Websecurity - Веб безпека

Різні параметри вашого браузера і ОС, що доступні на веб сайтах, дозволяють створити “відбиток”. І через цей “відбиток” можна ідентифікувати особу - чим більш унікальним він є, тим більш точно можна ідентифікувати особу. Тобто якщо ваш браузер є достатньо унікальним, то це дозволить будь-яким сайтам вас ідентифікувати (незважаючи на динамічні IP, проксі чи анонімайзери).

На сайті How Unique Is Your Browser ви можете перевірити ваш браузер на предмет унікальності вашого “відбитка”. Спробуйте перевірити свою унікальність .

Відбиток можна роботи по різним показникам. Але нійбільш ефективними з точки зору ідентифікації особи я вважаю такі показники як набір плагінів та набір шрифтів.

Зазначу, як я первірив деякий час тому, що для мого браузера Firefox 3.0.19 “відбиток” виявився достатньо унікальним (серед 1528101 перевірених на той момент). Мій браузер мав “відбиток”, що містить 20,54 біта ідентифікаційної інформації. Тобто за деякими показниками (що дозволяють отримати 20,54 біта) мене можно достатньо чітко ідентифікувати.

Подібні методи ідентифікації можуть використовуватися різними сайтами, зокрема рекламними системами. Що торкається питання приватності особи.

В цьому місяці, 19 травня, в Україні в Києві відбудеться конференція UISG та ISACA Kiev Chapter #6.

Даний захід - це регулярна конференція українського співтовариства спеціалістів з інформаційної безпеки (UISG) та Київського відділення ISACA. Це буде вже шоста конференція. Про даний захід та про перелік доповідей ви можете детальніше дізнатися на офіційному сайті UISG.

Я планую прийняти участь в конференції та виступити з доповіддю “Системи виявлення інфікованих веб сайтів”. Тому всі бажаючі можуть відвідати мою та інші доповіді на конференції.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://brody-rda.gov.ua (хакером iskorpitx) - 03.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://vberez.gov.ua (хакерами з Cocain TeaM) - 03.05.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://java.in.ua (хакером Albeyaz-Bayrak) - 08.05.2011, зараз сайт вже виправлений адмінами
• http://www.relife.com.ua (хакером HoaX TroJaN) - причому спочатку сайт 06.05.2011 був взломаний HoaX TroJaN, а вже 08.05.2011 взломаний aGa Hackers. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://usp.co.ua (хакером iskorpitx) - 18.04.2011, зараз сайт не працює (розміщена сторінка від хостера)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kupi-rashodniki.net - інфекція була виявлена 09.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://kanduk.com.ua - інфекція була виявлена 08.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://kropuva.ucoz.ua - інфекція була виявлена 10.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://zummer.com.ua - інфекція була виявлена 28.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://art-game.at.ua - інфекція була виявлена 29.03.2011. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Ajax-Recent-Posts, WP Photo Album та Daily Maui Photo Widget. Для котрих з’явилися експлоіти. WP-Ajax-Recent-Posts - це плагін для виведення списку останніх постів, WP Photo Album - це плагін для створення фото альбомів, Daily Maui Photo Widget - це плагін для розміщення фотографій з Maui.

• XSS in WP-Ajax-Recent-Posts wordpress plugin (деталі)
• XSS in WP Photo Album wordpress plugin (деталі)
• XSS in Daily Maui Photo Widget wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ispf.gov.ua (хакером brwsk007) - 20.04.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://brovary-region.gov.ua (хакером Azerbaijan Attacker) - 23.04.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.ecopsycholog.com (хакерами з PHF) - 13.04.2011 - після взлому PHF, сайт також був взломаний в квітні різними хакерами (такими як ADG, aGa Hackers та N0FAC3), зараз сайт вже виправлений адмінами. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.magicchest.com.ua (хакером MSA BABA)
• http://www.neo-forte.com.ua (хакерами з 1923Turk-Grup) - 25.04.2011, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://illusion.mk.ua - інфекція була виявлена 19.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://arsmt.com.ua - інфекція була виявлена 22.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://upk.kiev.ua - інфекція була виявлена 04.05.2011. Зараз сайт не входить до переліку підозрілих.
• http://press-udarnyi.com.ua - інфекція була виявлена 11.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://ortlyceum.kiev.ua - інфекція була виявлена 30.03.2011. Зараз сайт не входить до переліку підозрілих.

05.03.2011

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх двадцяти записах Безпека сайтів про безпеку.

Ось нова добірка уразливих секюріті сайтів:

• sbu.gov.ua та dsszzi.gov.ua
• hackzona.ru
• acsk.uss.gov.ua

Всім спецслужбам та хакерським проектам слід приділяти більше уваги безпеці власних веб сайтів.

05.05.2011

Ще одна добірка уразливих секюріті сайтів:

• bezpeka.com, www.itland.com.ua, hacker-pro.net
• packetstormsecurity.org
• www.barracudacentral.org
• security-ua.com

ІБ компаніям і секюріті та хакерським веб проектам варто більше слідкувати за безпекою власних сайтів.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Ajax Category Dropdown та BuddyPress. Для котрих з’явилися експлоіти. Ajax Category Dropdown - це плагін для створення випадаючого списку категорій, BuddyPress - це плагін для створення соціальної мережі на сайті на WP.

• Multiple SQL Injection in Ajax Category Dropdown wordpress plugin (деталі)
• XSS in Ajax Category Dropdown wordpress plugin (деталі)
• Path disclosure in BuddyPress WordPress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі U-dominion.com XSS Worm, RSnake розповідає про XSS хробака на сайті U-dominion.com. Про XSS Worm я вже писав раніше і наводив чимало прикладів XSS хробаків на різних сайтах. Це ще один подібний приклад, який наочно демонструє небезпеку Cross-Site Scripting уразливостей.

В своєму записі Quicky Firefox DoS, RSnake навів приклад швидкої DoS атаки на браузер Firefox. DoS уразливості є дуже поширеними в Mozilla Firefox та інших браузерах (я наводив багато різних DoS в браузерах) і це черговий приклад подібних дірок.

В своєму записі Vulnerabilities in *McAfee.com, YGN Ethical Hacker Group навели приклади численних дірок на сайтах McAfee. А це відома секюріті компанія, яка не повинна мати дірок на веб сайтах, особливо враховуючи те, що вона сама видала своїм сайтам секюріті логотипи McAfee SECURE, в яких заявлено що вони не вразливі .

Я вже згадував про відео ролик даної групи, де вони демонструють в роботі XSS дірки на сайтах McAfee.