Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.thisisukraine.org (хакером Skorsky)
• http://www.kievgallery.kiev.ua (хакерами з Und3rGr0unD W4rri0rZ)
• http://bistro.com.ua (хакером DistinguisheD)
• http://www.polvent.com (хакером J0J0k з Ashiyane Digital Security) - 06.08.2010, зараз сайт не працює (немає контенту)
• http://foundryua.org (хакерами з AHG) - 28.07.2010, зараз сайт вже виправлений адмінами

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки. Цього разу на тему DNS Rebinding (також відомого як Anti-DNS Pinning). Раніше я вже наводив відео про DNS Rebinding атаки.

В своєму записі Stanford’s DNS Rebinding Paper, RSnake розповідає про документ Стенфордського університету на тему DNS Rebinding атак.

На сторінці Stealing Information Using Anti-DNS Pinning ( DNS Rebinding ) : Online Demonstration наводиться онлайнова демонстрація DNS Rebinding атаки на браузер. Робота якої була перевірена в різних браузерах.

В своєму записі DNS Rebinding in Firefox, RSnake розповідає про ситуацію з DNS Rebinding в браузері Firefox. Як він виявив, в Firefox взагалі немає DNS Pinning захисту, тому DNS Rebinding атаки можна більш легко проводити в даному браузері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://solid.net.ua - інфекція була виявлена 05.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://webmastak.net - інфекція була виявлена 09.08.2010. Зараз сайт не входить до переліку підозрілих.
• http://all-travel.net.ua - інфекція була виявлена 04.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://glamur.biz - інфекція була виявлена 02.07.2010. Зараз сайт не входить до переліку підозрілих.
• http://mgx.com.ua - інфекція була виявлена 08.08.2010. Зараз сайт входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.alushta.crimea.ua (хакерами з KDG-crew) - причому спочатку сайт був взломаний 27.07.2010 KDG-crew, а вже 28.07.2010 взломаний VHZ. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.shinshila.com (хакерами з AHG CREW)
• http://www.antique.com.ua (хакером Aykanksk35) - 07.2010, зараз сайт вже виправлений адмінами
• http://elies.com.ua (хакерами з Und3rGr0unD W4rri0rZ)
• http://www.rnzknd.net (хакерами з AHG CREW)

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Clean MX.

Даний сервіс призначений для захисту від вірусів на веб сайтах та інших шкідливих сайтів. На сайті знаходяться списки сайтів з вірусами, спамерських та фішерських сайтів.

Веб сервіс Clean MX відрізняється від таких сервісів як McAfee SiteAdvisor, Norton Safe Web від Symantec та інших тим, що він представляє собою не сервіс виявлення шкідливого коду на сайтах, а список шкідливих сайтів. В цьому він подібний до сервісу DNS-BH – Malware Domain Blocklist.

Щоб скористатися даним сервісом, потрібно зайти на сайт, наприклад, на сторінку зі списком сайтів із вірусами. Та переглянути список з детальною інформацією по кожному шкідливому сайту.

Продовжуючи займатися захисним хаком (protecting hack), в рамках моєї концепції хакерських війн про яку я розповідав раніше, після квітневого захисту сайта www.peremoga.gov.ua (який був взломаний black SEO), я захистив новий сайт. Цього разу я захистив сайт http://bestmaster.com.ua.

Коли я виявив уразливість на bestmaster.com.ua, про яку я вже писав та повідомляв адмінам (але безрезультатно, бо вони не читають пошту), я звернув увагу на продажні лінки на сторінках сайта. І в мене виникла підозра, що на цьому сайті попрацювали black SEO-шники. І враховуючи, що зв’язатися з адмінами не вийшло, сьогодні я перевірив дану підозру і вона підтвердилася - black SEO окупували даний сайт і почали розміщувати на сайті свої лінки та заробляли на цьому гроші.

Даний сайт був взломаний 05.01.2010, після чого на ньому почали розміщувати лінки через брокера. Як і у випадку з сайтом www.peremoga.gov.ua, на даному сайті лінки також розміщували через SAPE. Це вже другий випадок коли SAPE використовується для блексео діяльності.

Тобто через веб брокера (через php-скрипт) зловмисники розміщували лінки на взломаному сайті (і це вже другий подібний випадок). В цьому, як і в попередньому випадку, власники SAPE самі отримували прибуток, тому можуть вважатися спільниками. Дану ситуацію я виправив і прибрав дані нехороші лінки.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://viewhit.biz - інфекція була виявлена 03.08.2010. Зараз сайт входить до переліку підозрілих.
• http://bestofaudio.com - інфекція була виявлена 29.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://original-style.net.ua - інфекція була виявлена 01.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://mp3-online.kiev.ua - інфекція була виявлена 02.08.2010. Зараз сайт не входить до переліку підозрілих.
• http://kladoiskatel.org.ua - інфекція була виявлена 02.08.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфіковані сайти bestofaudio.com, mp3-online.kiev.ua та kladoiskatel.org.ua також хостить в себе Укртелеком.

Нещодавно, 29.07.2010, вийшла нова версія WordPress 3.0.1. Вихід нової версії WP співпав в часі з анонсом мого проекту День багів в WordPress 2 .

WordPress 3.0.1 це багфікс випуск 3.0 серії. В якому розробники виправили різноманітні баги. Всього було виправлено близько 50 багів.

Сьогодні я провів проект День багів в WordPress 2 (Day of bugs in WordPress 2). За цей день я опублікував чимало уразливостей в WordPress. Всього 8 дірок - це Information Leakage, Full path disclosure, Cross-Site Request Forgery та Cross-Site Scripting уразливості в різних версіях WP.

• Information Leakage та Full path disclosure уразливості в WordPress
• CSRF, Information Leakage та Full path disclosure в WordPress
• XSS уразливість в WordPress 2.7 - 2.8.1

В своєму проекті я опублікував різні цікаві уразливості в WP, в тому числі CSRF уразливість, що дозволяє проводити вельми оригінальну атаку, яку я назвав атака для відправки бакапа по емайлу (Email me backup attack). І з часом я ще оприлюдню нові уразливості в WordPress.

Продовжую проект День багів в WordPress 2. Зараз я оприлюдню результати мого дослідження однієї Cross-Site Scripting уразливості в WordPress, що була оприлюднена в липні 2009 року.

В минулому році була виявлена Cross-Site Scripting уразливість в WordPress 2.8.1. Яка мала місце в параметрі url при відправці коментарів. Уразливість виявив iso^kpsbr і він представив експлоіт, що редиректив на сайт вказаний в полі url, при наведені курсором на відповідний текст. Це strictly social XSS.

По-перше, я визначив вразливі версії движка (чого не було зроблено автором експлоіта). Як я перевірив, уразливі версії WordPress 2.7 - 2.8.1. Попередні версії невразливі, лише в WP 2.7 відбулися зміни в коді обробки коментарів, що призвели до появи XSS уразливості. В версії 2.8.2 уразливість була виправлена.

По-друге, я розробив експлоіт, який не робить onClick через onMouseOver для редерекції на сайт, а безпосередньо проводить XSS атаку - в даному випадку це звичайний alert. Незважаючи на обмеження на доступні символи, проведення XSS атак з використанням цієї уразливості цілком реальне (хоча розробники WP заявляли, що уразливість дозволяє лише редиректити на інші сайти, як це було зроблено в згаданому експлоіті, але в своєму експлоіті я продемонстрував можливість й інших атак, зокрема доступу до кукісів). Атака відбувається через onMouseOver (тобто це strictly social XSS).

XSS:

WordPress XSS.html

Код спрацює при відвіданні адміном сторінки для перевірки коментарів (http://site/wp-admin/edit-comments.php) та наведенні курсором на відповідний текст. Також код спрацює на сторінці з даним коментарем (http://site/?p=1), коли будь-який користувач чи відвідувач сайта наведе курсор на відповідний текст, якщо коментар був дозволений адміном, або він автоматично був дозволений для публікації (при відповідних налаштуваннях сайта - коли немає премодерації, або коли даний користувач вже має коментарі на даному сайті). А також код спрацює на сторінці Dashboard (http://site/wp-admin/index.php) в блоці Recent Comments при наведенні курсором на відповідний текст.