Websecurity - Веб безпека

30.04.2010

У квітні, 26.04.2010, я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні WP-UserOnline для WordPress. Дані уразливості я виявив на одному сайті, що використовує даний плагін. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

01.07.2010

XSS:

За допомогою спеціального запиту до сайта можна провести XSS атаку. Для цього потрібно спеціальним чином (не через браузер) відправити GET запит до сторінки http://site/?<script>alert(document.cookie)</script>.

Цe persistent XSS. Уразливість проявляється на сторінці http://site/wp-admin/index.php?page=wp-useronline.

Full path disclosure:

http://site/wp-content/plugins/wp-useronline/admin.php

http://site/wp-content/plugins/wp-useronline/widget.php

http://site/wp-content/plugins/wp-useronline/wp-stats.php

http://site/wp-content/plugins/wp-useronline/wp-useronline.php

http://site/wp-content/plugins/wp-useronline/scb/Widget.php

http://site/wp-content/plugins/wp-useronline/scb/load.php

Уразливі WP-UserOnline 2.62 та попередні версії. В версії WP-UserOnline 2.70 розробник виправив XSS, але не Full path disclosure уразливості.

24.12.2012

Експлоіт на Perl:

WP-UserOnline.txt

Експлоіт для даної уразливості, що я розробив 26.04.2010.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві державні mil-сайти: www.mil.ee, portal.navfac.navy.mil, www.cs.amedd.army.mil, w20.afpc.randolph.af.mil, www.stsc.hill.af.mil.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Timing Attacks in JavaScript, RSnake розповідає про можливість виявлення стану логіна через JavaScript. Тобто через визначення часу завантаження сторінки в JS можна визначити, чи залогінена людина, чи ні. Також RSnake навів PoC де можна перевірити дану концепцію в роботі.

В своєму записі Fox News, Directory Indexing, and FTP Passwords, Jeremiah розповів про цікавий випадок, що стався з сайтом Fox News. На якому виявили чимало уразливостей - спочатку Directory Indexing та адмінку без пароля (з таким доводолися також стикатися), де був виявлений пароль до FTP, а потім ще й XSS та SQLi уразливості. І все це на великому та полулярному ресурсі (а подібним ресурсам слід краще слідкувати за безпекою).

В своєму записі Human CAPTCHA Breaking, RSnake підняв тему ручного обходу капч. Коли люди наймаються (за гроші чи інші бонуси) для обходу капч вручну. Він розповів про тіньову економіку, що сформувалася в останні роки в сфері ручного обходу капч та про існуючі розцінки на таку роботу.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://meta.ua - інфекція була виявлена 08.06.2010. Зараз сайт не входить до переліку підозрілих.
• http://budmix.com.ua - інфекція була виявлена 18.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://ukrvent.com - інфекція була виявлена 20.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 28 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://otduh.com.ua - інфекція була виявлена 10.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://lineage2.net.ua - інфекція була виявлена 13.04.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт budmix.com.ua також хостить в себе Укртелеком.

Продовжу розповідати вам про сайти для пошуку хешей паролів.

В Інтернеті існують веб сайти для пошуку sha1 хешей (як й інших хешей). Тобто вони призначені для взлому sha1 хешей, зокрема хешей паролів, щоб по хешу отримати його значення.

До раніше наведених сайтів зверну вашу увагу на наступні:

• http://rehash.dustinfineout.com (md4, md5, sha1, sha224, tiger128_3, tiger128_4, tiger160_3, tiger160_4, tiger192_3 і tiger192_4 хеші)
• https://hashcracking.info (MD5, MySQL, MySQL5 і SHA-1 хеші)
• http://passcracking.ru (MD5, SHA1 і MySQL хеші)
• http://hashcrack.com (MD5, SHA1, MySQL, NTLM і LanMan хеші)
• http://www.md5decrypter.co.uk/sha1-decrypt.aspx

В подальшому я продовжу наводити перелік подібних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://banner.ua (невідомими хакерами) - 17.06.2010 - DDoS атака на сайт
• http://game-monitor.org (хакерами з KS-HACKERS.COM)
• http://ml.host-ua.org.ua (хакером Kam_06)
• http://lviv.ukrgo.com (хакерами w01f і Ymer) - 19.06.2010, зараз сайт вже виправлений адмінами
• http://cek.org.ua (хакером N2N) - 31.05.2010, зараз сайт вже виправлений адмінами

28.04.2010

У квітні, 20.04.2010, я знайшов Full path disclosure, Redirector, Cross-Site Scripting та HTTP Response Spitting уразливості в плагіні Cimy Counter для WordPress. Дані уразливості я виявив на сайті http://vs-db.info (лише HTTP Response Spitting я перевірив в себе на localhost). Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

24.06.2010

Full path disclosure:

http://site/wp-content/plugins/cimy-counter/cimy_counter.php

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=%0A1

Redirector:

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=http://websecurity.com.ua

XSS:

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=Downloads&fn=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b

HTTP Response Spitting:

http://site/wp-content/plugins/cimy-counter/cc_redirect.php?cc=TestCounter&fn=%0AHeader:test

Працює на старих версіях PHP.

Уразливі Cimy Counter 0.9.4 та попередні версії. В версії Cimy Counter 0.9.5 автор виправив усі зазначені уразливості окрім Redirector (також відомий як URL Redirector Abuse в WASC TC v2).

Версія Cimy Counter 1.1.0 вже невразлива.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://rovenki.biz - інфекція була виявлена 07.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://vhd-soft.com - інфекція була виявлена 07.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://vtuse.com - інфекція була виявлена 07.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ehard.com.ua - інфекція була виявлена 10.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 6 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://mikaterravira.pl.ua - інфекція була виявлена 01.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Про взломаний сайт ehard.com.ua я вже писав в 2008 році.

Продовжу розповідати вам про сайти для пошуку md5 хешей.

В Інтернеті існують веб сайти для пошуку md5 хешей (як й інших хешей). Тобто вони призначені для взлому md5 хешей, щоб по хешу отримати його значення (у випадку хеша пароля, це дозволить отримати пароль).

До раніше наведених сайтів зверну вашу увагу на наступні:

• http://www.md5this.com/list.php
• http://www.rmd5.com
• http://passcracking.ru (MD5, SHA1 і MySQL хеші)
• http://hashcrack.com (MD5, SHA1, MySQL, NTLM і LanMan хеші)
• http://gdataonline.com

В подальшому я продовжу наводити перелік подібних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yunona-tom.com (хакером isarock666)
• http://www.aktiva.ua (хакером SheKkoLik) - 06.06.2010, зараз сайт вже виправлений адмінами
• http://www.budlim.com (хакером ExcalibuR)
• http://psiham.org.ua (хакером FeniX) - 04.06.2010, зараз сайт вже виправлений адмінами
• http://www.school29.poltava.ua (хакером Y0u_W3rY)