Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://childrenofchornobyl.org - інфекція була виявлена 29.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://kloun.net - інфекція була виявлена 25.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://tipsyking.com - інфекція була виявлена 12.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://avmarket.com.ua - інфекція була виявлена 13.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://chasy.com.ua - інфекція була виявлена 08.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://karpaty-travel.com (хакерами з 1923Turk-Grup)
• http://www.koruna.ua (хакерем LAMER) - 30.06.2010, зараз сайт вже виправлений адмінами
• http://pricol.org (хакером Underworld)
• http://www.skvo.com.ua (хакером Wx) - 20.06.2010, зараз сайт не працює (на реконструкції)
• http://full-race.com.ua (хакером ExcalibuR) - 09.06.2010, зараз сайт не працює

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Browser Defender від PC Tools. І це ще один конкурент моїй Web VDS.

Компанія PC Tools є відомим розробником антивірусних продуктів і вона також пропонує продукти і сервіси для захисту від вірусів на веб сайтах. Зокрема PC Tools пропонує власний сервіс Browser Defender для захисту від вірусів на веб сайтах. Який доступний як у вигляді плагіна для браузерів Firefox та Internet Explorer, так і у вигляді онлайн сервіса. Плагін представляє собою тулбар.

Веб сервіс Browser Defender подібний сервісам McAfee SiteAdvisor, Norton Safe Web від Symantec та іншим сервісам. За допомогою даного сервісу можна перевірити стан інфікованості веб сайтів.

Щоб скористатися Browser Defender, потрібно зайти на даний сайт і вказати URL в рядку пошуку, або напряму зайти на сторінку звіту про сайт (вказавши URL):

http://www.browserdefender.com/site/site.com/

Можете подитивитися на роботу сервіса на прикладі www.browserdefender.com:

http://www.browserdefender.com/site/www.browserdefender.com/

Зазначу, що на момент написання запису, даний сервіс працював погано, і якщо зайти за іншою адресою для перевірки сайта, то замість інформації про сайт виводилося повідомлення про помилку з Full path disclosure .

Продовжуючи тему антивірусів для сайтів, розповім вам про ще один подібний сервіс. Це Haute Secure. І це ще один конкурент моїй Web VDS.

Компанія Haute Secure пропонує власний сервіс для захисту від вірусів на веб сайтах. Яким зокрема користується браузер Opera. А також компанія випускає плагін для браузерів та пропонує сервіс моніторинга сайтів. А в квітні 2009 року даного розробника сервіса для пошуку вірусів на сайтах, плагіна та сервіса моніторинга сайтів купила компанія TRUSTe.

Даним сервісом компанії можна користуватися через її веб сайт. Він подібний сервісам McAfee SiteAdvisor та Norton Safe Web від Symantec. За допомогою даного сервісу можна перевірити стан інфікованості веб сайтів.

Щоб скористатися сервісом Haute Secure, потрібно зайти на сторінку Haute Secure Site info чи Haute Secure Site info для Opera та вказати URL в рядку пошуку, або напряму зайти на сторінку звіту про сайт (вказавши URL):

http://hautesecure.com/siteinfo.aspx?i=http://site.com

Можете подитивитися на роботу сервіса на прикладі hautesecure.com:

http://hautesecure.com/siteinfo.aspx?i=http://hautesecure.com

Зазначу, що в Haute Secure недостатньо велика база перевірених сайтів - вона значно менша ніж у Safe Browsing Гугла.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://www.is.svitonline.com/stasart/ - інфекція була виявлена 03.07.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://ms.km.ua - інфекція була виявлена 12.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://www.is.svitonline.com/santino/ - інфекція була виявлена 27.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://babai.com.ua - інфекція була виявлена 28.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://zveryuga.com.ua - інфекція була виявлена 07.2010. Зараз сайт входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.mitra-m.com (хакером PZHG) - причому спочатку сайт був взломаний 30.04.2010 PZHG, а 06.05.2010 взломаний AHC, а вже 20.06.2010 взломаний Game з Kosova Hackers Group. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://auto-heart.sebastopol.ua (хакерами з KHS)
• http://nemovlya.kiev.ua (хакером Chafush 511)
• http://1.ronkos.net (хакером ExcalibuR) - 21.06.2010, зараз сайт не працює (пустий сайт)
• http://www.mastergood.net (хакерами з TEAM UK L338)

30.04.2010

У квітні, 26.04.2010, я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні WP-UserOnline для WordPress. Дані уразливості я виявив на одному сайті, що використовує даний плагін. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

01.07.2010

XSS:

За допомогою спеціального запиту до сайта можна провести XSS атаку. Для цього потрібно спеціальним чином (не через браузер) відправити GET запит до сторінки http://site/?<script>alert(document.cookie)</script>.

Цe persistent XSS. Уразливість проявляється на сторінці http://site/wp-admin/index.php?page=wp-useronline.

Full path disclosure:

http://site/wp-content/plugins/wp-useronline/admin.php

http://site/wp-content/plugins/wp-useronline/widget.php

http://site/wp-content/plugins/wp-useronline/wp-stats.php

http://site/wp-content/plugins/wp-useronline/wp-useronline.php

http://site/wp-content/plugins/wp-useronline/scb/Widget.php

http://site/wp-content/plugins/wp-useronline/scb/load.php

Уразливі WP-UserOnline 2.62 та попередні версії. В версії WP-UserOnline 2.70 розробник виправив XSS, але не Full path disclosure уразливості.

24.12.2012

Експлоіт на Perl:

WP-UserOnline.txt

Експлоіт для даної уразливості, що я розробив 26.04.2010.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві державні mil-сайти: www.mil.ee, portal.navfac.navy.mil, www.cs.amedd.army.mil, w20.afpc.randolph.af.mil, www.stsc.hill.af.mil.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Timing Attacks in JavaScript, RSnake розповідає про можливість виявлення стану логіна через JavaScript. Тобто через визначення часу завантаження сторінки в JS можна визначити, чи залогінена людина, чи ні. Також RSnake навів PoC де можна перевірити дану концепцію в роботі.

В своєму записі Fox News, Directory Indexing, and FTP Passwords, Jeremiah розповів про цікавий випадок, що стався з сайтом Fox News. На якому виявили чимало уразливостей - спочатку Directory Indexing та адмінку без пароля (з таким доводолися також стикатися), де був виявлений пароль до FTP, а потім ще й XSS та SQLi уразливості. І все це на великому та полулярному ресурсі (а подібним ресурсам слід краще слідкувати за безпекою).

В своєму записі Human CAPTCHA Breaking, RSnake підняв тему ручного обходу капч. Коли люди наймаються (за гроші чи інші бонуси) для обходу капч вручну. Він розповів про тіньову економіку, що сформувалася в останні роки в сфері ручного обходу капч та про існуючі розцінки на таку роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://meta.ua - інфекція була виявлена 08.06.2010. Зараз сайт не входить до переліку підозрілих.
• http://budmix.com.ua - інфекція була виявлена 18.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://ukrvent.com - інфекція була виявлена 20.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 28 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://otduh.com.ua - інфекція була виявлена 10.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://lineage2.net.ua - інфекція була виявлена 13.04.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт budmix.com.ua також хостить в себе Укртелеком.