Websecurity - Веб безпека

Цього місяця, 12.11.2011, я дав інтерв’ю для Securit13. Яке вони вже оприлюднили на минулому тижні в своєму подкасті.

Десятий епізод їхнього подскасту вийшов в двох частинах:

Эпизод 10, часть 1: Аты-баты, АПТ
Эпизод 10, часть 2: WAF-Web Application Failwall feat. MustLive

Відповідно в другій частині епізоду розміщене інтерв’ю зі мною. В даному подкасті ми обговорили такі напрямки веб безпеки, як оприлюднення уразливостей на веб сайтах і веб додатках, політики оприлюднення (зокрема responsible disclosure та advanced responsible disclosure) та його соціальне значення. А також я поділився власними досвідом в цій сфері та надав алгоритм, про який я вже писав раніше на сайті, за яким всі бажаючі можуть проводити просунуте відповідальне оприлюднення уразливостей.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kamelot.in.ua - інфекція була виявлена 02.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://e-apteka.com.ua - інфекція була виявлена 20.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://balibastra.if.ua - інфекція була виявлена 08.2011. Зараз сайт входить до переліку підозрілих.
• http://mirspeciy.com.ua - інфекція була виявлена 18.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://tovarnadom.com.ua - інфекція була виявлена 14.09.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://8oda.kiev.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://autofan.kharkov.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://x-dom.com.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://oeda.com.ua (хакером iskorpitx) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.bcmebli.com.ua (хакером Mr.L4iVe) - 05.11.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dgor.dp.ua - інфекція була виявлена 07.11.2011. Зараз сайт входить до переліку підозрілих.
• http://avtovid.com.ua - інфекція була виявлена 17.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://kityn.kiev.ua - інфекція була виявлена 14.11.2011. Зараз сайт входить до переліку підозрілих.
• http://link.ua - інфекція була виявлена 10.11.2011. Зараз сайт не входить до переліку підозрілих.
• http://welltour.kiev.ua - інфекція була виявлена 23.10.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://corsars.mk.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://repin.mk.ua (хакерами з RKH) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.unionavto.mk.ua (хакером iskorpitx) - 17.08.2011, зараз сайт вже виправлений адмінами
• http://www.uyuta.net (bembenk spelenk)
• http://www.nescafe.ua (хакерами з Jordanian Cyber Army) - 27.10.2011, зараз сайт вже виправлений адмінами.

Ще 15.10.2008 я знайшов Cross-Site Scripting уразливість в WordPress. І після публікації статті про Виключно соціальний XSS, до якої має відношення ця дірка, я публікую дану інформацію.

В WordPress має місце Cross-Site Scripting уразливість, в даному випадку Strictly social XSS. Причому одразу двох типів цього класу XSS: Strictly social XSS persistent (лінка з JavaScript/VBScript) та Strictly social XSS persistent self-contained (лінка з data з JavaScript). Тобто при бажанні цю дірку можна розбити на дві дірки. Це хороший приклад цих двох різновидів Strictly social XSS уразливостей.

XSS:

В полі коментарю (параметр comment):

<a href="javascript:alert(document.cookie)">test</a>
<a href="vbscript:MsgBox(document.cookie)">test</a>
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+">test</a>

Атака спрацює лише, якщо коментар опублікував адмін, а не незалогінений відвідувач. Для чого можна використати CSRF уразливість в WordPress <= 2.1.2. В описі даної уразливості ciri розповів про persistent XSS (що працювала разом з CSRF), а я веду мову про Strictly social XSS. В нових версіях WP, де присутній захист від CSRF, можна використати reflected XSS дірку (або ж використати інші техніки розроблені мною) для обходу цього захисту та публікації коментаря з атакуючим кодом.

В WordPress 2.0.10 та 2.1.3 розробники вже виправили CSRF, але можливість проведення Strictly social XSS (через anchor тег) все ще залишилася навіть в останній версії WP. Розробники не стали прибирати цей функціонал адміна, для повного виправлення XSS, обмежившись виправленням CSRF. Тому як вищезгадана persistent XSS, так і знайдена мною Strictly social XSS, все ще працюють.

Відмінність WP 3.x від попередніх версій в тому, що в адмінці (на сторінці edit-comments.php) код з коментарю прибирається (чого не робилося в старих версіях) і атака лише можлива на самій сторінці з коментарем. Для автоматизації запуску коду (після того як він буде розміщений) через Strictly social XSS уразливість можна скористатися технікою ClickJacking, причому атакувати можна не тільки адміна, але й будь-яких користувачів та відвідувачів сайта.

Уразливі всі версії WordPress - WP 3.2.1 та попередні версії. Тестував в різних 2.0.x версіях, включно з 2.0.11, та в 3.1.1.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах GRAND Flash Album Gallery, Pretty Link та BackWPUp. Для котрих з’явилися експлоіти. GRAND Flash Album Gallery - це плагін для створення фото галерей, Pretty Link - це плагін для створення редиректорів на власному сайті (подібно до сервісів редирекції), BackWPup - це плагін для створення бекапів бази даних та файлів WP.

• File Content Disclosure in GRAND Flash Album Gallery wordpress plugin (деталі)
• Multiple vulnerabilities in Pretty Link WordPress Plugin (деталі)
• WordPress Plugin BackWPUp 2.1.4 - Security Advisory (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://royalhouse.com.ua - інфекція була виявлена 12.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tekh.com.ua - інфекція була виявлена 12.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tehno-market.cn.ua - інфекція була виявлена 17.10.2011. Зараз сайт входить до переліку підозрілих.
• http://hot-girls.kiev.ua - інфекція була виявлена 28.10.2011. Зараз сайт не входить до переліку підозрілих. Як зазначає Гугл, при тому, що на сайті все ще є інфіковані сторінки.
• http://touch-if.pp.ua - інфекція була виявлена 08.08.2011. Зараз сайт не входить до переліку підозрілих.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Large List of RFIs (1000+), RSnake розповідає про свою колекцію RFI уразливостей, що він створив аналізуючи логи власних сайтів.

В своєму записі Using Cookies For Selective DoS, RSnake розповідає про використання кукісів для вибіркового DoS.

В своєму записі Using Cookies For Selective DoS and State Detection, RSnake розповідає про використання кукісів для вибіркового DoS та визначення стану.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://soundbass.if.ua (хакерами з TeaM MosTa Dz HacKeR) - 10.2011, зараз сайт вже виправлений адмінами
• http://lyubystok.org (хакером EjRaM_KSA) - 10.2011, зараз сайт не працює (видає 403-ю помилку)
• http://humanities.lviv.ua (хакером AL3X 0WN5)
• http://stroitel.nikopol.net (хакерами з OPOJA-TECHNOLOGY-HACKERS) - причому спочатку сайт 15.10.2011 був взломаний OPOJA-TECHNOLOGY-HACKERS, а зараз він взломаний PRIZREN X-PERSON HACKERS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.pro-donetsk.dn.ua (хакером TekZ)