Websecurity - Веб безпека

Продовжу розповідати вам про сайти для пошуку хешей паролів.

В Інтернеті існують веб сайти для пошуку sha1 хешей (як й інших хешей). Тобто вони призначені для взлому sha1 хешей, зокрема хешей паролів, щоб по хешу отримати його значення.

До раніше наведених сайтів зверну вашу увагу на наступні:

• http://rehash.dustinfineout.com (md4, md5, sha1, sha224, tiger128_3, tiger128_4, tiger160_3, tiger160_4, tiger192_3 і tiger192_4 хеші)
• https://hashcracking.info (MD5, MySQL, MySQL5 і SHA-1 хеші)
• http://passcracking.ru (MD5, SHA1 і MySQL хеші)
• http://hashcrack.com (MD5, SHA1, MySQL, NTLM і LanMan хеші)
• http://www.md5decrypter.co.uk/sha1-decrypt.aspx

В подальшому я продовжу наводити перелік подібних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://banner.ua (невідомими хакерами) - 17.06.2010 - DDoS атака на сайт
• http://game-monitor.org (хакерами з KS-HACKERS.COM)
• http://ml.host-ua.org.ua (хакером Kam_06)
• http://lviv.ukrgo.com (хакерами w01f і Ymer) - 19.06.2010, зараз сайт вже виправлений адмінами
• http://cek.org.ua (хакером N2N) - 31.05.2010, зараз сайт вже виправлений адмінами

28.04.2010

У квітні, 20.04.2010, я знайшов Full path disclosure, Redirector, Cross-Site Scripting та HTTP Response Spitting уразливості в плагіні Cimy Counter для WordPress. Дані уразливості я виявив на сайті http://vs-db.info (лише HTTP Response Spitting я перевірив в себе на localhost). Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

24.06.2010

Full path disclosure:

http://site/wp-content/plugins/cimy-counter/cimy_counter.php

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=%0A1

Redirector:

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=http://websecurity.com.ua

XSS:

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b

HTTP Response Spitting:

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=TestCounter&fn=%0AHeader:test

Працює на старих версіях PHP.

Уразливі Cimy Counter 0.9.4 та попередні версії. В версії Cimy Counter 0.9.5 автор виправив усі зазначені уразливості окрім Redirector (також відомий як URL Redirector Abuse в WASC TC v2).

Версія Cimy Counter 1.1.0 вже невразлива.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://rovenki.biz - інфекція була виявлена 07.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://vhd-soft.com - інфекція була виявлена 07.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://vtuse.com - інфекція була виявлена 07.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ehard.com.ua - інфекція була виявлена 10.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mikaterravira.pl.ua - інфекція була виявлена 01.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Про взломаний сайт ehard.com.ua я вже писав в 2008 році.

Продовжу розповідати вам про сайти для пошуку md5 хешей.

В Інтернеті існують веб сайти для пошуку md5 хешей (як й інших хешей). Тобто вони призначені для взлому md5 хешей, щоб по хешу отримати його значення (у випадку хеша пароля, це дозволить отримати пароль).

До раніше наведених сайтів зверну вашу увагу на наступні:

• http://www.md5this.com/list.php
• http://www.rmd5.com
• http://passcracking.ru (MD5, SHA1 і MySQL хеші)
• http://hashcrack.com (MD5, SHA1, MySQL, NTLM і LanMan хеші)
• http://gdataonline.com

В подальшому я продовжу наводити перелік подібних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yunona-tom.com (хакером isarock666)
• http://www.aktiva.ua (хакером SheKkoLik) - 06.06.2010, зараз сайт вже виправлений адмінами
• http://www.budlim.com (хакером ExcalibuR)
• http://psiham.org.ua (хакером FeniX) - 04.06.2010, зараз сайт вже виправлений адмінами
• http://www.school29.poltava.ua (хакером Y0u_W3rY)

12.05.2010

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16 та 17.

Ось нова добірка уразливих секюріті сайтів:

• zillya.com
• codecamp.org.ua
• ua-hack.com

Всім security проектам слід приділяти більше уваги безпеці власних веб сайтів.

15.06.2010

Ще одна добірка уразливих секюріті сайтів:

• vs-db.info
• www.bezpeka.com
• cripo.com.ua
• www.securityhome.eu

Секюріті проектам варто більше слідкувати за безпекою власних сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://shaadm.gov.ua - інфікований державний сайт - інфекція була виявлена 24.04.2010. Зараз сайт входить до переліку підозрілих.
• http://notforall.info - інфекція була виявлена 31.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://sushistudio.net - інфекція була виявлена 01.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://strawbale.ho.ua - інфекція була виявлена 14.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://daniluks.com - інфекція була виявлена 01.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві gov-сайти: www.pi.gov.pl, www.pmlp.gov.lv, app.nea.gov.sg, www.jnmz.gov.cn, www.atrakcyjnaszkola.pl.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Detecting Login State With Authenticated Redirects, RSnake розповідає про можливість виявлення стану логіна через редиректи. Тобто через редиректи аутентифікації можна визначити, чи залогінена людина, чи ні.

В своєму записі Samy is my hero (AppSec 2007), Jeremiah розповів про свою зустріч з Samy Kamkar на конференції OWASP & WASC AppSec 2007. Фотографія Jeremiah, Samy і RSnake надається. Samy є автором однойменного XSS хробака “Samy”, що вразив MySpace (це найбільш відомий XSS хробак).

В своєму записі Orkut “Crush” Worm, RSnake розповідає про XSS хробака “Crush”. Даний хробак вразив соціальну мережу Orkut, що належить Гуглу.

Як я вже розповідав в новині XSS хробак в соціальній мережі Orkut, в грудні 2007 року Orkut була вражена XSS хробаком. А вже в лютому 2008 року в соціальній мережі Orkut з’явився новий XSS хробак (якого RSnake назвав “Crush”). Що демонструє як те, як Гугл слідкує за безпекою власних сайтів, так і збільшення уваги до даної соціальної мережі.