Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://chaspik.kiev.ua (хакером SHADOWNET)
• http://coralclub.kharkov.ua (хакером Udara)
• http://moybb.com.ua (хакерам PisstoN) - 06.03.2011, зараз сайт вже виправлений адмінами
• http://www.stroyraboti.com (хакерами RKH)
• http://doktor.kiev.ua (хакером dr.net) - причому спочатку сайт був взломаний 27.01.2011 dr.net, а зараз взломаний Houssem jrad. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

Нещодавно, 05.04.2011, вишла нова версія WordPress 3.1.1.

WordPress 3.1.1 це секюріті випуск 3.1 серії. В якому розробники зробили майже тридцять виправлень, в тому числі виправили три уразливості.

Це CSRF уразливість в медіа аплоадері, DoS в деяких середовищах через спеціальні лінки в коментарях та XSS уразливість.

01.02.2011

У грудні, 08.12.2008, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі Live Wire Edition для WordPress. Це комерційний шаблон для WP від WooThemes. Які я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в різних шаблонах для WP, зокрема в 2007 році я писав про XSS в темах Blix та Blix Rus для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

08.04.2011

XSS:

http://site/wp-content/themes/livewire-edition/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/wp-content/themes/livewire-edition/thumb.php?src=jpg
http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/livewire-edition/

А також ще 30 php-скриптів шаблону в папці /livewire-edition/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /livewire-edition/, дана тема також може розміщуватися в папці /livewire-package/ (це пакет, що включає всі три теми Live Wire серії).

Уразливі Live Wire Edition 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://search.com.ua - інфекція була виявлена 06.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://day-sity.ho.ua - інфекція була виявлена 26.03.2011. Зараз сайт входить до переліку підозрілих.
• http://kvn.odessa.ua - інфекція була виявлена 30.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://cinemanet.org.ua - інфекція була виявлена 29.03.2011. Зараз сайт входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 27.03.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://britanka.com.ua (невідомим хакером) - 02.2011

Файли, що використовувалися для RFI атак:

http://britanka.com.ua/id1.txt - файл вже видалений з сайта.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yalta-gs.gov.ua (хакером kaMtiEz) - 21.03.2011 - взломаний державний сайт, веб сторінка хакерів все ще розміщена на сайті
• http://gamelenta.net (хакерами з RBH-CREW)
• http://newevpa.org (хакерами CWAttacker і Sancakbeyi)
• http://morozok.com.ua (хакером iskorpitx) - 21.03.2011, зараз сайт вже виправлений адмінами
• http://make2web.org.ua (хакером N3xtr0m1x) - 27.03.2011, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Rating-Widget та BackWPup. Для котрих з’явилися експлоіти. Rating-Widget - це доповнення до плагіна Comment Rating, BackWPup - це плагін для створення бекапів бази даних та файлів WP.

• XSS in Rating-Widget wordpress plugin (деталі)
• XSS in Rating-Widget wordpress plugin (деталі)
• Wordpress plugin BackWPup Remote and Local Code Execution Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В проекті MoBiC я вже писав про уразливість в капчі Anti Spam Image. І 01.12.2007 я знайшов Insufficient Anti-automation уразливість в плагіні MaxSite Anti Spam Image для WordPress. Це перероблена версія оригінального Anti Spam Image (розробник вирішив ускладнити капчу, для кращого захисту від спамерів). Про що в той же день я повідомив розробнику плагіна.

Insufficient Anti-automation:

Даний капча плагін для WP вразливий до методу обходу session reusing with constant captcha (який описаний у вищенаведеному записі). Як і оригінальний Anti Spam Image, на основі якого і зроблений даний плагін.

MaxSite Anti Spam Image CAPTCHA bypass.html

Уразливість має місце на старих версіях PHP. Вона проявляється лише в PHP < 4.4.7, в яких є баг, який призводить до помилки в роботі алгоритму веб додатку, що призводить до можливості обходу капчі.

Уразливі MaxSite Anti Spam Image 0.6 та потенційно всі інші версії цього плагіна.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vis-games.com - інфекція була виявлена 08.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://strawbale.ho.ua - інфекція була виявлена 25.03.2011. Зараз сайт входить до переліку підозрілих.
• http://probux.ho.ua - інфекція була виявлена 10.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://programms.ho.ua - інфекція була виявлена 14.03.2011. Зараз сайт входить до переліку підозрілих.
• http://work.ho.ua - інфекція була виявлена 10.01.2011. Зараз сайт не входить до переліку підозрілих.

Раніше я вже писав про попередні уразливості в PHP та PHP-додатках, оприлюднених в проекті Місяць безпеки PHP. А зараз я наведу останні 21 уразливість, що були оприлюднені торік в Month of PHP Security.

• MOPS-2010-041: PHP strip_tags() Interruption Information Leak Vulnerability
• MOPS-2010-042: PHP setcookie() Interruption Information Leak Vulnerability
• MOPS-2010-043: PHP strtok() Interruption Information Leak Vulnerability
• MOPS-2010-044: PHP wordwrap() Interruption Information Leak Vulnerability
• MOPS-2010-045: PHP str_word_count() Interruption Information Leak Vulnerability
• MOPS-2010-046: PHP str_pad() Interruption Information Leak Vulnerability
• MOPS-2010-047: PHP trim()/ltrim()/rtrim() Interruption Information Leak Vulnerability
• MOPS-2010-048: PHP substr_replace() Interruption Information Leak Vulnerability
• MOPS-2010-049: PHP parse_str() Interruption Memory Corruption Vulnerability
• MOPS-2010-050: PHP preg_match() Interruption Information Leak Vulnerability
• MOPS-2010-051: PHP unpack() Interruption Information Leak Vulnerability
• MOPS-2010-052: PHP pack() Interruption Information Leak Vulnerability
• MOPS-2010-053: PHP ZEND_FETCH_RW Opcode Interruption Information Leak Vulnerability
• MOPS-2010-054: PHP ZEND_CONCAT/ZEND_ASSIGN_CONCAT Opcode Interruption Information Leak and Memory Corruption Vulnerability
• MOPS-2010-055: PHP ArrayObject::uasort() Interruption Memory Corruption Vulnerability
• MOPS-2010-056: PHP php_mysqlnd_ok_read() Information Leak Vulnerability
• MOPS-2010-057: PHP php_mysqlnd_rset_header_read() Buffer Overflow Vulnerability
• MOPS-2010-058: PHP php_mysqlnd_read_error_from_line() Buffer Overflow Vulnerability
• MOPS-2010-059: PHP php_mysqlnd_auth_write() Stack Buffer Overflow Vulnerability
• MOPS-2010-060: PHP Session Serializer Session Data Injection Vulnerability
• MOPS-2010-061: PHP SplObjectStorage Deserialization Use-After-Free Vulnerability