Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dps-sumy.gov.ua (хакером MCA-CRB) - 07.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.pravytsya.com.ua (хакером HoaX Trojan) - 08.05.2011, зараз сайт вже виправлений адмінами
• http://www.kuznitsa.com.ua (хакерами M1XM4ST3R і B3R1N|) - причому спочатку сайт 10.05.2011 був взломаний M1XM4ST3R і B3R1N|, а вже 12.05.2011 взломаний GoLdBoY. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://ocharovashka.com.ua (хакером AfShIn LiNuX) - 18.05.2011, зараз сайт вже виправлений адмінами
• http://www.sto-mas.kiev.ua (хакерами з S.V Crew) - причому спочатку сайт 03.05.2011 був взломаний S.V Crew, а 05.05.2011 він був взломаний Sifreciler. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

02.04.2011

Сьогодні я знайшов Full path disclosure та Cross-Site Scripting уразливості в плагіні Easy Contact для WordPress. Дірки я виявив при дослідженні плагіна на локалхості. Про що найближчим часом повідомлю розробникам плагіна.

Раніше я вже писав про уразливості в Easy Contact для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.05.2011

Full path disclosure:

http://site/wp-content/plugins/easy-contact/econtact.php

http://site/wp-content/plugins/easy-contact/econtact-menu.php

XSS:

На сторінці опцій плагніна є 6 persistent XSS (у випадку WP 2.9.2 код спрацює лише в IE6, в більш ранніх версіях можна атакувати користувачів будь-яких браузерів). Але в формі має місце захист від CSRF, тому для розміщення коду потрібно буде використати іншу XSS (наприклад, одну з reflected XSS в цьому плагіні), для обходу цього захисту та розміщення атакуючого коду в опціях плагіна.

POST запит на сторінці http://site/wp-admin/options-general.php ?page=easy-contact/econtact-menu.php

<script>alert(document.cookie)</script> (в WordPress 2.6.2)
<img src=javascript:alert(document.cookie)> (в WordPress 2.9.2, де покращили вбудовані механізми фільтрації, які використовує даний плагін)

В полях: Intro, Success, Empty, Incorrect, Invalid Email, Malicious.

Код спрацює на сторінці з контактною формою: у випадку поля Intro - при відвідуванні даної сторінки, у випадку інших полів - при відповідних подіях.

Уразливі Easy Contact 0.1.2 та попередні версії.

01.04.2011

У лютому, 03.02.2011, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості в плагіні Easy Contact для WordPress. Дірки я виявив на одному сайті. Про що найближчим часом повідомлю розробникам плагіна.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.05.2011

Insufficient Anti-automation:

Відсутність капчі на сторінці контактів дозволяє слати автоматизовані повідомлення (зокрема спам) адмінам сайта. Капча виключена по замовчуванню, а тип текстової капчі Challenge Question є ненадійним, тому що значення є фіксованим.

Abuse of Functionality:

На сторінці контактів можлива відправка спама через функцію Carbon Copy (Email yourself a copy). Вона включена по замовчуванню і призводить до того, що через сайт можна розсилати спам як адміну, так і на довільні емайли.

А з використанням Insufficient Anti-automation уразливості можна автоматизовано розсилати спам з сайта в великих обсягах.

Easy Contact Abuse of Functionality.html

XSS:

Плагін Easy Contact зроблений на основі плагіна WP-ContactForm і тому дані XSS аналогічні уразливостям в WP-ContactForm, про які я писав раніше. Але враховуючи, що в нових версіях WP покращили захисні фільтри, то я також адаптував атакуючий код до нових версій WordPress.

Easy Contact XSS.html

Easy Contact XSS-2.html

Easy Contact XSS-3.html

Easy Contact XSS-4.html

Уразливі Easy Contact 0.1.2 та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://l2bz.at.ua - інфекція була виявлена 11.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://zavodnaya.at.ua - інфекція була виявлена 19.05.2011. Зараз сайт входить до переліку підозрілих.
• http://i.com.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://gm-portal.at.ua - інфекція була виявлена 10.05.2011. Зараз сайт входить до переліку підозрілих.
• http://torre.org.ua - інфекція була виявлена 15.05.2011. Зараз сайт не входить до переліку підозрілих.

Сьогодні пройшла конференція UISG та ISACA Kiev Chapter #6, на якій я виступив з доповіддю. В своїй доповіді я розповів про системи виявлення інфікованих веб сайтів (веб антивіруси).

Доповідь доступна в мене на сайті:

Системы выявления инфицированных веб сайтов

В своїй доповіді я розглянув наступні теми: Статистика інфікованості Уанету, Шляхи зараження веб сайтів, Методи боротьби з інфекцією на сайтах, Тестування систем виявлення інфікованих веб сайтів.

Різні параметри вашого браузера і ОС, що доступні на веб сайтах, дозволяють створити “відбиток”. І через цей “відбиток” можна ідентифікувати особу - чим більш унікальним він є, тим більш точно можна ідентифікувати особу. Тобто якщо ваш браузер є достатньо унікальним, то це дозволить будь-яким сайтам вас ідентифікувати (незважаючи на динамічні IP, проксі чи анонімайзери).

На сайті How Unique Is Your Browser ви можете перевірити ваш браузер на предмет унікальності вашого “відбитка”. Спробуйте перевірити свою унікальність .

Відбиток можна роботи по різним показникам. Але нійбільш ефективними з точки зору ідентифікації особи я вважаю такі показники як набір плагінів та набір шрифтів.

Зазначу, як я первірив деякий час тому, що для мого браузера Firefox 3.0.19 “відбиток” виявився достатньо унікальним (серед 1528101 перевірених на той момент). Мій браузер мав “відбиток”, що містить 20,54 біта ідентифікаційної інформації. Тобто за деякими показниками (що дозволяють отримати 20,54 біта) мене можно достатньо чітко ідентифікувати.

Подібні методи ідентифікації можуть використовуватися різними сайтами, зокрема рекламними системами. Що торкається питання приватності особи.

В цьому місяці, 19 травня, в Україні в Києві відбудеться конференція UISG та ISACA Kiev Chapter #6.

Даний захід - це регулярна конференція українського співтовариства спеціалістів з інформаційної безпеки (UISG) та Київського відділення ISACA. Це буде вже шоста конференція. Про даний захід та про перелік доповідей ви можете детальніше дізнатися на офіційному сайті UISG.

Я планую прийняти участь в конференції та виступити з доповіддю “Системи виявлення інфікованих веб сайтів”. Тому всі бажаючі можуть відвідати мою та інші доповіді на конференції.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://brody-rda.gov.ua (хакером iskorpitx) - 03.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://vberez.gov.ua (хакерами з Cocain TeaM) - 03.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://java.in.ua (хакером Albeyaz-Bayrak) - 08.05.2011, зараз сайт вже виправлений адмінами
• http://www.relife.com.ua (хакером HoaX TroJaN) - причому спочатку сайт 06.05.2011 був взломаний HoaX TroJaN, а вже 08.05.2011 взломаний aGa Hackers. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://usp.co.ua (хакером iskorpitx) - 18.04.2011, зараз сайт не працює (розміщена сторінка від хостера)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kupi-rashodniki.net - інфекція була виявлена 09.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://kanduk.com.ua - інфекція була виявлена 08.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://kropuva.ucoz.ua - інфекція була виявлена 10.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://zummer.com.ua - інфекція була виявлена 28.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://art-game.at.ua - інфекція була виявлена 29.03.2011. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Ajax-Recent-Posts, WP Photo Album та Daily Maui Photo Widget. Для котрих з’явилися експлоіти. WP-Ajax-Recent-Posts - це плагін для виведення списку останніх постів, WP Photo Album - це плагін для створення фото альбомів, Daily Maui Photo Widget - це плагін для розміщення фотографій з Maui.

• XSS in WP-Ajax-Recent-Posts wordpress plugin (деталі)
• XSS in WP Photo Album wordpress plugin (деталі)
• XSS in Daily Maui Photo Widget wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.