Websecurity - Веб безпека

Нещодавно, 04.07.2011, вишла нова версія WordPress 3.2.

WordPress 3.2 це перший випуск нової 3.2 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, в тому числі закрито більше 400 тікетів з виправленими багами і зробленими покращеннями.

Основними знінами є відміна пітримки старих версій PHP та MySQL. Мінімальні вимоги до хостінга - PHP 5.2.4 та MySQL 5.0. А також відсутня підтримка старих браузерів, таких як IE6.

Серед головних покращень зокрема була оновлена Дошка оголошень, зроблена нова тема по замовчуванню Twenty Eleven з пітримкою HTML5, на сторінці написання записів додана кнопка для переходу в повноекранний режим, покращена панель адміна, на сторінці модерації коментарів додана функція схвалити та відповісти. Також пришвидшений процес оновлення движка та доданий новий функціонал в тему Twenty Eleven, зокрема можливість мати багато зображень для ротації в заголовку.

В даній добірці уразливості в веб додатках:

• Multiple Snap Appliance (SnapServer) Bypass Vulnerabilities (деталі)
• [ACM, Ariadne Content Manager] unauth. SQL injection + user enumeration (деталі)
• SQL Injection in WikLink (деталі)
• FlexVision Listener Vulnerability (деталі)
• “id” SQL Injection in WikLink (деталі)
• BlogEngine.NET 1.6 Multiple Vulnerabilities (деталі)
• HP Power Manager (HPPM) Running on Linux and Windows, Cross Site Request Forgery (CSRF) (деталі)
• Joomla! 1.0.x ~ 1.0.15 | Cross Site Scripting (XSS) Vulnerability (деталі)
• Authentication bypass in phpMySport (деталі)
• CA ETrust Secure Content Manager Common Services Transport Remote Code Execution Vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.stelya.zt.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://sev-tiande.com.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://whitehorse.net.ua (хакерами з RKH) - 09.07.2011, зараз сайт вже виправлений адмінами
• http://bonavi.ck.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS) - 04.07.2011, зараз сайт вже виправлений адмінами
• http://bogolife.at.ua (хакером TH3_H4TTAB)

Минулого місяця, 29.06.2011, вишла нова версія WordPress 3.1.4.

WordPress 3.1.4 це секюріті випуск 3.1 серії. В якому розробники виправили одну уразливість, а також додали деякі секюріті покращення.

Зокрема виправлена уразливість (насправді їх декілька, але розробники WP позиціонують їх як одну), що дозволяла зловмисному користувачу з правами Editor отримати подальший (навіть адмінський) доступ до сайта. Це SQL Injection уразливості в адмінській панелі.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://galait.dp.ua - інфекція була виявлена 25.06.2011. Зараз сайт входить до переліку підозрілих.
• http://uafilters.com.ua - інфекція була виявлена 11.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://nom.pl.ua - інфекція була виявлена 27.06.2011. Зараз сайт входить до переліку підозрілих.
• http://monolitgroup.com.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://zarabotoc.at.ua - інфекція була виявлена 17.06.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт nom.pl.ua також хостить в себе Укртелеком.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Після попередніх записів на тему DNS Rebinding (також відомого як Anti-DNS Pinning), пропоную вам нові записі на дану тему.

В своєму записі DNS Rebinding for Scraping and Spamming, RSnake розповідає про використання даної техніки для відправки запитів на цільові сайти та спаму. Зокрема для навантаження запитами пошукові системі, такі як Гугл.

В своєму записі MitM DNS Rebinding SSL/TLS Wildcards and XSS, RSnake розповідає про проведення XSS атаки на сайти з wildcard SSL сертифікатами з використанням даної техніки атак на браузери.

В своєму записі DNS Rebinding In Java Is Back, RSnake розповідає про те що, DNS Rebinding знову можливий в Java. Хоча в 2007-2008 роках даний вектор атак був офіційно прикритий розробниками, але Stefano Di Paola виявив можливість як можна це обійти і знову провести DNS Rebinding атаку.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.mastergood.com.ua (хакерами з RKH) - 08.06.2011, зараз сайт вже виправлений адмінами
• http://spider.mastergood.com.ua (хакерами з RKH) - 08.06.2011 - зараз сайт не працює (немає контенту)
• http://tuning-club.lviv.ua (хакером PaRaNoYa)
• http://novosvit.com (хакером B.Y) - 23.06.2011, був взломаний форум проекту, що зараз вже виправлений адмінами
• http://advertise-autoweb.info (хакером Mr.VeNuS)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://me.gov.ua - інфікований державний сайт, інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://abrasiva.net - інфекція була виявлена 25.06.2011. Зараз сайт входить до переліку підозрілих.
• http://askei.kiev.ua - інфекція була виявлена 26.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://nateparty.kiev.ua - інфекція була виявлена 18.06.2011. Зараз сайт входить до переліку підозрілих.
• http://bigudi.ua - інфекція була виявлена 22.05.2011. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це HackAlert V3. Що є безпосереднім конкурентом моїй Web VDS.

Це комерційний сервіс (в якому є trial акаунт), що призначений для сканування сайтів на предмет шкідливого коду. Він може використовуватися для захисту від шкідливих сайтів та вірусів на легальних сайтах.

Веб сервіс HackAlert V3 компанії Armorize Technologies схожий на такі сервіси як McAfee SiteAdvisor, Norton Safe Web від Symantec та деякі інші, але він не призначений для створення рейтингу довіри до сайтів (що зроблено в зазначених сервісах). Він призначений саме для виявлення шкідливого коду на сайтах та в онлайн рекламі. Про розповсюдження вірусів через рекламу та інші зовнішні рерсурси я вже розповідав в своїй доповіді про системи виявлення інфікованих веб сайтів.

Прочитавши опис даного сервісу на офіційному сайті та на сайті розробника - HackAlert - Web Malware Detection and Monitoring Service, ви побачите, що він пропонує широкі можливості. Зазначу, що більшість з наведених можливостей (і багато інших) були мною заплановані для розробки в 2008 році в моїй Web Virus Detection System. Але на відміну від моєї системи, HackAlert повезло більше в плані фінансування.

Безпосередньо на зовнішіх сторінках сайта скористатися даним сервісом не вийде (на відміну від деякий інших сервісів). Щоб це зробити потрібно зареєструвати trial акаунт на сайті й протестувати в ньому цей сервіс.

Існують плагіни для WordPress, що зокрема призначені для виявлення бекдорів в коді файлів движка WP (але вони також можуть, хоча й обмежено, використовуватися для виявлення вірусів на сайті на WP). Це такі плагініи як WordPress Exploit Scanner та Belavir, про які я писав.

Також є такий плагін як AntiVirus for WordPress (який я виявив нещодавно). Цей плагін може використовуватися в якості антивіруса для сайтів на WP.

Він більш потужний ніж вищезгадані плагіни, бо має більше можливостей. Він може як виявляти бекдори, так і виявляти включення malware та SEO спаму в сторінки веб сайту.

Ефективність цього плагіна вища, тому що він сканує не тільки файли сайта, але й записи в БД. В деякій мірі цей веб додаток є конкурентом моїй Web VDS.