Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kyivobljust.gov.ua - інфікований державний сайт - інфекція була виявлена 04.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://hostelukraine.com - інфекція була виявлена 04.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://hostelsinlviv.com - інфекція була виявлена 05.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mediastar.net.ua - інфекція була виявлена 29.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mobile-shop.kiev.ua - інфекція була виявлена 29.11.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт kyivobljust.gov.ua також хостить в себе Укртелеком.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. На цей раз я знову наведу записи на тему безпеки Гугла. Який в останній час почав активно позиціонувати себе в якості секюріті компанії, як я зазначав раніше.

В своєму записі Google Gadgets Gaffe, RSnake розповідає про дірки в Google Gadgets. Що подібні до XSS уразливості в Google Apps, яка була виявлена раніше.

В своєму записі Google Safe-Browsing and Chrome Privacy Leak, RSnake розповідає про витоки приватності в сервісі Safe Browsing. Про даний сервіс Гугла, який представляє з себе онлайнову антивірусну систему, я вже розповідав раніше.

В своєму записі Google Buzz Security Flaw, RSnake розповідає про XSS уразливість в Google Buzz. На початку цього року Гугл випустив свою нову розробку Buzz, в якій одразу ж знайшли уразливості та проблеми приватності, які можна було використати для атак на користувачів Buzz.

18.09.2010

Сьогодні я знайшов Cross-Site Scripting, Insufficient Anti-automation та Full path disclosure уразливості в плагіні Register Plus Redux для WordPress. Про що найближчим часом повідомлю розробникам.

Register Plus Redux є розгалуженням плагіна Register Plus (нова версія від іншого розробника). І уразливості в них подібні (можуть лише адреси відрізнятися).

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

02.12.2010

XSS:

POST запит на сторінці http://site/wp-login.php?action=register
"><script>alert(document.cookie)</script>В полях: First Name, Last Name, Website, AIM, Yahoo IM, Jabber / Google Talk, Password, Confirm Password.
</textarea><script>alert(document.cookie)</script>В полі: About Yourself.

Insufficient Anti-automation:

http://site/wp-login.php?action=register

В формі реєстрації немає захисту від автоматизованих запитів (капчі).

Full path disclosure:

http://site/wp-content/plugins/register-plus-redux/dash_widget.php

http://site/wp-content/plugins/register-plus-redux/register-plus-redux.php

При POST запиті на сторінці http://site/wp-login.php?action=register.

Уразливі версії плагіна Register Plus Redux 3.6.1 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://khersonpoliv.at.ua (хакерами TH3_H4TTAB, CrazY і Kiproo)
• http://timo.kiev.ua (хакерами з Black HaT Group)
• http://itour.in.ua (хакером HydrA) - 11.2010, зараз сайт вже виправлений адмінами
• http://linuxinfotech.net (хакером Itay)
• http://video.toppj.com.ua (хакерами з zHrAn TaEm) - 23.11.2010, зараз на сайті немає контенту

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах NextGEN Gallery та cforms. Для котрих з’явилися експлоіти. NextGEN Gallery - це плагін для створення галерей зображень, cforms - це плагін для створення контактних форм на сайті.

• XSS Vulnerability in NextGEN Gallery Wordpress Plugin (деталі)
• cforms WordPress Plugin Cross Site Scripting Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://beatlesinmylife.org.ua - інфекція була виявлена 14.10.2010. Зараз сайт не входить до переліку підозрілих.
• http://harvest-ind.com.ua - інфекція була виявлена 02.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://cluboz.net - інфекція була виявлена 26.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://askei.kiev.ua - інфекція була виявлена 29.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mns.gov.ua - інфікований державний сайт - інфекція була виявлена 09.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт mns.gov.ua також хостить в себе Укртелеком.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://stalker.net.cn.ua (хакером Insiderz) - 24.11.2010

Файли, що використовуються для RFI атак:

http://stalker.net.cn.ua/settings/data/id.txt - файл вже видалений з сайта, але все ще є в кеші Гугла.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://alyosha.in.ua (хакером baDsectQr)
• http://www.malintrade.com (хакером BADBOY з AHG)
• http://www.antins.net (хакером baDsectQr) - 14.11.2010, зараз сайт вже виправлений адмінами
• http://concept-textile.com.ua (хакером GoLDbErK) - 23.11.2010, зараз сайт вже виправлений адмінами
• http://liftprom.com.ua (хакерами з Prishtina Hackers Group) - 21.11.2010, зараз сайт вже виправлений адмінами

17.09.2010

У травні, 02.05.2010, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Full path disclosure уразливості в плагіні Register Plus для WordPress. Які я виявив на сайті codecamp.org.ua. Про що найближчим часом повідомлю розробникам.

4 XSS уразливості в даному плагіні першим виявив Dementor, про що він мені повідомив коли ми обговорювали уразливості на секюріті сайті codecamp.org.ua. І коли я зайшов на даний сайт перевірити XSS дірки, я заодно виявив й інші дірки. А потім досліджуючи даний плагін я виявив ще 5 XSS дірок (в інших полях, які не використовувалися на codecamp.org.ua, але є в даному плагіні). Зазначу, що Insufficient Anti-automation уразливість в плагіні подібна до аналогічної IAA в самому WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

24.11.2010

XSS:

POST запит на сторінці http://site/wp-login.php?action=register
"><script>alert(document.cookie)</script>В полях: First Name, Last Name, Website, AIM, Yahoo IM, Jabber / Google Talk, Password, Confirm Password.
</textarea><script>alert(document.cookie)</script>В полі: About Yourself.

Insufficient Anti-automation:

http://site/wp-login.php?action=register

В формі реєстрації немає захисту від автоматизованих запитів (капчі). В самому WordPress також є подібна уразливість.

Full path disclosure:

http://site/wp-content/plugins/register-plus/dash_widget.php

http://site/wp-content/plugins/register-plus/register-plus.php

Уразливі версії плагіна Register Plus 3.5.1 та попередні версії. Також до Insufficient Anti-automation уразливі WordPress 3.0.1 та попередні версії. Враховуючи, що даний плагін більше не підтримується розробником, то його користувачам потрібно виправити дірки власноруч.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://start.crimea.ua - інфекція була виявлена 23.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 13 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://proua.com - інфекція була виявлена 23.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://putevka.crimea.ua - інфекція була виявлена 23.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://utm.in.ua - інфекція була виявлена 15.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ugmk.info - інфекція була виявлена 23.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.