Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.pasichnyk.dp.ua (хакерами з RKH) - 29.07.2011, зараз сайт вже виправлений адмінами
• http://avtotreks.pp.ua (хакерами з EliTTe SquaD)
• http://demo.joomla.org.ua (хакером th3p0w3r)
• http://ups-store.com.ua (хакером jago-dz) - 10.09.2011, зараз сайт не працює (закритий хостером)
• http://shop.vibroseparator.ua (хакером HEXB00T3R)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://filmx.com.ua - інфекція була виявлена 23.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://zarabotokplus.com.ua - інфекція була виявлена 16.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://radiomaster.com.ua - інфекція була виявлена 28.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://moloduha.at.ua - інфекція була виявлена 22.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tessera.com.ua - інфекція була виявлена 05.09.2011. Зараз сайт не входить до переліку підозрілих.

07.04.2011

Вчора, 06.04.2011, я знайшов Code Execution та Full path disclosure уразливості в плагіні Simple:Press Forum для WordPress. Яку я виявив на різних сайтах. Про що найближчим часом повідомлю розробникам плагіна.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

15.10.2011

Code Execution:

Виконання довільного коду можливе через TinyBrowser. Як я вже розповідав стосовно TinyBrowser для TinyMCE, програма вразлива до трьох методів виконання коду.

http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/tinybrowser/tinybrowser.php

До CE уразливі Simple:Press Forum 4.1.2 та попередні версії. В версії SPF 4.1.3, що вийшла 31.12.2009, TinyBrowser був повністю видалений. Вже після видалення TinyBrowser з SPF були виявленні нові методи виконання коду в даному додатку, тому користувачі старих версій SPF стали ще більш вразливими (як на веб серверах Apache, так і на IIS).

Full path disclosure:

Чотири останні FPD уразливості мають місце в TinyMCE, що постачається з SPF.

http://site/wp-content/plugins/simple-forum/styles/icons/default/ICON_DEFAULTS.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/EnchantSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/GoogleSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpellShell.php

До FPD уразливі Simple:Press 4.4.5 та попередні версії.

В старих версіях SPF було багато FPD, частина з них вже виправлена в останній версії 4.4.5. Зокрема в старих версіях (як то 4.1.1) є FPD в папці admin:

http://site/wp-content/plugins/simple-forum/admin/sfa-framework.php
http://site/wp-content/plugins/simple-forum/admin/sfa-menu.php

Та в деяких інших файлах в підкаталогах папок admin, editors та інших. В останній версії залишилося лише п’ять вищезгаданих FPD.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ugi.edu.ua (хакерами з Tetova Hackers Team) - 07.10.2011, зараз на сайті немає контенту
• http://chajka.kiev.ua (хакером Serberus)
• http://www.klyaksa-fan.com (хакерами з kosova security group) - 25.07.2011, зараз сайт вже виправлений адмінами
• http://megasiti.com.ua (хакером ho1onk) - 22.09.2011, зараз сайт вже виправлений адмінами.
• http://office-kharkov.com.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://cinemanet.org.ua - інфекція була виявлена 09.10.2011. Зараз сайт входить до переліку підозрілих.
• http://jasmin.biz.ua - інфекція була виявлена 26.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://animeshka.org.ua - інфекція була виявлена 09.10.2011. Зараз сайт входить до переліку підозрілих.
• http://fckrono-karpatu.com.ua - інфекція була виявлена 24.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://stabilizator.com.ua - інфекція була виявлена 07.10.2011. Зараз сайт входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dolphin.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://burmistr.com (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://alyshta.net (хакерами з RKH) - 24.07.2011, зараз сайт вже виправлений адмінами
• http://rotaract.com.ua (хакерами з Tema Own3d Q8)
• http://www.cpc-ua.org (хакером XUGURX) - 29.09.2011, зараз сайт не працює

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://usta.rcf.crimea.ua - інфекція була виявлена 25.09.2011. Зараз сайт входить до переліку підозрілих.
• http://samsebelekar.at.ua - інфекція була виявлена 29.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://golden-brig.org.ua - інфекція була виявлена 27.09.2011. Зараз сайт входить до переліку підозрілих.
• http://apostille-perevod.com.ua - інфекція була виявлена 21.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://gribok.at.ua - інфекція була виявлена 27.08.2011. Зараз сайт не входить до переліку підозрілих.

На початку серпня на конференції BlackHat USA в Лас Вегасі були оголошені переможці Pwnie Awards 2011 - Pwnie Award Winners. 03.08.2011 імена переможців в усіх категоріях було оприлюднено на сайті.

Цьогорічні переможці Pwnie Awards.

Pwnie for Best Server-Side Bug:

• ASP.NET Framework Padding Oracle (Juliano Rizzo, Thai Duong)

Pwnie for Best Client-Side Bug:

• FreeType vulnerability in iOS (Comex)

Pwnie for Best Privilege Escalation Bug:

• Windows kernel win32k user-mode callback vulnerabilities (Tarjei Mandt)

Pwnie for Most Innovative Research:

• Securing the Kernel via Static Binary Rewriting and Program Shepherding (Piotr Bania)

Pwnie for Lifetime Achievement:

• pipacs/PaX Team

Lamest Vendor Response:

• RSA SecurID token compromise (RSA)

Pwnie for Best Song:

• The Light It Up Contest (Geohot)

Pwnie for Most Epic FAIL:

• Sony за п’ять епічних фейлів

Pwnie for Epic 0wnage:

• Stuxnet

Можете ознайомитися з переможцями Pwnie Awards 2010.

Новий тест для вашого браузера. Даний експлоіт, що я знайшов в Інтернеті ще в 2008 році, виконує DoS атаку на Mozilla Firefox.

В результаті роботи експлоіта браузер вилітає (тобто DoS атака). Як я протестував, цей експлоіт працює в Mozilla (1.7.x і попередні версії) та в старих версіях Firefox. В версіях Firefox 3.0 і вище він вже не працює.

Протестувати Mozilla та Firefox

Останній тест для Firefox був Експлоіт для Mozilla Firefox 2.0 та 3.0, з яким ви також можете ознайомитися.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vodoleyalushta.com (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://luiza.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://motokaravan.com.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://gektar.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://kg.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами

Що цікаво, тоді ж, під час масового взлому даного російскього сервера (де хостилися зазначені сайти), хакери з RKH також взломали обмінник онлайн валют ROBOXchange (roboxchanger.ru, roboexchenge.com, roboexchange.net).