Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tvalige.1gb.ua - інфекція була виявлена 20.09.2011. Зараз сайт входить до переліку підозрілих.
• http://ukrstat.gov.ua - інфікований державний сайт, інфекція була виявлена 07.09.2011. Зараз сайт не входить до переліку підозрілих.
• http://rozhadm.gov.ua - інфікований державний сайт, інфекція була виявлена 27.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://ofinans.com.ua - інфекція була виявлена 25.09.2011. Зараз сайт входить до переліку підозрілих.
• http://rcf.crimea.ua - інфекція була виявлена 25.09.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт tvalige.1gb.ua також хостить в себе Укртелеком.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Redirection та 1 Flash Gallery і в самому WordPress. Для котрих з’явилися експлоіти. Redirection - це плагін для управління 301 редирекціями і слідкування за 404 помилками, 1 Flash Gallery - це плагін для створення фото галереї. А також SQL Injection уразливість в WP.

• XSS in Redirection wordpress plugin (деталі)
• Arbitrary File Upload in ‘1 Flash Gallery’ Wordpress Plugin (деталі)
• Security update for wordpress (деталі)

Вищезгадана SQL ін’єкція в движку була виправлена в WordPress 3.0.2.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zakarpattya.mns.gov.ua (хакерами з jH-Team) - 18.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://odesa.mns.gov.ua (хакерами з jH-Team) - 18.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.verba.ltd.ua (хакерами з RKH)
• http://posylka.com.ua (хакером CoOL BoY)
• http://makosad.com (хакерами з kosova security group)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dvdri.at.ua - інфекція була виявлена 03.09.2011. Зараз сайт входить до переліку підозрілих.
• http://nansi.com.ua - інфекція була виявлена 08.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://alfa.sumy.ua - інфекція була виявлена 18.09.2011. Зараз сайт входить до переліку підозрілих.
• http://legko.in.ua - інфекція була виявлена 29.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://sat-tv.org.ua - інфекція була виявлена 29.08.2011. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Forum Server та Fast Secure Contact Form. Для котрих з’явилися експлоіти. WP Forum Server - це плагін для створення форуму, Fast Secure Contact Form - це плагін контактної форми.

• SQL Injection in WP Forum Server wordpress plugin (деталі)
• SQL Injection in WP Forum Server wordpress plugin (деталі)
• XSS in Fast Secure Contact Form wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://poladm.gov.ua (хакером iskorpitx) - 22.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.ldu.mns.gov.ua (хакером ShadowNET) - 27.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.pokerpublic.net (хакером iskorpitx) - 28.07.2011, зараз сайт вже виправлений адмінами
• http://pro.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт вже виправлений адмінами
• http://au.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://avtostrada.net.ua - інфекція була виявлена 06.09.2011. Зараз сайт входить до переліку підозрілих.
• http://keynod32.at.ua - інфекція була виявлена 27.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://multiki.pp.ua - інфекція була виявлена 20.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://eurolab.ua - інфекція була виявлена 16.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://eurolab.kiev.ua - інфекція була виявлена 15.06.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.mlt.gov.ua (хакером pSyCh0) - 28.07.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://invest-melitopol.gov.ua (хакером AMIN SAFI) - 01.08.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://webstudy.com.ua (хакером Silent_Hell) - 28.07.2011, зараз сайт вже виправлений адмінами
• http://online.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт не працює (немає контенту)
• http://vsevodnom.com.ua (хакером dr.timor) - 01.08.2011, зараз сайт не працює (немає контенту)

Тривалий час секюріті спільнота наголошує на безпеці SSL сертифікатів і необхідності їх використовувати для покращення безпеки сайтів. Зокрема їх використання допоможе проти MITM атак.

Для покращення самих SSL сертифікатів та процесу взаємодії браузерів з сайтами по HTTPS створються нові стандарти. Такі як EV SSL та HSTS. По задумці авторів все це повинно підвищити рівень захищенності сайтів з такими сертифікатами. І якщо не мати інших дірок на сайтах, то користь від цього буде, але я вже розповідав про справжню безпеку сайтів із секюріті логотипами, що діряві сайти полюбляють ховатися за секюріті логотипами (в тому числі SSL логотими, і помилково гадають і переконують відвідувачів, що SSL захистить їх від власник дірок).

При цьому все більше з’являється компаній, що видають SSL сертифікати (і заробляють на цьому). І при цьому нерідко ці компанії не слідкують за безпекою, що призводить до витоків сертифікатів відомих сайтів, які потрапляють в руки зловмисникам і можуть використовуватися при фішинг атаках і MITM атаках.

В березні така ситуація сталася з Comodo, коли вони “помилково” видали зловмисникам сертифікати відомих сайтів, в тому числі сайтів Гугла (www.google.com і mail.google.com). А 27 серпня така ситуація сталася з DigiNotar, виданий якою сертифікат gmail.com витік у вільний доступ.

Підозрюють, що за останнім випадком стоять уряди деяких держав (зокрема Ірану), що хочуть використати даний сертифікат для аналізу SSL-трафіку жителів власних країн. Так що при таких витоках SSL сертифікатів, їх надійність вже не виглядає дуже високою.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://svetolux.mk.ua - інфекція була виявлена 27.08.2011. Зараз сайт входить до переліку підозрілих.
• http://medtrans.com.ua - інфекція була виявлена 06.08.2011. Зараз сайт не входить до переліку підозрілих.
• http://igrushkin.com.ua - інфекція була виявлена 29.08.2011. Зараз сайт входить до переліку підозрілих
• http://chinatel.com.ua - інфекція була виявлена 09.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://musician.if.ua - інфекція була виявлена 14.06.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт chinatel.com.ua також хостить в себе Укртелеком.