Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mns.gov.ua - інфікований державний сайт, інфекція була виявлена 10.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://ezoloto.com.ua - інфекція була виявлена 13.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://aprel.blox.ua - інфекція була виявлена 12.06.2011. Зараз сайт входить до переліку підозрілих.
• http://archive.org.ua - інфекція була виявлена 20.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://sova.com.ua - інфекція була виявлена 04.06.2011. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Wysi та Events Manager Extended і в самому WordPress. Для котрих з’явилися експлоіти. Wysi - це плагін для заміні вбудованого WYSIWYG-редактора на новий, Events Manager Extended - це плагін для управління та відображення подій. А також витік логінів в WP, що стосуються версій WP 2.х і 3.х.

• WordPress Wysi 0.0.2 Shell Upload (деталі)
• WordPress Events Manager 3.1.2 SQL Injection (деталі)
• WordPress User IDs and User Names Disclosure (деталі)

Вищезгадана уразливість в движку була виправлена в WordPress 3.1.3 (причому неякісно) і як я вже зазначав, вона відома вже багато років. Ця дірка пов’язана з шаблоном автора, через який можна проводити ще одну атаку для визначення логінів, про що я згадував в статті визначення логінів в WordPress. Таких уразливостей чимало в WP.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Embedded Video та Star Rating і в самому WordPress. Для котрих з’явилися експлоіти. Embedded Video - це плагін для розміщення відео, Star Rating - це плагін для створення системи рейтингів. А також 7 нових FPD уразливостей в WP, що стосуються версій WP 3.0 - 3.1.х.

• Embedded Video WordPress Plugin Cross Site Vulnerability (XSS) (деталі)
• WordPress Star Rating SQL Injection (деталі)
• Path disclosure in Wordpress (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.na-dosuge.net (хакером COde InjectOr) - 31.05.2011, зараз сайт вже виправлений адмінами
• http://www.socinform.vn.ua (хакером HEXB00T3R) - 09.06.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://cms.orbk.net (хакером WolfRom)
• http://megastroy-ltd.com (хакерами з Prishtina Hackers Group) - 23.05.2011, зараз сайт вже виправлений адмінами
• http://pisateli.co.ua (хакером F!k0s) - 13.06.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://catalog.rv.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://rivneinfo.com - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://join.com.ua - інфекція була виявлена 13.06.2011. Зараз сайт не входить до переліку підозрілих.
• http://zhurnaly.org.ua - інфекція була виявлена 28.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://sabana.com.ua - інфекція була виявлена 19.04.2011. Зараз сайт не входить до переліку підозрілих.

11.06.2011

Про уразливості в Adobe Flash Player я писав багато разів, тому Flash плеєр - це дірявий продукт. В ньому регулярно знаходять уразливості. В своїй статті я вже писав про атаки через відправку серверних заголовків в Flash. А зараз я розповім вам про Denial of Service в останній версії Flash плеєра.

Серед дірок у флеші нерідко трапляються й DoS. Які Adobe намагається виправляти, разом з іншими дірками, в нових версіях свого флеш плеєра (що доступний в тому числі у вигляді плагіна до браузерів). Але іноді вона сама додає DoS дірки в свої продукти.

У Flash Player 10 було знайдено чимало дірок, які були виправлені в нових версіях, зокрема в Flash Player 10.1, 10.2 і 10.3. Так от, сьогодні я встановив 10.3, щоб ознайомитися з останньою версією флеш плеєра (в якій в тому числі виправлений ряд уразливостей).

І як я виявив, Adobe зробила вбудовану DoS у флеш плагіні 10.3. Що пов’язана з кривими руками Адоба. Уразливість спрацьовує лише в старих браузерах, зокрема в Mozilla 1.7.x. В нових браузерах вона не проявляється (як в тих, що використовують плагін, так і в усіх версіях IE, в якому використовується ActiveX компонент).

Браузер вилітає при перегляді будь-якої флешки, навіть найпростішої (з одним рядком AS коду). Тобто користувачів старих версій браузера виб’є при відвіданні будь-якого сайту з флешем, або якщо їм підсунуть флешку. Таким чином можна проводити DoS атаки через Flash плагін 10.3 на користувачів даних браузерів.

31.12.2012

Виклав відео, що демонструє цю DoS уразливість в Flash плагіні. Це memory corruption (access violation).

Adobe Flash DoS

Це відео я зробив у грудні 2011 року. Як я перевірив, уразливість однаково працює в версіях 10.3 r183 і 11.4 r402.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://mz-ark.gov.ua (хакерами з AHG) - 19.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.leecooper.com.ua (хакерами netKILLER і MX55) - взломаний форум сайта
• http://www.mariupolsapr.4ertim.com (хакером FormatXFormaT)
• http://www.bayel.com.ua (хакери Shavzy і SteersMan) - 11.05.2011, а до цього сайт був взломаний блексеошніками, зараз сайт не працює (немає контенту)
• http://yunona-tom.com (хакером Dr_Sm0k3r) - 01.06.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fashionpeople.com.ua - інфекція була виявлена 09.06.2011. Зараз сайт входить до переліку підозрілих.
• http://uahotels.info - інфекція була виявлена 12.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://all-biz.info - інфекція була виявлена 02.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://ogo.rv.ua - інфекція була виявлена 24.04.2011. Зараз сайт не входить до переліку підозрілих.

Новий тест для вашого браузера. Даний експлоіт виконує DoS атаку на Microsoft Internet Explorer 6.

В результаті роботи експлоіта браузер вилітає (тобто DoS атака). Як я протестував, на моєму Internet Explorer 6 під Windows XP SP2 цей експлоіт працює. В наступних версіях IE він вже не працює.

Протестувати Internet Explorer 6

Останній тест для IE був DoS в Internet Explorer 6, з яким ви також можете ознайомитися.

11.04.2011

У квітні, 08.04.2011, я знайшов Information Leakage та Cross-Site Scripting уразливості в різних темах для WordPress. Про що найближчим часом повідомлю розробникам даних тем.

Уразливі наступні теми від WooThemes: Live Wire (всі три теми Live Wire серії), Gotham News, Typebased, Blogtheme, VibrantCMS, Fresh News, The Gazette Edition, NewsPress, The Station, The Original Premium News, Flash News, Busy Bee та Geometric. Можливі й інші уразливі шаблони для WP.

Раніше я вже писав про уразливості в багатьох темах для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.06.2011

В різних шаблонах є test.php - скрипт з phpinfo() - що призводить до Information Leakage (витік FPD та іншої важливої інформації про сервер) та XSS (в PHP < 4.4.1, 4.4.3-4.4.6).

Information Leakage:

http://site/wp-content/themes/_theme's_name_/includes/test.php

XSS:

http://site/wp-content/themes/_theme's_name_/includes/test.php?a[]=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Для Live Wire скрипт розміщується за адресою http://site/wp-content/themes/livewire/includes/test.php, для інших тем аналогічно.

Дані уразливості досі не виправлені розробниками. Тому користувачам даних тем потрібно виправити уразливості власноруч (наприклад, видаливши цей скрипт).