Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pk-ukraina.gov.ua - інфікований державний сайт - інфекція була виявлена 24.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pku.gov.ua - інфікований державний сайт - інфекція була виявлена 26.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://mp3-online.com.ua - інфекція була виявлена 11.08.2010. Зараз сайт не входить до переліку підозрілих.
• http://referat-center.com - інфекція була виявлена 29.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mp3forum.com.ua - інфекція була виявлена 31.08.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт mp3-online.com.ua також хостить в себе Укртелеком.

Сьогодні в мене день народження - мені виповнилося 27 років. З чим вас і себе поздоровляю .

Традиційно одним з перших мене поздоровив мій Palm. Але й деякі відповідальні люди також не забули це зробити.

В зв’язку з цією подією, я оновив SQL Injection ASCII Encoder. Після розміщення його в себе на сайті в 2008 році, я регулярно його оновлював (спочатку локальну версію, а потім і онлайн версію), щоб він ставав ще більш корисним і зручним інструментом при проведенні SQL ін’єкцій. І зараз я розмістив на сайті останню версію даного інструменту.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://taxi-k.org (хакерами SysTem-Tr0jAn і FaSt’HaCkEr)
• http://ntl.hmarka.net (хакером NOCKAR1111)
• http://www.dj-wheels.com.ua (хакером houssem jrad)
• http://www.polvent.com (хакером J0J0k з Ashiyane Digital Security Team) - причому спочатку сайт був взломаний 06.08.2010 J0J0k, як я вже писав, потім 11.08.2010 сайт не працював (не було контенту), а як тільки запрацював, то вже 15.08.2010 він був взломаний HAMED WOLF. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті. Зараз сайт вже виправлений адмінами
• http://77.120.114.100/~jdemo/ (хакерами з AHG)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://audiofile.org.ua - інфекція була виявлена 23.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://jet.if.ua - інфекція була виявлена 07.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 10 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://photo-crimea.com.ua - інфекція була виявлена 09.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://grandlog.com.ua - інфекція була виявлена 21.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://mp3xa.com.ua - інфекція була виявлена 12.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 7 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти audiofile.org.ua та mp3xa.com.ua також хостить в себе Укртелеком.

Нещодавно була оприлюднена Cross-Site Scripting уразливість в WordPress. Уразливі WordPress 3.0.1 та попередні версії.

Використовуючи дану уразливість можна провести XSS атаку на адміна. Але зазначу, що для атаки потрібно знати токен (_wpnonce), призначений для захисту від CSRF атак (який є в WP 2.9.2 та попередніх версіях), тому реально використати дану XSS буде важко.

До речі, під час проекту День багів в WordPress 2 я розповів про уразливість в плагіні WordPress Database Backup, що потенційно може працювати з WP 3.0 та 3.0.1, тому вона також може торкнутися користувачів останньої версії движка.

• WordPress 3.0.1 - Cross Site Scripting Issue (деталі)

Зазначу, що версії WordPress 2.0.x невразливі, бо в них немає даного функціоналу. Зате, як я перевірив, вразливі версії 2.7 - 2.9.2 (так само як і у випадку версій 3.0 та 3.0.1). Також вразлива WP 2.6.2, але там атаку потрібно робити по іншому (зовсім інший запит), причому можливий тільки POST запит (при тому, що в WP 2.7 і вище можливі як GET, так і POST запити). В WP 2.6.x даний функціонал по іншому реалізований. Додам, що досліджуючи дану дірку я виявив багато інших дірок в цьому функціоналі, про що я напишу окремо .

Також зазначу, що дослідник який знайшов цю дірку заявив, що атака відбувається через параметер checked[0] в скрипті wp-admin/plugins.php, коли параметер action рівний delete-selected. Як я перевірив, XSS код можна вказувати як в checked[0], так і в checked[1] і т.д., а також в checked[]. До того ж, в WP 2.8 - 2.9.2, 3.0 та 3.0.1 можна вказувати як action рівний delete-selected, так і action2 рівний delete-selected, а в версіях 2.7.х можна використати тільки action.

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це ZeuS Tracker.

Даний сервіс дещо відрізняється від раніше згаданих сервісів. Він не призначий для виявлення вірусів на веб сайтах, а сконцентрований на ботнеті ZeuS. Мета сервіса - виявлення командних серверів ZeuS по всьому світі та надання блеклістів по їх доменам та IP.

Веб сервіс ZeuS Tracker в цьому подібний до сервісів Clean MX та DNS-BH – Malware Domain Blocklist.

Щоб скористатися даним сервісом, потрібно зайти на головну сторінку сайта та переглянути карту хостів ботнета ZeuS (у вигляді карти на Google Maps). Також можете ознайомитися зі статистикою, переглянути повний список хостів ботнета і викачати блеклісти (по домену чи IP). А також можна подивитися детальну інформацію по хостам даної бот мережі.

Можете подитивитися на детальну інформацію про інфікований сайт strbypass.uz.ua:

https://zeustracker.abuse.ch/monitor.php?host=strbypass.uz.ua

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.thisisukraine.org (хакером Skorsky)
• http://www.kievgallery.kiev.ua (хакерами з Und3rGr0unD W4rri0rZ)
• http://bistro.com.ua (хакером DistinguisheD)
• http://www.polvent.com (хакером J0J0k з Ashiyane Digital Security) - 06.08.2010, зараз сайт не працює (немає контенту)
• http://foundryua.org (хакерами з AHG) - 28.07.2010, зараз сайт вже виправлений адмінами

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу на тему DNS Rebinding (також відомого як Anti-DNS Pinning). Раніше я вже наводив відео про DNS Rebinding атаки.

В своєму записі Stanford’s DNS Rebinding Paper, RSnake розповідає про документ Стенфордського університету на тему DNS Rebinding атак.

На сторінці Stealing Information Using Anti-DNS Pinning ( DNS Rebinding ) : Online Demonstration наводиться онлайнова демонстрація DNS Rebinding атаки на браузер. Робота якої була перевірена в різних браузерах.

В своєму записі DNS Rebinding in Firefox, RSnake розповідає про ситуацію з DNS Rebinding в браузері Firefox. Як він виявив, в Firefox взагалі немає DNS Pinning захисту, тому DNS Rebinding атаки можна більш легко проводити в даному браузері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://solid.net.ua - інфекція була виявлена 05.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://webmastak.net - інфекція була виявлена 09.08.2010. Зараз сайт не входить до переліку підозрілих.
• http://all-travel.net.ua - інфекція була виявлена 04.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://glamur.biz - інфекція була виявлена 02.07.2010. Зараз сайт не входить до переліку підозрілих.
• http://mgx.com.ua - інфекція була виявлена 08.08.2010. Зараз сайт входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.alushta.crimea.ua (хакерами з KDG-crew) - причому спочатку сайт був взломаний 27.07.2010 KDG-crew, а вже 28.07.2010 взломаний VHZ. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.shinshila.com (хакерами з AHG CREW)
• http://www.antique.com.ua (хакером Aykanksk35) - 07.2010, зараз сайт вже виправлений адмінами
• http://elies.com.ua (хакерами з Und3rGr0unD W4rri0rZ)
• http://www.rnzknd.net (хакерами з AHG CREW)