Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.
Похакані сайти в Уанеті:
Файли, що використовуються для RFI атак:
http://stalker.net.cn.ua/settings/data/id.txt - файл вже видалений з сайта, але все ще є в кеші Гугла.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
17.09.2010
У травні, 02.05.2010, я знайшов Cross-Site Scripting, Insufficient Anti-automation та Full path disclosure уразливості в плагіні Register Plus для WordPress. Які я виявив на сайті codecamp.org.ua. Про що найближчим часом повідомлю розробникам.
4 XSS уразливості в даному плагіні першим виявив Dementor, про що він мені повідомив коли ми обговорювали уразливості на секюріті сайті codecamp.org.ua. І коли я зайшов на даний сайт перевірити XSS дірки, я заодно виявив й інші дірки. А потім досліджуючи даний плагін я виявив ще 5 XSS дірок (в інших полях, які не використовувалися на codecamp.org.ua, але є в даному плагіні). Зазначу, що Insufficient Anti-automation уразливість в плагіні подібна до аналогічної IAA в самому WordPress.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.
24.11.2010
XSS:
POST запит на сторінці http://site/wp-login.php?action=register
"><script>alert(document.cookie)</script>В полях: First Name, Last Name, Website, AIM, Yahoo IM, Jabber / Google Talk, Password, Confirm Password.
</textarea><script>alert(document.cookie)</script>В полі: About Yourself.
Insufficient Anti-automation:
http://site/wp-login.php?action=register
В формі реєстрації немає захисту від автоматизованих запитів (капчі). В самому WordPress також є подібна уразливість.
Full path disclosure:
http://site/wp-content/plugins/register-plus/dash_widget.php
http://site/wp-content/plugins/register-plus/register-plus.php
Уразливі версії плагіна Register Plus 3.5.1 та попередні версії. Також до Insufficient Anti-automation уразливі WordPress 3.0.1 та попередні версії. Враховуючи, що даний плагін більше не підтримується розробником, то його користувачам потрібно виправити дірки власноруч.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
Торік в записі Як Mozilla виправляє дірки в своїх браузерах, я вже розповідав про одного несерйозного розробника браузерів - Mozilla - який приховано виправив (ще в 2008 році) декілька з уразливостей, про які я їм повідомив. А зараз розповім про ще двох несерйозних розробників браузерів - Microsoft та Opera.
В 2007 році я виявив Cross-Site Scripting уразливість в Internet Explorer, про що повідомив Microsoft (в 2007 стосовно IE6, а в 2008 стосовно IE7), але вони тоді не виправили цю дірку в своїх браузерах. І як я вчора зазначив, оприлюднивши нову дірку в IE, яку Microsoft забула виправити, коли втихаря випраляля попередню дірку - у травні я виявив, що Microsoft виправила попередню уразливість в IE8. Тобто спочатку проігнорувала дану уразливість в IE6 та IE7, про яку я їм повідомляв в 2007-2008 роках, а потім тихенько виправила її в IE8.
Що є несерйозною і доволі ламерською поведінкою для Microsoft. І починаючи з уразливості в IE, оприлюдненої вчора, для даної компанії я буду використовувати лише Full disclosure і одразу буду публікувати деталі всіх виявлених уразливостей в їх програмних продуктах. Але при цьому буду їм повідомляти по емайлу. Але ще один такий випадок від Microsoft і тоді я не будуть навіть по емайлу їм повідомляти, і їм доведеться дізнаватися про дірки в їхніх програмах з багтреків.
У випадку Опери маємо два таких інциденти. Тобто вони повели себе ще більш несерйозно, ніж Майкрософт.
Як я виявив ще в жовтні, Opera виправила уразливість в своєму браузері (в версії Opera 10.63), про яку я їм повідомив - про XSS на сторінці браузера про помилку. Причому зробила це вона приховано: спочатку вони проігнорували моє повідомлення (на початку серпня), зовсім не відповівши на мого листа, а в середині жовтня виправили дану XSS в своєму браузері (без спасибі і без жодного посилання на мене).
А вже вчора я перевірив, що XSS уразливість в Opera, про яку я повідомляв в 2008 році, не працює в Opera 10.62. Тобто, якщо в Opera 9.52 компанія не стала виправляти дану уразливість, то в Opera 10 вони її тихенько виправили. Офіційно ніде про це не повідомивши й мені не подякувавши.
Тобто компанія вже двічі продемонструвала несерйозний підхід до виправлення уразливостей в своєму браузері. І подібна ламерська поведінка Opera Software є дуже несерйозною, як і вищезгадана поведінка Microsoft.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
Як і у випадку з іншими веб сайтами, інфіковані сайти zamkova.info та topmusic.com.ua також хостить в себе Укртелеком.
За більше 12 років використання Інтернету мені довелося працювати з різними банерними системами, брокерами та партерськими програмами, що дозволяли заробляти гроші за розміщення реклами на своєму сайті. І неодноразово мені доводилося стикатися з кидалами. Шахраїв в Інтернеті повно 
, в тому числі й серед партнерок без них не обійшлося.
Розповідати про всі випадки, з якими я стикався, я не буду, лише про останні випадки. Зокрема я буду згадаувати про партнерки Рунета і Уанета, які займаються шахрайством, що буде актуально для моїх читачів, щоб люди не зв’язувалися з цими кидалами і враховували мій досвід роботи з даними партнерками.
Про кидал з adbroker.ru я вже писав. А зараз розповім про шахрайську партнерку dating.ru.
З даною партнеркою я працював з березня 2006 - розмістив їхні банери на одному своєму сайті. І одразу вони себе показали з некращої сторони - вони одразу почали зараховувати не всі кліки (так було в 2006 і так продовжилося й в 2010), вони зараховували лише 10% всіх кліків (що я знаю з аналізу своєї статистики та статистики, яку вони надають в акаунті користувача). Що вже визивало підозри, що вони навмисно це роблять, щоб менше платити партнерам та затягувати час виплати.
У них мінімальна сума для виведення $20. Враховуючи не дуже велику кількість відвідувачів на тому моєму сайті, де були розміщені їхні банери, та невилику кількість кліків по ним (невисокий CTR), а також вищезгадану поведінку партнерки, коли вони зараховували всього 10% кліків, та низьку ціну за клік, то процес накопичення затягнувся надовго. В липні цього року в мене на рахунку було $19 з копійками і у серпні я розраховував нарешті набрати $20. Коли я зайшов у жовтні, щоб перевірити свій рахунок і нарешті зробити перше виведення коштів, я виявив, що мій пароль не підходить і я не можу зайти в свій акаунт. І що мого акаунту взагалі немає в системі, й на мого листа з цього приводу вони з минулого місяця досі не відповіли. Тобто просто кинули свого партнера коли той набрав мінімальну суму для виведення.
Зазначу, що даний сайт достатьо дірявий. Про уразливість на bill.dating.ru я вже писав в 2006 році. Яку вони виправили після мого повідомлення, але при цьому забувши мені подякувати. До цієї дірки додам наступні.
Brute Force:
http://bill.dating.ru/aff/stat.php
Insufficient Anti-automation:
http://bill.dating.ru/reg.php
http://bill.dating.ru/lost_passwd/lost_password.php
Так що не тільки на партнерах вони економлять, по шахрайськи не виплачуючі їм зароблені гроші, але й на безпеці власного сайту вони також економлять.
* 
You are currently browsing the archives for the Новини сайту category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.