Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kievflower.com.ua (хакером baDsectQr) - 14.11.2010, зараз сайт вже виправлений адмінами
• http://www.cdvr.org.ua (хакерами з 1923TURK-GRUP) - 11.2010, зараз сайт вже виправлений адмінами
• http://veda-kiev.org.ua (хакером baDsectQr) - 11.2010, зараз сайт вже виправлений адмінами
• http://pfukonotop.hmarka.net (хакерами з Republic Of Kosovo Hackers)
• http://all360.org (хакером Microsoft)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ternopil-best.at.ua - інфекція була виявлена 11.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://nasharu.org.ua - інфекція була виявлена 09.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://sybronimplants.com.ua - інфекція була виявлена 10.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://tristar.com.ua - інфекція була виявлена 24.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://forum.crimea.ua - інфекція була виявлена 23.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Торік в записі Як Mozilla виправляє дірки в своїх браузерах, я вже розповідав про одного несерйозного розробника браузерів - Mozilla - який приховано виправив (ще в 2008 році) декілька з уразливостей, про які я їм повідомив. А зараз розповім про ще двох несерйозних розробників браузерів - Microsoft та Opera.

В 2007 році я виявив Cross-Site Scripting уразливість в Internet Explorer, про що повідомив Microsoft (в 2007 стосовно IE6, а в 2008 стосовно IE7), але вони тоді не виправили цю дірку в своїх браузерах. І як я вчора зазначив, оприлюднивши нову дірку в IE, яку Microsoft забула виправити, коли втихаря випраляля попередню дірку - у травні я виявив, що Microsoft виправила попередню уразливість в IE8. Тобто спочатку проігнорувала дану уразливість в IE6 та IE7, про яку я їм повідомляв в 2007-2008 роках, а потім тихенько виправила її в IE8.

Що є несерйозною і доволі ламерською поведінкою для Microsoft. І починаючи з уразливості в IE, оприлюдненої вчора, для даної компанії я буду використовувати лише Full disclosure і одразу буду публікувати деталі всіх виявлених уразливостей в їх програмних продуктах. Але при цьому буду їм повідомляти по емайлу. Але ще один такий випадок від Microsoft і тоді я не будуть навіть по емайлу їм повідомляти, і їм доведеться дізнаватися про дірки в їхніх програмах з багтреків.

У випадку Опери маємо два таких інциденти. Тобто вони повели себе ще більш несерйозно, ніж Майкрософт.

Як я виявив ще в жовтні, Opera виправила уразливість в своєму браузері (в версії Opera 10.63), про яку я їм повідомив - про XSS на сторінці браузера про помилку. Причому зробила це вона приховано: спочатку вони проігнорували моє повідомлення (на початку серпня), зовсім не відповівши на мого листа, а в середині жовтня виправили дану XSS в своєму браузері (без спасибі і без жодного посилання на мене).

А вже вчора я перевірив, що XSS уразливість в Opera, про яку я повідомляв в 2008 році, не працює в Opera 10.62. Тобто, якщо в Opera 9.52 компанія не стала виправляти дану уразливість, то в Opera 10 вони її тихенько виправили. Офіційно ніде про це не повідомивши й мені не подякувавши.

Тобто компанія вже двічі продемонструвала несерйозний підхід до виправлення уразливостей в своєму браузері. І подібна ламерська поведінка Opera Software є дуже несерйозною, як і вищезгадана поведінка Microsoft.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.sharikifonariki.com.ua (хакерами з Radical Team) - 29.09.2010, зараз сайт вже виправлений адмінами
• http://www.yum.edu.ua (хакерами з Iranian DataCoders Security Team)
• http://www.freetimes.org.ua (хакером UzUnKaYa) - 29.10.2010, зараз сайт вже виправлений адмінами
• http://www.karabin.com.ua (хакерами з KDG) - 02.11.2010, зараз сайт вже виправлений адмінами
• http://funflash.org (хакерами з Opoja Hackers Group) - 22.10.2010, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://zamkova.info - інфекція була виявлена 21.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 9 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://all4you.net.ua - інфекція була виявлена 29.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://afisha.km.ua - інфекція була виявлена 04.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://topmusic.com.ua - інфекція була виявлена 15.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pornohub.com.ua - інфекція була виявлена 25.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти zamkova.info та topmusic.com.ua також хостить в себе Укртелеком.

За більше 12 років використання Інтернету мені довелося працювати з різними банерними системами, брокерами та партерськими програмами, що дозволяли заробляти гроші за розміщення реклами на своєму сайті. І неодноразово мені доводилося стикатися з кидалами. Шахраїв в Інтернеті повно , в тому числі й серед партнерок без них не обійшлося.

Розповідати про всі випадки, з якими я стикався, я не буду, лише про останні випадки. Зокрема я буду згадаувати про партнерки Рунета і Уанета, які займаються шахрайством, що буде актуально для моїх читачів, щоб люди не зв’язувалися з цими кидалами і враховували мій досвід роботи з даними партнерками.

Про кидал з adbroker.ru я вже писав. А зараз розповім про шахрайську партнерку dating.ru.

З даною партнеркою я працював з березня 2006 - розмістив їхні банери на одному своєму сайті. І одразу вони себе показали з некращої сторони - вони одразу почали зараховувати не всі кліки (так було в 2006 і так продовжилося й в 2010), вони зараховували лише 10% всіх кліків (що я знаю з аналізу своєї статистики та статистики, яку вони надають в акаунті користувача). Що вже визивало підозри, що вони навмисно це роблять, щоб менше платити партнерам та затягувати час виплати.

У них мінімальна сума для виведення $20. Враховуючи не дуже велику кількість відвідувачів на тому моєму сайті, де були розміщені їхні банери, та невилику кількість кліків по ним (невисокий CTR), а також вищезгадану поведінку партнерки, коли вони зараховували всього 10% кліків, та низьку ціну за клік, то процес накопичення затягнувся надовго. В липні цього року в мене на рахунку було $19 з копійками і у серпні я розраховував нарешті набрати $20. Коли я зайшов у жовтні, щоб перевірити свій рахунок і нарешті зробити перше виведення коштів, я виявив, що мій пароль не підходить і я не можу зайти в свій акаунт. І що мого акаунту взагалі немає в системі, й на мого листа з цього приводу вони з минулого місяця досі не відповіли. Тобто просто кинули свого партнера коли той набрав мінімальну суму для виведення.

Зазначу, що даний сайт достатьо дірявий. Про уразливість на bill.dating.ru я вже писав в 2006 році. Яку вони виправили після мого повідомлення, але при цьому забувши мені подякувати. До цієї дірки додам наступні.

Brute Force:

http://bill.dating.ru/aff/stat.php

Insufficient Anti-automation:

http://bill.dating.ru/reg.php

http://bill.dating.ru/lost_passwd/lost_password.php

Так що не тільки на партнерах вони економлять, по шахрайськи не виплачуючі їм зароблені гроші, але й на безпеці власного сайту вони також економлять.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.galstyki.com (хакером Delp0rt3r)
• http://diplomik.net (хакером The KabuS) - 29.10.2010, зараз сайт вже виправлений адмінами
• http://clip.net.ua (хакерами з FR-CR3W)
• http://www.mia-fin.com.ua (хакером Brunei)
• http://www.tsarus.com.ua (хакерами з 1923TURK-GRUP) - 06.10.2010, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://zorya.dp.ua - інфекція була виявлена 28.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://coldcountry.org.ua - інфекція була виявлена 12.09.2010. Зараз сайт входить до переліку підозрілих.
• http://fm-tv.in.ua - інфекція була виявлена 03.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://de-luxe.net.ua - інфекція була виявлена 03.11.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://my.km.ua - інфекція була виявлена 14.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

20.10.2010

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17 та 18.

Ось нова добірка уразливих секюріті сайтів:

• bezpeka.kr.ua
• codecamp.org.ua
• www.hackerscenter.com

Всім security проектам та сайтам секюріті конференцій слід приділяти більше уваги безпеці власних веб сайтів.

30.10.2010

Ще одна добірка уразливих секюріті сайтів:

• www.rmd5.com
• www.ssllabs.com
• varta.net.ua

Секюріті проектам та компаніям варто більше слідкувати за безпекою власних сайтів.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу записи на тему Гугла, який в останній час почав активно позиціонувати себе як секюріті компанія та пропонувати послуги безпеки для клієнтів.

В своєму записі Google Redirects Help Phishers Again, RSnake в черговий раз навів приклад, коли редиректори Гулга використовувалися для фішинга. Я сам багато разів зустрічав в емайл листах використиння редиректорів пошукових систем для фішинга, в тому числі редиректорів Гугла і Яндекса.

В своєму записі Phishing Through Google (Yet Again), RSnake знову розповів про чергове використання редиректорів Гулга для фішинга. І те, що з роками Гугл почав виправляти деякі відкриті редиректори на своїх сайтах, це ще не значить, що вони виправили всі редиректори (до того ж з часом з’являються нові).

Тому їм ще є куди покращувати безпеку своїх сайтів, в тому числі стосовно Redirector уразливостей. Про атаки через відкриті та закриті редиректори, я раніше писав в своїх статтях.

В своєму записі Phishing With Google Wave, RSnake розповідає про фішинг атаку через Google Wave. На початку цього року Гугл випустив свою нову розробку Wave, в якій одразу ж знайшли уразливості, які в тому числі можна було використати для фішинг атак на користувачів Wave.