Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Ajax Category Dropdown та BuddyPress. Для котрих з’явилися експлоіти. Ajax Category Dropdown - це плагін для створення випадаючого списку категорій, BuddyPress - це плагін для створення соціальної мережі на сайті на WP.

• Multiple SQL Injection in Ajax Category Dropdown wordpress plugin (деталі)
• XSS in Ajax Category Dropdown wordpress plugin (деталі)
• Path disclosure in BuddyPress WordPress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі U-dominion.com XSS Worm, RSnake розповідає про XSS хробака на сайті U-dominion.com. Про XSS Worm я вже писав раніше і наводив чимало прикладів XSS хробаків на різних сайтах. Це ще один подібний приклад, який наочно демонструє небезпеку Cross-Site Scripting уразливостей.

В своєму записі Quicky Firefox DoS, RSnake навів приклад швидкої DoS атаки на браузер Firefox. DoS уразливості є дуже поширеними в Mozilla Firefox та інших браузерах (я наводив багато різних DoS в браузерах) і це черговий приклад подібних дірок.

В своєму записі Vulnerabilities in *McAfee.com, YGN Ethical Hacker Group навели приклади численних дірок на сайтах McAfee. А це відома секюріті компанія, яка не повинна мати дірок на веб сайтах, особливо враховуючи те, що вона сама видала своїм сайтам секюріті логотипи McAfee SECURE, в яких заявлено що вони не вразливі .

Я вже згадував про відео ролик даної групи, де вони демонструють в роботі XSS дірки на сайтах McAfee.

Подібно до уразливостей в багатьох темах для WordPress, Drupal, ExpressionEngine та Joomla, також уразливою є тема Magazeen для WordPress та Dotclear.

У березні, 05.03.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі Magazeen для WordPress та Dotclear. Так само як раніше згадані теми для WordPress та інших движків, так само інші теми для Dotclear можуть бути уразливими (при використанні TimThumb).

Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в даних темах такі ж самі як і в раніше згаданих темах для WP, Drupal, ExpressionEngine та Joomla. Тому що дані шаблоні містять TimThumb, про уразливості в якому я вже писав.

Для WordPress:

XSS:

http://site/wp-content/themes/magazeen/timthumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E

Для Dotclear:

XSS:

http://site/themes/magazeen%5Bdc2%5D/timthumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E

Обидві версії даної теми уразливі до XSS, Full path disclosure, Abuse of Functionality та DoS.

Уразливі версії теми Magazeen (1.0 та наступні) для WP і DC з TimThumb 1.24 та попередніми версіями.

Нещодавно, 26.04.2011, вишла нова версія WordPress 3.1.2. Вона вийшла одразу після мого оприлюднення уразливостей в WP 2.5 - 3.1.1.

WordPress 3.1.2 це секюріті випуск 3.1 серії. В якому розробники виправили деякі баги, а також виправили одну уразливість.

Це Abuse of Functionality уразливість, що дозволяла користувачам з правами Contributor некоректно публікувати пости. При цьому Code Execution уразливість в WordPress, яку я нещодавно оприлюднив, виправлена не була.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ck.ssmsc.gov.ua (хакером brwsk007) - 20.04.2011 - взломаний державний сайт
• http://prohorovka.com.ua (хакерами з RKH) - 22.04.2011, зараз сайт вже виправлений адмінами
• http://www.kaminkiev.com.ua (хакерами з RKH) - 22.04.2011, зараз сайт вже виправлений адмінами
• http://glazer.com.ua (хакерами з RKH)
• http://www.begemot.com.ua (хакерами з 1923Turk-Grup) - 16.04.2011, зараз сайт вже виправлений адмінами

Раніше я вже писав про численні уразливості в WordPress 2 та 3, а зараз повідомляю про Code Execution уразливість в WordPress, яку я виявив 18.04.2011 (хоча цю проблему я став досліджувати ще з 2006 року, як почав використовувати WP).

Можлива Code Execution атака в WordPress через аплоадер. Атака може бути проведена користувачами з правами Author, Editor та Administrator.

В WordPress 2.5 - 2.8.4 можна завантажувати php скрипти (1.php) в Media Library. В 2.5 - 2.7.1 атака можлива лише для Administrator. Для Author та Editor не можна завантажити ні 1.php, ні через подвійні розширення атака не спрацює.

В версії 2.8.5 це було заборонено також і для Administrator. І хоча в 2.8 - 2.8.5 для Author та Editor (а для Administrator в 2.8.5) не можна завантажити 1.php, зате можна завантажити 1.php.txt.

При тому, що в WP 2.0 - 2.0.11 (де не було Media Library) для усіх ролей не можна було завантажувати файли з php розширенням (та обхідні методи не працювали). Як і в версіях 2.1.x, 2.2.x і 2.3.x. Лише в WordPress 2.2 Alexander Concha знайшов уразливість, що дозволяла завантажувати файли з php розширенням (вона стосується тільки версій WordPress 2.2 та WordPress MU <= 1.2.2).

В версіях 2.8.6 і вище це вже заборонено. Атака через подвійні розширення (1.php.txt чи 1.asp;.txt) не спрацює, але можна використати 1.phtml.txt (для всіх трьох ролей) для виконання коду.

Уразливі версії WordPress 2.5 - 3.1.1. Перевірено в WordPress 2.6.2, 2.7, 2.8, 2.8.4, 2.8.5, 2.8.6, 2.9.2, 3.0.1 і 3.1.1. Атака через подвійне розширення спрацює на Apache з відповідною конфігурацією.

P.S.

Свіжевипущений WP 3.1.2 також уразливий.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ssolers.at.ua - інфекція була виявлена 10.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://spas-jc.com - інфекція була виявлена 20.04.2011. Зараз сайт входить до переліку підозрілих.
• http://uatender.com - інфекція була виявлена 16.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://gamemaster.org.ua - інфекція була виявлена 24.04.2011. Зараз сайт входить до переліку підозрілих.
• http://bnu.com.ua - інфекція була виявлена 16.04.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти spas-jc.com та uatender.com також хостить в себе Укртелеком.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах SocialGrid та Universal Post Manager. Для котрих з’явилися експлоіти. SocialGrid - це плагін для додавання лінків на профілі в різних соціальних мережах, Universal Post Manager - це плагін для створення голосуваннь та багатьох інших функцій на сайті на WP.

• XSS in SocialGrid wordpress plugin (деталі)
• Path disclosure in Universal Post Manager wordpress plugin (деталі)
• Multiple XSS in Universal Post Manager wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Інформую вас про останні оновлення на сайті, що були зроблені в квітні.

Поповнив розділ Секюріті програми новим додатком - MustLive Uploader, що стане в нагоді при секюріті аудиті. Також заплановані інші оновлення та поповнення даного розділу.

Після останнього оновлення обох тестів з веб безпеки, нещодавно я оновив друге тестування, в якому ви можете перевірити рівень своїх хакерських знань. В даній версії додав 5 нових запитань.

Також повідомляю, що учора, 21.04.2011, виповнилося 12 років моєму першому сайту http://mlbpg.narod.ru!

З чим себе і вас поздоровляю . В зв’язку з цим можете послухати моїх нових композицій.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dmsu.gov.ua (хакером MCA-CRB) - 15.04.2011 - взломаний державний сайт
• http://дизайн-интерьер.com.ua (хакером L-H-G) - 31.03.2011, зараз сайт вже виправлений адмінами
• http://www.gaz24.info (хакером webi) - 13.03.2011, зараз сайт вже виправлений адмінами
• http://www.azoveko.com (хакером fouad11000) - 10.04.2011, зараз сайт вже виправлений адмінами
• http://www.mozart-pool.kiev.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS)