Websecurity - Веб безпека

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Blocking Alert, RSnake розповідає про блокування alert-боксів, що використовуються при тестуванні XSS уразливостей. Про те, що це не є правильним підходом і про методику, як це обмеження обійти.

Сам багато разів стикався з такими випадками, коли блокувалася функція alert (чи інші функції), при цьому XSS уразливість залишалася і атаку можна було провести через інший вектор. Тому XSS уразливості потрібно виправляти якісно, не блокуючи лише якісь окремі фрази. До речі, подібним “страждають” і WAF, які також обходяться за рахунок використання інших векторів атак .

В своєму записі Why HttpOnly won’t protect you, PDP ще в 2007 році розповів про те, чому HttpOnly кукіси не врятують від XSS атак. Технологія HttpOnly для захисту сесійних кукісів має обмежені можливості - вона захищає лише від викрадення сесійних кукісів, але не від XSS атак взагалі (а дані атаки не обмежуються лише викраденням кукісів).

Про що я багато років нагадую всім тим адмінам і веб девелоперам, які замість виправлення XSS, лише виправляють один з векторів атаки (за допомогою HttpOnly чи інших методів). А XSS уразливості потрібно виправляти якісно.

В своєму записі Micro PHP LFI Backdoor, RSnake розповідає про компактний LFI бекдор. Та про нестандартні методи проведення LFI атак (про деякі з них я вже розповідав, а про інші розповім з часом).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах PhotoSmash Galleries та 1 Flash Gallery. Для котрих з’явилися експлоіти. PhotoSmash Galleries - це плагін для стоворення фото галерей, 1 Flash Gallery - це ще один плагін для стоворення фото галерей.

• XSS in PhotoSmash wordpress plugin (деталі)
• XSS in 1 Flash Gallery wordpress plugin (деталі)
• SQL Injection in 1 Flash Gallery wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pfukonotop.hmarka.net (хакером Nothing) - взломаний державний сайт (на безкоштовному хостінгу)
• http://nissi.com.ua (хакером Seif Jelidi)
• http://www.poetryclub.com.ua (хакером Samar Obrin) - 12.03.2011, зараз сайт вже виправлений адмінами
• http://mobile-notes.net (хакерами з RBH-CREW)
• http://timo.kiev.ua (хакерами з Black HaT Group)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Forum та Mingle Forum. Для котрих з’явилися експлоіти. WP Forum - це плагін для стоворення форуму, Mingle Forum - це ще один плагін для стоворення форуму.

• SQL Injection in WP Forum wordpress plugin (деталі)
• Path disclosure in Mingle Forum wordpress plugin (деталі)
• XSS in Mingle Forum wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://strongsoft.com.ua - інфекція була виявлена 04.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://mylink.com.ua - інфекція була виявлена 01.03.2011. Зараз сайт входить до переліку підозрілих.
• http://zarabotalo.at.ua - інфекція була виявлена 29.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://almandry.com.ua - інфекція була виявлена 04.03.2011. Зараз сайт входить до переліку підозрілих.
• http://areasoft.com.ua - інфекція була виявлена 24.02.2011. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти mylink.com.ua та almandry.com.ua також хостить в себе Укртелеком.

В лютому, незабаром після версії 3.0.5, 23.02.2011, вишла нова версія WordPress 3.1.

WordPress 3.1 це перший випуск нової 3.1 серії. В ній додано чимало покращень порівняно з 3.0.x версіями движка, в тому числі виправлено більше 820 багів.

Серед головних покращень зокрема був змінений процес встановлення лінків, додана панель адміна, модернізований інтерфейс написання записів та сторінок і оновлена адмінська тема.

Серед покращень для розробників можна виділити наступні: підтримка форматів постів, нові можливості CMS (такі як сторінки архівів для різного контенту), новий розділ адмінки Network Admin, ревізована система імпорту та експорту і можливість робити запити розширеної таксономії та довільних полів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.balkanfest.com (хакером Mjdy ArAr)
• http://vial.kiev.ua (хакером HeDi MlikA)
• http://www.luxuryhouse.com.ua (хакером M4L3T) - 05.03.2011, зараз сайт вже виправлений адмінами
• http://bridge-school.com.ua (хакерами з RBH-CREW) - 28.02.2011, зараз сайт вже виправлений адмінами
• http://www.be-be.com.ua (хакерами з TURKSTARZ)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Question and Answer Forum та WP Forum. Для котрих з’явилися експлоіти. Question and Answer Forum - це плагін для створення форуму питань і відповідей, WP Forum - це плагін для стоворення форуму.

• XSS in Question and Answer Forum wordpress plugin (деталі)
• SQL Injection in WP Forum wordpress plugin (деталі)
• SQL Injection in WP Forum wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://artsv.kiev.ua - інфекція була виявлена 05.03.2011. Зараз сайт входить до переліку підозрілих.
• http://macro-win.org.ua - інфекція була виявлена 06.03.2011. Зараз сайт не входить до переліку підозрілих.
• http://all4life.pp.ua - інфекція була виявлена 16.02.2011. Зараз сайт входить до переліку підозрілих.
• http://symbian.at.ua - інфекція була виявлена 13.02.2011. Зараз сайт не входить до переліку підозрілих.
• http://rub.pp.ua - інфекція була виявлена 19.02.2011. Зараз сайт не входить до переліку підозрілих.

Сайт artsv.kiev.ua раніше вже був взломаний. А через декілька днів на ньому з’явився шкідливий код (схоже, що це вже після нового взлому).

Продовжую розповідати вам про редиректори на секюріті сайтах. Редиректори - це окремий різновид уразливостей в веб додатках, котрий відноситься до класу Abuse of Functionality. В WASC TC v2.0 дані уразливості винесені в окремий клас URL Redirector Abuse (WASC-38).

Дані уразливості можуть використовуватися зловмисниками для переадресації на небезпечні та фішинг сайти та інших атак.

До наведених в попередніх записах, приведу ще декілька прикладів редиректорів на сайтах про інформаційну безпеку.

Редиректори на секюріті та хакерських сайтах:

Bezpeka:

http://bezpeka.com/ru/redirect/?bid=1&url=http://websecurity.com.ua

http://bezpeka.com/ua/redirect/?bid=1&url=http://websecurity.com.ua

http://bezpeka.com/en/redirect/?bid=1&url=http://websecurity.com.ua

IT Land:

http://www.itland.com.ua/bitrix/…?goto=http://websecurity.com.ua

http://www.itland.com.ua/bitrix/…?goto=http://websecurity.com.ua

Hacker-Pro:

http://hacker-pro.net/redirector.php?url=http://websecurity.com.ua