванадцяти полів, при цьому код можна занести жертві в буфер через атаку через буфер обміну. Дані уразливості - це Strictly social XSS.

Insufficient Anti-automation:

http://site/wp-login.php?action=register

В формі реєстрації немає захисту від автоматизованих запитів (капчі). Як і в попередніх версіях плагіну.

Уразливі Register Plus Redux v3.7.3.1 та попередні версії. На замовлення мого клієнта я розробив нову версію плагіна з виправленними усіма знайденними мною уразливостями. Тому всі користувачі цього плагіна можуть знайти нову й безпечну версію плагіна в Інтернеті.

В грудні, 12.12.2011, вишла нова версія WordPress 3.3.

WordPress 3.3 це перший випуск нової 3.3 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, в тому числі виправлено чимало багів.

Серед головних покращень зокрема можна відзначити підказки для нових користувачів системи, покращені навігацію, завантаження та імпорт. Новий аплоадер підтримує drag-and-drop можливість завантаження файлів. Для навігації з’явилися вспливаючі меню та новий тулбар. Покращена функція сумісного редагування та доданий імпорт з Tumblr.

А також покращена робота з дошкою оголошень (dashboard) на iPad та інших планшетах. Окрім покращень для користувачів також були зроблені численні покращення для розробників.