Websecurity - Веб безпека

В зв’язку з Новим Роком, що наближається, я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам в новому році, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам. Й при цьому вони не опиняться серед числа похаканих чи інфікованих сайтів.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WPTouch та Viva thumbs. Для котрих з’явилися експлоіти. WPTouch - це плагін для створення мобільної версії сайта, Viva thumbs - це плагін для створення зменшених копій зображень.

• XSS in WPTouch wordpress plugin (деталі)
• Directory traversal limited to file validation within Viva thumbs WordPress add-on (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В цьому місяці вже вишла версія WP 3.0.3. І от нещодавно, 29.12.2010, вийшла нова версія WordPress 3.0.4.

WordPress 3.0.4 це секюріті випуск 3.0 серії. В якому розробники виправили уразливість, що стосується бібліотеки обробки HTML, яка зветься KSES. Дана уразливість дозволяла обходити фільтрацію та проводити XSS атаки.

Як і в попередній версії, розробники так і не виправили виявлені мною числені уразливості в WP, такі як Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу стосовно різних цікавих секюріті тем.

В своєму записі XMLHTTPReqest “Ping” Sweeping in Firefox 3.5+, RSnake розповідає про використання CORS в Firefox (починаючи з версії 3.5) для проведення крос-доменних XMLHTTPReqest запитів для пінгування.

В своїй статті Міжсайтові XHR атаки я вже розровідав про використання даного функціоналу для проведення атак.

В своєму записі Cloud Cracking, RSnake розповідає про “хмарний” хакінг. Про використання cloud технологій в хакерських цілях. Використовуючи “хмарні” технології, або ботнети, що є хакерським аналогом “хмари”, можна отримати захмарні результати .

В своєму записі Mozilla Plans Fix for CSS History Hack, RSnake розповідає про те, що Мозіла в цьому році запланувала виправити CSS History Hack. Уразливість, що відома вже 8 років (з 2002 року), нарешті отримала увагу Мозіли.

Але спочатку Мозіла повинна виправити дану уразливість. До того ж, це буде стосуватися тільки браузерів Мозіли (причому лише нових версій), а браузери всіх інших виробників все ще будуть вразливі до CSS History Hack.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.slavrada.gov.ua (хакером Lekosta) - 29.10.2010, похаканий форум державного сайта, зараз він вже виправлений адмінами
• http://palliativecare.gov.ua (хакером GHoST61) - 09.12.2010, похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vitrina.com.ua (хакером DeviL Hacker) - 07.10.2010, зараз сайт не працює і редиректить на інший сайт
• http://wpp.pp.ua (хакерами з 1923TURK-GRUP) - 14.12.2010, зараз сайт вже виправлений адмінами
• http://rcmdc.com.ua (хакером GHoST61) - 11.12.2010, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ivanco-travel.com - інфекція була виявлена 10.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://imhobest.in.ua - інфекція була виявлена 23.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://rostfrost.com.ua - інфекція була виявлена 26.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 79 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://gurman-prom.ua - інфекція була виявлена 18.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://skylogic.com.ua - інфекція була виявлена 13.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти gurman-prom.ua і skylogic.com.ua також хостить в себе Укртелеком.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.umba.od.ua (хакером Dr.NeT)
• http://bizrating.com.ua (хакерами з 1923TURK-GRUP) - 12.2010, зараз сайт вже виправлений адмінами
• http://www.acvaresurs.com (хакером TeRoRisTe_Mc)
• http://ubic.kiev.ua (хакерами з RKH aka Republic of Kosovo Hackers)
• http://trademaster.com.ua (хакером GHoST61) - 15.12.2010, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nachalo.ucoz.ua - інфекція була виявлена 19.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 28 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://kiho.in.ua - інфекція була виявлена 18.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://valtar.com.ua - інфекція була виявлена 19.12.2010. Зараз сайт входить до переліку підозрілих.
• http://esco.co.ua - інфекція була виявлена 09.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://torrents.net.ua - інфекція була виявлена 18.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Нещодавно, 08.12.2010, майже одразу за виходом версії 3.0.2, вийшла нова версія WordPress 3.0.3.

WordPress 3.0.3 це секюріті випуск 3.0 серії. В якому розробники виправили одну уразливість. Була виправлена Insufficient Authorization уразливість, яка при відповідних умовах дозволяла користувачам з правами Author і Contributor некоректно редагувати, публікувати та видаляти записи. Атака можлива лише на ті сайти де увімкнена віддалена публікація.

Як і в попередній версії, розробники так і не виправили виявлені мною числені уразливості в WP, такі як Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://prylad.com.ua (хакером SecurityBus) - 04.12.2010, зараз сайт вже виправлений адмінами
• http://online-urist.com.ua (хакером A13D77) - 11.12.2010, зараз сайт вже виправлений адмінами
• http://www.foundryua.org (хакером DaiLexXwOw)
• http://mamico.com.ua (хакером Bo-NoRh) - 10.12.2010, зараз сайт вже виправлений адмінами
• http://www.poltava-region.org.ua (хакерами з Albania HackerZ SpeciaL) - 13.12.2010, взломаний сайт Полтавської обласної організації Партії регіонів, зараз сайт вже виправлений адмінами