Websecurity - Веб безпека

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це WebMoney Advisor. В деякій мірі це ще один конкурент моїй Web VDS.

Сервіс WebMoney Advisor був створений багато років тому і мені давно про нього відомо. Але подібним сервісам я особливо не довіряю, які лише надають тулбари та не мають власного сканування, а лише з різних джерел визначають (і роблять це повільно) шкідливість того, чи іншого сайта. Тим не менше, розповім про нього.

Як зазначає WebMoney, їхній сервіс Advisor - це інструмент для оцінки ділової активності сайтів та захисту від шахрайських і шкідливих ресурсів. При цьому подібно до таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec та Web of Trust є можливість користувачам системи писати відгуки про сайти (тобто присутня соціальна складова).

Щоб скористатися даним сервісом, потрібно зайти на сайт, ввести адресу сайту в пошуковий рядок (або переглянути перелік сайтів за популярністю) та почитати детальну інформацію про сайт на сторінці з його описом. Де може бути вказана інформація про шкідливість конкретного сайта. Або можна скористатися плагіном WebMoney Advisor, що розроблений для багатьох браузерів (Internet Explorer, Mozilla Firefox, Opera та Google Chrome, а також існує букмарклет для інших браузерів).

Можете подитивитися на статистичну інформацію, що надає сервіс стосовно мого сайта:

http://advisor.wmtransfer.com/…?url=websecurity.com.ua

Продовжую розповідати вам про редиректори на популярних сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти.

До наведених в попередньому записі, приведу ще декілька прикладів редиректорів на популярних веб сайтах.

Редиректори на популярних сайтах:

Subscribe.ru:

http://redirect.subscribe.ru/1/-/websecurity.com.ua

Yandex.ua (до раніше згаданих численних редиректорів на yandex.ru):

http://mail.yandex.ua/r?url=http://websecurity.com.ua

Prom.ua:

http://prom.ua/redirect?url=websecurity.com.ua

Що цікаво, то після мого оприлюднення в лютому 2009 редиректора на mail.yandex.ru до Яндекса нарешті дійшло, що дані уразливості становлять загрозу і компанія прикрила автоматичні редиректори (як на mail.yandex.ru та mail.yandex.ua). І тепер вони працюють лише в неавтоматичному режимі - користувачу необхідно самому натиснути на лінку.

Звичайно за допомогою соціальної інженерії або Clickjacking цю атаку можна зробити, але вже важче. Тобто по суті дані уразливості на сайтах Яндекса вже не редиректори, а Link Injection.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nanoavto.com.ua - інфекція була виявлена 15.10.2011. Зараз сайт входить до переліку підозрілих.
• http://dremel.com.ua - інфекція була виявлена 01.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://gourelax.at.ua - інфекція була виявлена 08.10.2011. Зараз сайт входить до переліку підозрілих.
• http://kpi.ua - інфекція була виявлена 25.10.2011. Зараз сайт не входить до переліку підозрілих.
• http://sporttime.com.ua - інфекція була виявлена 10.10.2011. Зараз сайт не входить до переліку підозрілих.

Про уразливості на kpi.ua з Друпалом-дирупалом я вже писав раніше. Тому не дивує наявність шкідливого ПЗ на їх сайті.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.pasichnyk.dp.ua (хакерами з RKH) - 29.07.2011, зараз сайт вже виправлений адмінами
• http://avtotreks.pp.ua (хакерами з EliTTe SquaD)
• http://demo.joomla.org.ua (хакером th3p0w3r)
• http://ups-store.com.ua (хакером jago-dz) - 10.09.2011, зараз сайт не працює (закритий хостером)
• http://shop.vibroseparator.ua (хакером HEXB00T3R)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://filmx.com.ua - інфекція була виявлена 23.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://zarabotokplus.com.ua - інфекція була виявлена 16.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://radiomaster.com.ua - інфекція була виявлена 28.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://moloduha.at.ua - інфекція була виявлена 22.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://tessera.com.ua - інфекція була виявлена 05.09.2011. Зараз сайт не входить до переліку підозрілих.

07.04.2011

Вчора, 06.04.2011, я знайшов Code Execution та Full path disclosure уразливості в плагіні Simple:Press Forum для WordPress. Яку я виявив на різних сайтах. Про що найближчим часом повідомлю розробникам плагіна.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

15.10.2011

Code Execution:

Виконання довільного коду можливе через TinyBrowser. Як я вже розповідав стосовно TinyBrowser для TinyMCE, програма вразлива до трьох методів виконання коду.

http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/tinybrowser/tinybrowser.php

До CE уразливі Simple:Press Forum 4.1.2 та попередні версії. В версії SPF 4.1.3, що вийшла 31.12.2009, TinyBrowser був повністю видалений. Вже після видалення TinyBrowser з SPF були виявленні нові методи виконання коду в даному додатку, тому користувачі старих версій SPF стали ще більш вразливими (як на веб серверах Apache, так і на IIS).

Full path disclosure:

Чотири останні FPD уразливості мають місце в TinyMCE, що постачається з SPF.

http://site/wp-content/plugins/simple-forum/styles/icons/default/ICON_DEFAULTS.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/EnchantSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/GoogleSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpell.php
http://site/wp-content/plugins/simple-forum/editors/tinymce/plugins/spellchecker/classes/PSpellShell.php

До FPD уразливі Simple:Press 4.4.5 та попередні версії.

В старих версіях SPF було багато FPD, частина з них вже виправлена в останній версії 4.4.5. Зокрема в старих версіях (як то 4.1.1) є FPD в папці admin:

http://site/wp-content/plugins/simple-forum/admin/sfa-framework.php
http://site/wp-content/plugins/simple-forum/admin/sfa-menu.php

Та в деяких інших файлах в підкаталогах папок admin, editors та інших. В останній версії залишилося лише п’ять вищезгаданих FPD.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ugi.edu.ua (хакерами з Tetova Hackers Team) - 07.10.2011, зараз на сайті немає контенту
• http://chajka.kiev.ua (хакером Serberus)
• http://www.klyaksa-fan.com (хакерами з kosova security group) - 25.07.2011, зараз сайт вже виправлений адмінами
• http://megasiti.com.ua (хакером ho1onk) - 22.09.2011, зараз сайт вже виправлений адмінами.
• http://office-kharkov.com.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://cinemanet.org.ua - інфекція була виявлена 09.10.2011. Зараз сайт входить до переліку підозрілих.
• http://jasmin.biz.ua - інфекція була виявлена 26.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://animeshka.org.ua - інфекція була виявлена 09.10.2011. Зараз сайт входить до переліку підозрілих.
• http://fckrono-karpatu.com.ua - інфекція була виявлена 24.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://stabilizator.com.ua - інфекція була виявлена 07.10.2011. Зараз сайт входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dolphin.crimea.ua (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://burmistr.com (хакерами з RKH) - 04.08.2011, зараз сайт вже виправлений адмінами
• http://alyshta.net (хакерами з RKH) - 24.07.2011, зараз сайт вже виправлений адмінами
• http://rotaract.com.ua (хакерами з Tema Own3d Q8)
• http://www.cpc-ua.org (хакером XUGURX) - 29.09.2011, зараз сайт не працює

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://usta.rcf.crimea.ua - інфекція була виявлена 25.09.2011. Зараз сайт входить до переліку підозрілих.
• http://samsebelekar.at.ua - інфекція була виявлена 29.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://golden-brig.org.ua - інфекція була виявлена 27.09.2011. Зараз сайт входить до переліку підозрілих.
• http://apostille-perevod.com.ua - інфекція була виявлена 21.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://gribok.at.ua - інфекція була виявлена 27.08.2011. Зараз сайт не входить до переліку підозрілих.