Websecurity - Веб безпека

12.05.2010

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16 та 17.

Ось нова добірка уразливих секюріті сайтів:

• zillya.com
• codecamp.org.ua
• ua-hack.com

Всім security проектам слід приділяти більше уваги безпеці власних веб сайтів.

15.06.2010

Ще одна добірка уразливих секюріті сайтів:

• vs-db.info
• www.bezpeka.com
• cripo.com.ua
• www.securityhome.eu

Секюріті проектам варто більше слідкувати за безпекою власних сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://shaadm.gov.ua - інфікований державний сайт - інфекція була виявлена 24.04.2010. Зараз сайт входить до переліку підозрілих.
• http://notforall.info - інфекція була виявлена 31.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://sushistudio.net - інфекція була виявлена 01.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://strawbale.ho.ua - інфекція була виявлена 14.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://daniluks.com - інфекція була виявлена 01.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві gov-сайти: www.pi.gov.pl, www.pmlp.gov.lv, app.nea.gov.sg, www.jnmz.gov.cn, www.atrakcyjnaszkola.pl.

Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Detecting Login State With Authenticated Redirects, RSnake розповідає про можливість виявлення стану логіна через редиректи. Тобто через редиректи аутентифікації можна визначити, чи залогінена людина, чи ні.

В своєму записі Samy is my hero (AppSec 2007), Jeremiah розповів про свою зустріч з Samy Kamkar на конференції OWASP & WASC AppSec 2007. Фотографія Jeremiah, Samy і RSnake надається. Samy є автором однойменного XSS хробака “Samy”, що вразив MySpace (це найбільш відомий XSS хробак).

В своєму записі Orkut “Crush” Worm, RSnake розповідає про XSS хробака “Crush”. Даний хробак вразив соціальну мережу Orkut, що належить Гуглу.

Як я вже розповідав в новині XSS хробак в соціальній мережі Orkut, в грудні 2007 року Orkut була вражена XSS хробаком. А вже в лютому 2008 року в соціальній мережі Orkut з’явився новий XSS хробак (якого RSnake назвав “Crush”). Що демонструє як те, як Гугл слідкує за безпекою власних сайтів, так і збільшення уваги до даної соціальної мережі.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://wow.wnet.ua (хакером Conficker) - 04.06.2010, зараз сайт вже виправлений адмінами
• http://www.ichilovtop.com.ua (хакером Mr.SPIDER) - 16.05.2010, зараз сайт вже виправлений адмінами
• http://www.virtuoz.mk.ua (хакерами з Albanian Hacking Crew)
• http://www.citroen.ua (хакерами b0zkurt і 3KB3R) - 04.06.2010, зараз сайт вже виправлений адмінами
• http://collar.ua (хакером GHoST61)

24.04.2010

У жовтні, 15.10.2009, я знайшов Information Leakage та Full path disclosure уразливості в плагіні Belavir для WordPress. Дані уразливості я виявив на сайті http://ua-hack.com. Про що найближчим часом сповіщу розробникам.

Belavir - це секюріті плагін для WP, що створює секюріті уразливості на сайтах, які його використовують . Даний плагін подібний до плагіна WordPress Exploit Scanner.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

10.06.2010

Information Leakage та Full path disclosure:

http://site/wp-content/uploads/my-md5.txt

Витік інформації про всі php-файли на сайті та їх повний шлях на сервері (тобто FPD для всіх php-файлів на сайті).

Full path disclosure:

http://site/wp-content/plugins/belavir.php

Уразливі всі версії плагіна Belavir.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://referaty.com.ua - інфекція була виявлена 26.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://terraman.net - інфекція була виявлена 30.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://link.kiev.ua - інфекція була виявлена 02.06.2010. Зараз сайт входить до переліку підозрілих.
• http://ho.com.ua - інфекція була виявлена 11.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://textile-ua.com - інфекція була виявлена 08.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

22.04.2010

У квітні, 17.04.2010, я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні Gigya Socialize для WordPress. Дані уразливості я виявив на сайті http://codecamp.org.ua. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

04.06.2010

XSS:

http://site/?%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E

XSS має місце в логін віджеті даного плагіна.

Full path disclosure:

http://site/wp-content/plugins/gigya-socialize-for-wordpress/gs-for-wordpress.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/login.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/help.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/invite-friends.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/settings.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-connected.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-control.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-connected.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-logged-in.php

Уразливі Gigya Socialize 1.1.8 та попередні версії.

Зазначу, що це популярний компонент, що використовується на багатьох сайтах. За статистикою wordpress.org, даний компонент був викачаний лише з їхнього сайта 19484 рази.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kievpositum.org.ua (хакером ULtR@Si) - 22.05.2010, зараз сайт вже виправлений адмінами
• http://www.lmg.net.ua (хакерами X-c0d3r, Fr3sH~X і SpawN)
• http://fay-ua.com (хакером ExcalibuR)
• http://netmir.org.ua (хакерами FuaDanger34 і Azko)
• http://www.servisgaz.com.ua (хакером FormatXFormaT) - похакана директорія сайта

В серії записів про сайти для пошуку md5 хешей я розповів вам про різні сайти, що дозволяють шукати md5 хеші паролів.

В новій серії записів я розповів вам про сервіси, які дозволяють шукати інші хеші паролів окрім md5 (серед найбільш популярних видів хешів). Серед них можуть зустрічатися й ті сервіси, про які я вже розповідав раніше стосовно пошуку md5 хешей. Зараз розповім вам про сервіси для пошуку sha1 хешей.

Сайти для пошуку sha1 хешей:

• http://md5.rednoize.com (md5 і sha1 хеші)
• http://www.frikinet.com/sha1/
• http://savs.sytes.net/hash/sha1/
• http://md5.bubble.ro (md5, sha1 і CRC32 хеші)
• http://www.spale.com/cgi-bin/md5 (MD5, SHA0, SHA1, SHA224 і SHA256 хеші)

В подальшому я продовжу наводити перелік подібних сайтів.