Websecurity - Веб безпека

В червні були виявлені SQL Injection уразливості в WordPress. Про ці дірки я вже згадував раніше, коли писав про вихід WP 3.1.4, але вирішив ще зробити окремий запис з цього приводу.

Уразливості мають місце в адмінській панелі. Дані SQL ін’єкції дозволяють зловмисному користувачу з правами Editor отримати подальший (навіть адмінський) доступ до сайта.

• Multiple SQL injection vulnerabilities in WordPress (деталі)

Уразливі версії WordPress 3.1.3 і 3.2-RC1 та попередні версії. Уразливості в двох параметрах в edit-tags.php стосуються лише версій 2.3 і вище (де була додана підтримка тегів - нового типу таксономії в WP), а уразливості в двох параметрах в link-manager.php стосуються і більш ранніх версій.

18.04.2011

Сьогоні я знайшов численні Cross-Site Scripting уразливості (причому persistent) в плагіні Register Plus Redux для WordPress. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

05.08.2011

XSS (persistent):

Є багато persistent XSS дірок в налаштуваннях плагіна (http://site/wp-admin/options-general.php?page=register-plus-redux). В полях: Enable Password Strength Meter (Short, Bad, Good, Strong), Grace Period, Invitation Code, Disclaimer Title, Disclaimer Content, Agreement Text, License Title, License Content, Agreement Text, Privacy Policy Title, Privacy Policy Content, Agreement Text, Required Field Style Rules, Custom Field, Extra Options, Date Format, First Selectable Date, Default Year, Customize User Notification Email (From Email, From Name, Subject, User Message, Login Redirect URL), Customize Admin Notification Email (From Email, From Name, Subject, Admin Message), Custom Register CSS, Custom Login CSS.

Код спрацює на сторінці налаштуваннь плагіна і/або на сторінці реєстрації (http://site/wp-login.php?action=register).

При цьому на сторінці налаштуваннь плагіна використовується захист від CSRF, тому необхідно використати reflected XSS для його обходу та проведення persistent XSS атаки.

Зазначу, що в dash_widget.php є persistent XSS (як і в Register Plus), де код спрацює при заході на сторінку Dashboard. Але в Register Plus Redux не використовується widget, тому дана атака неможлива (доки автор не додасть підтримку віджета, так як файл dash_widget.php є в плагіні).

Уразливі версії плагіна Register Plus Redux 3.7.3 та попередні версії. Перевірялось в версії 3.6.1, але всі версії повинні бути вразливими, тому що розробник не виправив жодної уразливості (ні цих, ні минулорічних).

16.04.2011

Сьогоні я знайшов численні Cross-Site Scripting уразливості (причому persistent) в плагіні Register Plus для WordPress. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

03.08.2011

XSS (persistent):

При включених опціях Enable Invitation Code(s) та Enable Invitation Tracking Dashboard Widget та коді <script>alert(document.cookie)</script> в прикладі Invitation Code на сторінці налаштуваннь плагіна (http://site/wp-admin/options-general.php?page=register-plus), код спрацює при заході на сторінку Dashboard (http://site/wp-admin/index.php). Сама persistent XSS має місце в dash_widget.php.

Є багато persistent XSS уразливостей в налаштуваннях плагіна (http://site/wp-admin/options-general.php?page=register-plus). В полях: Enable Password Strength Meter (Short, Bad, Good, Strong), Grace Period, Invitation Code, Disclaimer Title, Disclaimer Content, Agreement Text, License Title, License Content, Agreement Text, Privacy Policy Title, Privacy Policy Content, Agreement Text, Required Field Style Rules, Custom Field, Extra Options, Date Format, First Selectable Date, Default Year, Customize User Notification Email (From Email, From Name, Subject, User Message, Login Redirect URL), Customize Admin Notification Email (From Email, From Name, Subject, Admin Message), Custom Register CSS, Custom Login CSS.

Код спрацює на сторінці налаштувань плагіна і/або на сторінці реєстрації (http://site/wp-login.php?action=register).

При цьому на сторінці налаштуваннь плагіна використовується захист від CSRF, тому необхідно використати reflected XSS для його обходу та проведення persistent XSS атаки.

Уразливі Register Plus 3.5.1 та попередні версії. Враховуючи, що даний плагін більше не підтримується розробником, то його користувачам потрібно виправити дірки власноруч.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://igolki.at.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://medianews.com.ua - інфекція була виявлена 12.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://mediabusiness.com.ua - інфекція була виявлена 04.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://avtoadvokat.kiev.ua - інфекція була виявлена 17.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://ivc.at.ua - інфекція була виявлена 21.06.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт avtoadvokat.kiev.ua також хостить в себе Укртелеком.

В цьому місяці в журналі “Системный администратор” була опублікована моя стаття. В липневому номері журналу, що вийшов нещодавно, опублікована стаття “Веб-антивирусы. Системы выявления инфицированных сайтов”.

В ній розповідається про нову загрозу Інтернета - віруси на сайтах і методи боротьби з ними, серед яких важливу роль відіграють системи виявлення інфікованих сайтів.

Так що кому буде цікаво прочитати дану статтю (та іншу цікаву інформацію в даному номері), як тим хто вже читав мої статті чи інтерв’ю в журналі Фокус та інших журналах , так і всім іншим, можете дістати собі номер 7-8 журнала “Системний адміністратор”.

P.S.

Виклав на сайті повну версію статті Веб-антивирусы. Системы выявления инфицированных сайтов.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kuzovok.kiev.ua (хакерами з S.V Crew) - 03.05.2011, зараз сайт вже виправлений адмінами
• http://www.forumbc.com.ua (хакерами з S.V Crew) - причому спочатку сайт 03.05.2011 був взломаний S.V Crew, а зараз він взломаний Sifreciler. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.citroen-mas.kiev.ua (хакером iskorpitx) - 03.05.2011, зараз сайт вже виправлений адмінами
• http://photolives.com.ua (хакерами з RKH)
• http://uoz.sumy.ua (хакерами з RKH)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tai.net.ua - інфекція була виявлена 22.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://ikaife.at.ua - інфекція була виявлена 01.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://giper-files.at.ua - інфекція була виявлена 16.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://private-design.com.ua - інфекція була виявлена 05.07.2011. Зараз сайт не входить до переліку підозрілих.
• http://porogy.zp.ua - інфекція була виявлена 30.04.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт porogy.zp.ua також хостить в себе Укртелеком.

П’ять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що сьогодні виповнилося п’ять років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною був проведений проект День багів в WordPress 2, був презентований MustLive Uploader, оновлені Посібник з безпеки та Тестування. А також я додав другий тест - Тестування: уразливості та атаки.

Та були запроваджені нові цікаві розділи і сервіси на сайті, зокрема зроблені розділи Мої твори та Робота з паролями (що призначений для створення та перевірки надійності паролів). А також опубліковано багато цікавих статей та досліджень.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Нещодавно, 04.07.2011, вишла нова версія WordPress 3.2.

WordPress 3.2 це перший випуск нової 3.2 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, в тому числі закрито більше 400 тікетів з виправленими багами і зробленими покращеннями.

Основними знінами є відміна пітримки старих версій PHP та MySQL. Мінімальні вимоги до хостінга - PHP 5.2.4 та MySQL 5.0. А також відсутня підтримка старих браузерів, таких як IE6.

Серед головних покращень зокрема була оновлена Дошка оголошень, зроблена нова тема по замовчуванню Twenty Eleven з пітримкою HTML5, на сторінці написання записів додана кнопка для переходу в повноекранний режим, покращена панель адміна, на сторінці модерації коментарів додана функція схвалити та відповісти. Також пришвидшений процес оновлення движка та доданий новий функціонал в тему Twenty Eleven, зокрема можливість мати багато зображень для ротації в заголовку.

В даній добірці уразливості в веб додатках:

• Multiple Snap Appliance (SnapServer) Bypass Vulnerabilities (деталі)
• [ACM, Ariadne Content Manager] unauth. SQL injection + user enumeration (деталі)
• SQL Injection in WikLink (деталі)
• FlexVision Listener Vulnerability (деталі)
• “id” SQL Injection in WikLink (деталі)
• BlogEngine.NET 1.6 Multiple Vulnerabilities (деталі)
• HP Power Manager (HPPM) Running on Linux and Windows, Cross Site Request Forgery (CSRF) (деталі)
• Joomla! 1.0.x ~ 1.0.15 | Cross Site Scripting (XSS) Vulnerability (деталі)
• Authentication bypass in phpMySport (деталі)
• CA ETrust Secure Content Manager Common Services Transport Remote Code Execution Vulnerability (деталі)