Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://wow.wnet.ua (хакером Conficker) - 04.06.2010, зараз сайт вже виправлений адмінами
• http://www.ichilovtop.com.ua (хакером Mr.SPIDER) - 16.05.2010, зараз сайт вже виправлений адмінами
• http://www.virtuoz.mk.ua (хакерами з Albanian Hacking Crew)
• http://www.citroen.ua (хакерами b0zkurt і 3KB3R) - 04.06.2010, зараз сайт вже виправлений адмінами
• http://collar.ua (хакером GHoST61)

24.04.2010

У жовтні, 15.10.2009, я знайшов Information Leakage та Full path disclosure уразливості в плагіні Belavir для WordPress. Дані уразливості я виявив на сайті http://ua-hack.com. Про що найближчим часом сповіщу розробникам.

Belavir - це секюріті плагін для WP, що створює секюріті уразливості на сайтах, які його використовують . Даний плагін подібний до плагіна WordPress Exploit Scanner.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

10.06.2010

Information Leakage та Full path disclosure:

http://site/wp-content/uploads/my-md5.txt

Витік інформації про всі php-файли на сайті та їх повний шлях на сервері (тобто FPD для всіх php-файлів на сайті).

Full path disclosure:

http://site/wp-content/plugins/belavir.php

Уразливі всі версії плагіна Belavir.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://referaty.com.ua - інфекція була виявлена 26.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://terraman.net - інфекція була виявлена 30.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 8 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://link.kiev.ua - інфекція була виявлена 02.06.2010. Зараз сайт входить до переліку підозрілих.
• http://ho.com.ua - інфекція була виявлена 11.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://textile-ua.com - інфекція була виявлена 08.06.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

22.04.2010

У квітні, 17.04.2010, я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні Gigya Socialize для WordPress. Дані уразливості я виявив на сайті http://codecamp.org.ua. Про що найближчим часом сповіщу розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

04.06.2010

XSS:

http://site/?%22%3E%3Cscript%3Ealert(/XSS/)%3C/script%3E

XSS має місце в логін віджеті даного плагіна.

Full path disclosure:

http://site/wp-content/plugins/gigya-socialize-for-wordpress/gs-for-wordpress.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/login.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/help.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/invite-friends.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/admin/settings.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-connected.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-control.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-connected.php
http://site/wp-content/plugins/gigya-socialize-for-wordpress/views/widget/widget-not-logged-in.php

Уразливі Gigya Socialize 1.1.8 та попередні версії.

Зазначу, що це популярний компонент, що використовується на багатьох сайтах. За статистикою wordpress.org, даний компонент був викачаний лише з їхнього сайта 19484 рази.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kievpositum.org.ua (хакером ULtR@Si) - 22.05.2010, зараз сайт вже виправлений адмінами
• http://www.lmg.net.ua (хакерами X-c0d3r, Fr3sH~X і SpawN)
• http://fay-ua.com (хакером ExcalibuR)
• http://netmir.org.ua (хакерами FuaDanger34 і Azko)
• http://www.servisgaz.com.ua (хакером FormatXFormaT) - похакана директорія сайта

В серії записів про сайти для пошуку md5 хешей я розповів вам про різні сайти, що дозволяють шукати md5 хеші паролів.

В новій серії записів я розповів вам про сервіси, які дозволяють шукати інші хеші паролів окрім md5 (серед найбільш популярних видів хешів). Серед них можуть зустрічатися й ті сервіси, про які я вже розповідав раніше стосовно пошуку md5 хешей. Зараз розповім вам про сервіси для пошуку sha1 хешей.

Сайти для пошуку sha1 хешей:

• http://md5.rednoize.com (md5 і sha1 хеші)
• http://www.frikinet.com/sha1/
• http://savs.sytes.net/hash/sha1/
• http://md5.bubble.ro (md5, sha1 і CRC32 хеші)
• http://www.spale.com/cgi-bin/md5 (MD5, SHA0, SHA1, SHA224 і SHA256 хеші)

В подальшому я продовжу наводити перелік подібних сайтів.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kovka-yuga.com.ua - інфекція була виявлена 24.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://open.ua - інфекція була виявлена 13.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://pravo.poltava.ua - інфекція була виявлена 09.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://securemap.org.ua - інфекція була виявлена 20.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://programy.com.ua - інфекція була виявлена 25.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт open.ua також хостить в себе Укртелеком.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.supersam.com.ua (хакером SHEISEBABOO)
• http://www.laik-zht.com.ua (хакером GHoST61)
• http://enews.net.ua (хакером KADER11000)
• http://r-rezultat.ua (хакером Mc.Lon1) - причому спочатку сайт був взломаний 29.04.2010 Mc.Lon1, а вже 13.05.2010 взломаний Yahi. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.mirabela.com.ua (хакером RedGuard)

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві gov-сайти: administracja.mswia.gov.pl, www.rstf.tas.gov.au, www.spa.ga.gov, www.nss.gov.qa, www.metropol.gov.co.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pes-world.org.ua - інфекція була виявлена 24.05.2010. Зараз сайт не входить до переліку підозрілих.
• http://businessgo.info - інфекція була виявлена 24.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://flshgamer.info - інфекція була виявлена 05.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://realset.od.ua - інфекція була виявлена 30.04.2010. Зараз сайт не входить до переліку підозрілих.
• http://investpul.biz.ua - інфекція була виявлена 11.05.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.