Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dgor.dp.ua - інфекція була виявлена 07.11.2011. Зараз сайт входить до переліку підозрілих.
• http://avtovid.com.ua - інфекція була виявлена 17.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://kityn.kiev.ua - інфекція була виявлена 14.11.2011. Зараз сайт входить до переліку підозрілих.
• http://link.ua - інфекція була виявлена 10.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://welltour.kiev.ua - інфекція була виявлена 23.10.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://corsars.mk.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://repin.mk.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.unionavto.mk.ua (хакером iskorpitx) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.uyuta.net (bembenk spelenk)
• http://www.nescafe.ua (хакерами з Jordanian Cyber Army) - 27.10.2011, зараз сайт вже виправлений адмінами.

Ще 15.10.2008 я знайшов Cross-Site Scripting уразливість в WordPress. І після публікації статті про Виключно соціальний XSS, до якої має відношення ця дірка, я публікую дану інформацію.

В WordPress має місце Cross-Site Scripting уразливість, в даному випадку Strictly social XSS. Причому одразу двох типів цього класу XSS: Strictly social XSS persistent (лінка з JavaScript/VBScript) та Strictly social XSS persistent self-contained (лінка з data з JavaScript). Тобто при бажанні цю дірку можна розбити на дві дірки. Це хороший приклад цих двох різновидів Strictly social XSS уразливостей.

XSS:

В полі коментарю (параметр comment):

<a href="javascript:alert(document.cookie)">test</a>
<a href="vbscript:MsgBox(document.cookie)">test</a>
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+">test</a>

Атака спрацює лише, якщо коментар опублікував адмін, а не незалогінений відвідувач. Для чого можна використати CSRF уразливість в WordPress <= 2.1.2. В описі даної уразливості ciri розповів про persistent XSS (що працювала разом з CSRF), а я веду мову про Strictly social XSS. В нових версіях WP, де присутній захист від CSRF, можна використати reflected XSS дірку (або ж використати інші техніки розроблені мною) для обходу цього захисту та публікації коментаря з атакуючим кодом.

В WordPress 2.0.10 та 2.1.3 розробники вже виправили CSRF, але можливість проведення Strictly social XSS (через anchor тег) все ще залишилася навіть в останній версії WP. Розробники не стали прибирати цей функціонал адміна, для повного виправлення XSS, обмежившись виправленням CSRF. Тому як вищезгадана persistent XSS, так і знайдена мною Strictly social XSS, все ще працюють.

Відмінність WP 3.x від попередніх версій в тому, що в адмінці (на сторінці edit-comments.php) код з коментарю прибирається (чого не робилося в старих версіях) і атака лише можлива на самій сторінці з коментарем. Для автоматизації запуску коду (після того як він буде розміщений) через Strictly social XSS уразливість можна скористатися технікою ClickJacking, причому атакувати можна не тільки адміна, але й будь-яких користувачів та відвідувачів сайта.

Уразливі всі версії WordPress - WP 3.2.1 та попередні версії. Тестував в різних 2.0.x версіях, включно з 2.0.11, та в 3.1.1.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах GRAND Flash Album Gallery, Pretty Link та BackWPUp. Для котрих з’явилися експлоіти. GRAND Flash Album Gallery - це плагін для створення фото галерей, Pretty Link - це плагін для створення редиректорів на власному сайті (подібно до сервісів редирекції), BackWPup - це плагін для створення бекапів бази даних та файлів WP.

• File Content Disclosure in GRAND Flash Album Gallery wordpress plugin (деталі)
• Multiple vulnerabilities in Pretty Link WordPress Plugin (деталі)
• WordPress Plugin BackWPUp 2.1.4 - Security Advisory (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://royalhouse.com.ua - інфекція була виявлена 12.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tekh.com.ua - інфекція була виявлена 12.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tehno-market.cn.ua - інфекція була виявлена 17.10.2011. Зараз сайт входить до переліку підозрілих.
• http://hot-girls.kiev.ua - інфекція була виявлена 28.10.2011. Зараз сайт не входить до переліку підозрілих. Як зазначає Гугл, при тому, що на сайті все ще є інфіковані сторінки.
• http://touch-if.pp.ua - інфекція була виявлена 08.08.2011. Зараз сайт не входить до переліку підозрілих.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Large List of RFIs (1000+), RSnake розповідає про свою колекцію RFI уразливостей, що він створив аналізуючи логи власних сайтів.

В своєму записі Using Cookies For Selective DoS, RSnake розповідає про використання кукісів для вибіркового DoS.

В своєму записі Using Cookies For Selective DoS and State Detection, RSnake розповідає про використання кукісів для вибіркового DoS та визначення стану.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://soundbass.if.ua (хакерами з TeaM MosTa Dz HacKeR) - 10.2011, зараз сайт вже виправлений адмінами
• http://lyubystok.org (хакером EjRaM_KSA) - 10.2011, зараз сайт не працює (видає 403-ю помилку)
• http://humanities.lviv.ua (хакером AL3X 0WN5)
• http://stroitel.nikopol.net (хакерами з OPOJA-TECHNOLOGY-HACKERS) - причому спочатку сайт 15.10.2011 був взломаний OPOJA-TECHNOLOGY-HACKERS, а зараз він взломаний PRIZREN X-PERSON HACKERS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.pro-donetsk.dn.ua (хакером TekZ)

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це WebMoney Advisor. В деякій мірі це ще один конкурент моїй Web VDS.

Сервіс WebMoney Advisor був створений багато років тому і мені давно про нього відомо. Але подібним сервісам я особливо не довіряю, які лише надають тулбари та не мають власного сканування, а лише з різних джерел визначають (і роблять це повільно) шкідливість того, чи іншого сайта. Тим не менше, розповім про нього.

Як зазначає WebMoney, їхній сервіс Advisor - це інструмент для оцінки ділової активності сайтів та захисту від шахрайських і шкідливих ресурсів. При цьому подібно до таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec та Web of Trust є можливість користувачам системи писати відгуки про сайти (тобто присутня соціальна складова).

Щоб скористатися даним сервісом, потрібно зайти на сайт, ввести адресу сайту в пошуковий рядок (або переглянути перелік сайтів за популярністю) та почитати детальну інформацію про сайт на сторінці з його описом. Де може бути вказана інформація про шкідливість конкретного сайта. Або можна скористатися плагіном WebMoney Advisor, що розроблений для багатьох браузерів (Internet Explorer, Mozilla Firefox, Opera та Google Chrome, а також існує букмарклет для інших браузерів).

Можете подитивитися на статистичну інформацію, що надає сервіс стосовно мого сайта:

http://advisor.wmtransfer.com/…?url=websecurity.com.ua

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Subscribe.ru:

http://redirect.subscribe.ru/1/-/websecurity.com.ua

Yandex.ua (до раніше згаданих численних редиректорів на yandex.ru):

http://mail.yandex.ua/r?url=http://websecurity.com.ua

Prom.ua:

http://prom.ua/redirect?url=websecurity.com.ua

Що цікаво, то після мого оприлюднення в лютому 2009 редиректора на mail.yandex.ru до Яндекса нарешті дійшло, що дані уразливості становлять загрозу і компанія прикрила автоматичні редиректори (як на mail.yandex.ru та mail.yandex.ua). І тепер вони працюють лише в неавтоматичному режимі - користувачу необхідно самому натиснути на лінку.

Звичайно за допомогою соціальної інженерії або Clickjacking цю атаку можна зробити, але вже важче. Тобто по суті дані уразливості на сайтах Яндекса вже не редиректори, а Link Injection.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nanoavto.com.ua - інфекція була виявлена 15.10.2011. Зараз сайт входить до переліку підозрілих.
• http://dremel.com.ua - інфекція була виявлена 01.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://gourelax.at.ua - інфекція була виявлена 08.10.2011. Зараз сайт входить до переліку підозрілих.
• http://kpi.ua - інфекція була виявлена 25.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://sporttime.com.ua - інфекція була виявлена 10.10.2011. Зараз сайт не входить до переліку підозрілих.

Про уразливості на kpi.ua з Друпалом-дирупалом я вже писав раніше. Тому не дивує наявність шкідливого ПЗ на їх сайті.