Websecurity - Веб безпека

Розповідаючи про свою музику, я вже писав про вихід мого альбому My own Rave World, що я офіційно розмістив в себе на сайті в вересні.

І з понеділка я почав розміщувати свою музику на SoundCloud. Так що можете послухати мої композиції (як з цього, так і з інших альбомів) та прокоментувати їх на даному сайті.

Можете послухати безпосередньо у браузері мою композицію MustLive - Mad Song:

В минулому місяці, 30.11.2010, вийшла нова версія WordPress 3.0.2.

WordPress 3.0.2 це багфікс та секюріті випуск 3.0 серії. В якому розробники виправили різноманітні баги та деякі уразливості. Зокрема виправили одну SQL Injection дірку, яку можна було використати при відповідних умовах (при наявності необхідних прав на сайті та при відключених mq), а також виправили XSS уразливість, про яку я писав.

Зате розробники не виправили інші виявлені мною числені уразливості в WP, такі як Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://megamir.org.ua - інфекція була виявлена 09.12.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 13 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://med.odessa.ua - інфекція була виявлена 10.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://obrazovanie.odessa.ua - інфекція була виявлена 07.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://s41.org.ua - інфекція була виявлена 25.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://night.kharkov.ua - інфекція була виявлена 16.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.gaisumy.gov.ua (хакерами з bLacKc00d3s) - черговий похаканий державний сайт на Joomla
• http://aliotcity.net (хакером BHIERIEN) - 30.11.2010, зараз сайт вже виправлений адмінами
• http://www.imperial-water.kh.ua (хакерами з Republic of Kosovo Hackers) - 12.2010, зараз сайт вже виправлений адмінами
• http://samplesland.com (хакером GHoST61) - 12.2010, зараз сайт вже виправлений адмінами
• http://www.astashenok.name (хакером Netservice) - 28.11.2010, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kyivobljust.gov.ua - інфікований державний сайт - інфекція була виявлена 04.12.2010. Зараз сайт не входить до переліку підозрілих.
• http://hostelukraine.com - інфекція була виявлена 04.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://hostelsinlviv.com - інфекція була виявлена 05.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mediastar.net.ua - інфекція була виявлена 29.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mobile-shop.kiev.ua - інфекція була виявлена 29.11.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт kyivobljust.gov.ua також хостить в себе Укртелеком.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. На цей раз я знову наведу записи на тему безпеки Гугла. Який в останній час почав активно позиціонувати себе в якості секюріті компанії, як я зазначав раніше.

В своєму записі Google Gadgets Gaffe, RSnake розповідає про дірки в Google Gadgets. Що подібні до XSS уразливості в Google Apps, яка була виявлена раніше.

В своєму записі Google Safe-Browsing and Chrome Privacy Leak, RSnake розповідає про витоки приватності в сервісі Safe Browsing. Про даний сервіс Гугла, який представляє з себе онлайнову антивірусну систему, я вже розповідав раніше.

В своєму записі Google Buzz Security Flaw, RSnake розповідає про XSS уразливість в Google Buzz. На початку цього року Гугл випустив свою нову розробку Buzz, в якій одразу ж знайшли уразливості та проблеми приватності, які можна було використати для атак на користувачів Buzz.

18.09.2010

Сьогодні я знайшов Cross-Site Scripting, Insufficient Anti-automation та Full path disclosure уразливості в плагіні Register Plus Redux для WordPress. Про що найближчим часом повідомлю розробникам.

Register Plus Redux є розгалуженням плагіна Register Plus (нова версія від іншого розробника). І уразливості в них подібні (можуть лише адреси відрізнятися).

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

02.12.2010

XSS:

POST запит на сторінці http://site/wp-login.php?action=register
"><script>alert(document.cookie)</script>В полях: First Name, Last Name, Website, AIM, Yahoo IM, Jabber / Google Talk, Password, Confirm Password.
</textarea><script>alert(document.cookie)</script>В полі: About Yourself.

Insufficient Anti-automation:

http://site/wp-login.php?action=register

В формі реєстрації немає захисту від автоматизованих запитів (капчі).

Full path disclosure:

http://site/wp-content/plugins/register-plus-redux/dash_widget.php

http://site/wp-content/plugins/register-plus-redux/register-plus-redux.php

При POST запиті на сторінці http://site/wp-login.php?action=register.

Уразливі версії плагіна Register Plus Redux 3.6.1 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://khersonpoliv.at.ua (хакерами TH3_H4TTAB, CrazY і Kiproo)
• http://timo.kiev.ua (хакерами з Black HaT Group)
• http://itour.in.ua (хакером HydrA) - 11.2010, зараз сайт вже виправлений адмінами
• http://linuxinfotech.net (хакером Itay)
• http://video.toppj.com.ua (хакерами з zHrAn TaEm) - 23.11.2010, зараз на сайті немає контенту

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах NextGEN Gallery та cforms. Для котрих з’явилися експлоіти. NextGEN Gallery - це плагін для створення галерей зображень, cforms - це плагін для створення контактних форм на сайті.

• XSS Vulnerability in NextGEN Gallery Wordpress Plugin (деталі)
• cforms WordPress Plugin Cross Site Scripting Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://beatlesinmylife.org.ua - інфекція була виявлена 14.10.2010. Зараз сайт не входить до переліку підозрілих.
• http://harvest-ind.com.ua - інфекція була виявлена 02.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://cluboz.net - інфекція була виявлена 26.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://askei.kiev.ua - інфекція була виявлена 29.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mns.gov.ua - інфікований державний сайт - інфекція була виявлена 09.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт mns.gov.ua також хостить в себе Укртелеком.