Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://scania.dp.ua (хакерами з RKH) - 15.05.2011, зараз сайт вже виправлений адмінами
• http://poligraf-agenstvo.net.ua (хакерами з RKH) - 16.05.2011, зараз сайт вже виправлений адмінами
• http://dom-ivanov.at.ua (хакером BACKDOOR)
• http://www.firstline.com.ua (хакером TekZ)
• http://www.skorostroy.com.ua (хакером C37HUN)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://terra-tv.com.ua - інфекція була виявлена 21.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://esco.co.ua - інфекція була виявлена 12.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://vrazrabotke.com.ua - інфекція була виявлена 29.05.2011. Зараз сайт входить до переліку підозрілих.
• http://viking.com.ua - інфекція була виявлена 19.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://teplo-service.com - інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих. Це так Гугл заявляє, а насправді чимало сторінок сайта все ще мають шкідливий код (як я перевірив) - це часто з Гуглом трапляється, коли він завляє, що сайт не інфікований, коли ще не зі всіх сторінок сайта прибраний шкідливий код.

Нещодавно, 25.05.2011, вишла нова версія WordPress 3.1.3.

WordPress 3.1.3 це секюріті випуск 3.1 серії. В якому розробники виправили деякі баги, а також виправили декілька уразливостей.

Зокрема розробники виправили Code Execution уразливості в WordPress, які я оприлюднив минулого місяця. При цьому, як завжди, не подякувавши мені (ні публічно, ні приватно).

Серед інших секюріті покращень:

• Були зроблені деякі інші секюріті покращення, які не уточнються.
• Покращені запити до таксономії.
• Виправлена Login leakage уразливість, але неякісно, та це одна з багатьох подібних дірок (раніше я вже писав про Abuse of Functionality в WP), до того ж ця дірка відома вже багато років.
• Секюріті виправлення в Media.
• Виправлені старі файли імпорта.
• Доданий захист від clickjacking в сучасних браузерах.

Стосовно останнього додам, що по заявам розробників захист працює лише в нових браузерах. До того ж, захищені сторінки адмінки та логіну - якщо адмінки, то це добре, але стосовно сторінки логіну, то це могло бути зроблено з метою запобігти віддаленому логіну, про який я писав в статті Атаки на незахищені логін форми. Але так як форма логіну вразлива до CSRF, то це не допоможе проти даної атаки, тому незрозуміло, навіщо вони це додали до сторінки логіну.

Тому даний захист виглядає ламерським. До того ж, перші уразливості, що використовують методику clickjacking для атаки на WP я знайшов ще в 2007 (а потім ще багато знайшов нових дірок в 2010), які я ще не оприлюднив. І виправити цей вектор атак через 4 роки після того, як я знайшов подібні дірки, при цьому не дочекавшись мого оприлюднення - це вдвічі ламеризм .

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://antonsablev.com (хакером INNOCENT HACKER з Afghan Exploiters Team) - 21.05.2011, зараз сайт вже виправлений адмінами
• http://aquatika.com.ua (хакером eL-CeWaD)
• http://www.ecodah.com.ua (хакером aGa Hackers) - 13.05.2011, причому окрім aGa Hackers даний сайт нещодавно також був взломаний хакерами HoaX Trojan і OPOJA-TECHNOLOGY-HACKERS, а зараз він взломаний :N0FAC3. Торік www.ecodah.com.ua вже був неодноразово взломаний. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://dorogy.com.ua (хакером INNOCENT HACKER)
• http://www.ukrtransport.com (хакерами з EliTTe SquaD)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://honeycomb.dp.ua - інфекція була виявлена 05.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://skolmo.com.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://5fg4.pp.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://autoimport.dn.ua - інфекція була виявлена 15.05.2011. Зараз сайт входить до переліку підозрілих.
• http://m-court.od.ua - інфекція була виявлена 22.04.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dps-sumy.gov.ua (хакером MCA-CRB) - 07.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.pravytsya.com.ua (хакером HoaX Trojan) - 08.05.2011, зараз сайт вже виправлений адмінами
• http://www.kuznitsa.com.ua (хакерами M1XM4ST3R і B3R1N|) - причому спочатку сайт 10.05.2011 був взломаний M1XM4ST3R і B3R1N|, а вже 12.05.2011 взломаний GoLdBoY. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://ocharovashka.com.ua (хакером AfShIn LiNuX) - 18.05.2011, зараз сайт вже виправлений адмінами
• http://www.sto-mas.kiev.ua (хакерами з S.V Crew) - причому спочатку сайт 03.05.2011 був взломаний S.V Crew, а 05.05.2011 він був взломаний Sifreciler. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

02.04.2011

Сьогодні я знайшов Full path disclosure та Cross-Site Scripting уразливості в плагіні Easy Contact для WordPress. Дірки я виявив при дослідженні плагіна на локалхості. Про що найближчим часом повідомлю розробникам плагіна.

Раніше я вже писав про уразливості в Easy Contact для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.05.2011

Full path disclosure:

http://site/wp-content/plugins/easy-contact/econtact.php

http://site/wp-content/plugins/easy-contact/econtact-menu.php

XSS:

На сторінці опцій плагніна є 6 persistent XSS (у випадку WP 2.9.2 код спрацює лише в IE6, в більш ранніх версіях можна атакувати користувачів будь-яких браузерів). Але в формі має місце захист від CSRF, тому для розміщення коду потрібно буде використати іншу XSS (наприклад, одну з reflected XSS в цьому плагіні), для обходу цього захисту та розміщення атакуючого коду в опціях плагіна.

POST запит на сторінці http://site/wp-admin/options-general.php ?page=easy-contact/econtact-menu.php

<script>alert(document.cookie)</script> (в WordPress 2.6.2)
<img src=javascript:alert(document.cookie)> (в WordPress 2.9.2, де покращили вбудовані механізми фільтрації, які використовує даний плагін)

В полях: Intro, Success, Empty, Incorrect, Invalid Email, Malicious.

Код спрацює на сторінці з контактною формою: у випадку поля Intro - при відвідуванні даної сторінки, у випадку інших полів - при відповідних подіях.

Уразливі Easy Contact 0.1.2 та попередні версії.

01.04.2011

У лютому, 03.02.2011, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості в плагіні Easy Contact для WordPress. Дірки я виявив на одному сайті. Про що найближчим часом повідомлю розробникам плагіна.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.05.2011

Insufficient Anti-automation:

Відсутність капчі на сторінці контактів дозволяє слати автоматизовані повідомлення (зокрема спам) адмінам сайта. Капча виключена по замовчуванню, а тип текстової капчі Challenge Question є ненадійним, тому що значення є фіксованим.

Abuse of Functionality:

На сторінці контактів можлива відправка спама через функцію Carbon Copy (Email yourself a copy). Вона включена по замовчуванню і призводить до того, що через сайт можна розсилати спам як адміну, так і на довільні емайли.

А з використанням Insufficient Anti-automation уразливості можна автоматизовано розсилати спам з сайта в великих обсягах.

Easy Contact Abuse of Functionality.html

XSS:

Плагін Easy Contact зроблений на основі плагіна WP-ContactForm і тому дані XSS аналогічні уразливостям в WP-ContactForm, про які я писав раніше. Але враховуючи, що в нових версіях WP покращили захисні фільтри, то я також адаптував атакуючий код до нових версій WordPress.

Easy Contact XSS.html

Easy Contact XSS-2.html

Easy Contact XSS-3.html

Easy Contact XSS-4.html

Уразливі Easy Contact 0.1.2 та попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://l2bz.at.ua - інфекція була виявлена 11.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://zavodnaya.at.ua - інфекція була виявлена 19.05.2011. Зараз сайт входить до переліку підозрілих.
• http://i.com.ua - інфекція була виявлена 19.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://gm-portal.at.ua - інфекція була виявлена 10.05.2011. Зараз сайт входить до переліку підозрілих.
• http://torre.org.ua - інфекція була виявлена 15.05.2011. Зараз сайт не входить до переліку підозрілих.

Сьогодні пройшла конференція UISG та ISACA Kiev Chapter #6, на якій я виступив з доповіддю. В своїй доповіді я розповів про системи виявлення інфікованих веб сайтів (веб антивіруси).

Доповідь доступна в мене на сайті:

Системы выявления инфицированных веб сайтов

В своїй доповіді я розглянув наступні теми: Статистика інфікованості Уанету, Шляхи зараження веб сайтів, Методи боротьби з інфекцією на сайтах, Тестування систем виявлення інфікованих веб сайтів.