Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://orthvoldiocese.lutsk.ua - інфекція була виявлена 24.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://yur-gazeta.com - інфекція була виявлена 12.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 12 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://strbypass.uz.ua - інфекція була виявлена 05.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://treage.com.ua - інфекція була виявлена 22.03.2010. Зараз сайт не входить до переліку підозрілих.
• http://orthodoxy.org.ua - інфекція була виявлена 24.04.2010. Зараз сайт не входить до переліку підозрілих.

Як і у випадку з іншими веб сайтами, інфікований сайт yur-gazeta.com також хостить в себе Укртелеком.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 15 сайтів. З них 10 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових уразливих сайтів.

Це діряві gov-сайти: cityofcalapan.gov.ph, www.iea.cyf.gov.pl, www.metinsabancishcek.gov.tr, www.tuzlaram.gov.tr, www.cayirovamuftulugu.gov.tr.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 15 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 10 нових уразливих сайтів.

Це діряві gov-сайти: www.vargemgrandepta.sp.gov.br, www.iga.gov.ba, www.crc.gov.gh, noticias.chubut.gov.ar, www.tribunalconstitucional.gov.bo, www.uesp.gov.co, escuelaslibres.mcye.misiones.gov.ar, www.guayaquil.gov.ec, www.hospitalgranada.gov.co, planning.maryland.gov.

Враховуючи, що в цьому році я вже не маю часу робити окремі записі про цікаві записи на секюріті блогах, як я це робив раніше, то я вирішив зробити добірку цікавих сеюріті записів. Подібіно до добірок цікавих новин на тему безпеки (що я почав роботи в цьому році) та добірок статей на тему web security.

Зазначу, що в попередні роки я декілька разів робив подібні добірки, і зараз повертаюся до даної практики. Тому пропоную вашій увазі добірку цікавих записів на тему веб безпеки.

В своєму записі Effects of DNS Rebinding On IE’s Trust Zones, RSnake розповідає про те, як DNS Rebinding може вплинути на зони контенту в IE.

В своєму записі Man in the Middle, RSnake розповідає про MITM атаки.

В своєму записі How to tell when you are SE0wN3d?, Jeremiah розповідає при виявлення факту SEO-взлому на сайті. Я вже розповідав про подібний випадок на www.peremoga.gov.ua, який я виявив нещодавно.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.peremoga.gov.ua (Black SEO) - 27.11.2009 - похаканий державний сайт, про що я вже розповідав детально, зараз я вже виправив сайт
• http://www.220v.net.ua (хакерами з Albanian Cyber Warriors) - 24.04.2010, зараз сайт вже виправлений адмінами
• http://kvs.gov.ua (хакером Nitrojen26 з Ashiyane Digital Secyrity Team) - похаканий державний сайт - взломаний розділ сайта, причому окрім Nitrojen26 сайт був взломаний і іншими хакерами
• http://av.ved.bz (хакером PURGATORY-VX) - 19.04.2010, зараз сайт вже виправлений адмінами
• http://rnl.lviv.ua (хакером GHoST61) - 23.04.2010, зараз сайт вже виправлений адмінами

Продовжуючи займатися захисним хаком (protecting hack), в рамках моєї концепції хакерських війн про яку я розповідав раніше, після минулорічного відхакання сайта laguna.net.ua (який був взломаний іноземний хакером), я захистив новий сайт. Цього разу я захистив державний сайт http://www.peremoga.gov.ua.

Після того як 01.11.2009 я виявив, що він дірявий (але тоді зловмисної активності на сайті я не побачив) і враховуючи те, що найближчим часом відбудеться 65 річниця перемоги в Великій Вітчизняній Війні, я нещодавно ще раз відвідав даний сайт. І виявив, що black SEO окупували даний сайт і почали розміщувати на сайті свої лінки та заробляли на цьому гроші.

При цьому, що цікаво, вони не напряму розміщували лінки, як це за звичай роблять black SEO (з того що я раніше бачив на взломаних сайтах), а розміщували їх через SAPE. Тобто через веб брокера (через php-скрипт) розміщували лінки на взломаному державному сайті. Цікаво як брокер допустив gov-сайт в свою систему і нічого при цьому не запідозрив. В даному випадку вони самі отримували прибуток (тому можуть вважатися спільниками), тому й не звертали жодної уваги на державний статус даного сайта.

Як я виявив, сайт www.peremoga.gov.ua був взломаний багато разів. Всього я виявив на сервері 12 файлів з шелами та іншими інструментами, якими користувалися зловмисники (різні black SEO та нехороші хакери в період з 2007 по 2010). Але я виправив дану ситуацію і прибрав дані нехороші лінки. Як і згадані шел-скрипти. Тому стан сайта зараз відновлений, але його адмінам потрібно серйозно зайнятися безпекою даного сайта.

Як я вже розповідав, я прийняв участь у проекті Vulnerable Sites Database. І до раніше відправлених їм дірявих сайтів, я вже відправив нові.

Нещодавно я відправив в БД даного проекту 10 сайтів. З них 5 старих дірявих сайтів, про які я вже писав в новинах раніше, та 5 нових сайтів, де я знайшов уразливості.

Це діряві gov-сайти: www.library.kiama.nsw.gov.au, www.doe.gov.my, www.visualarts.qld.gov.au, blog.educacao.mg.gov.br, organismos.chubut.gov.ar. І найближчим часом напишу про нові сайти.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://www.umvs-kherson.gov.ua (як і uit.umvs-kherson.gov.ua) - інфікований державний сайт - інфекція була виявлена 16.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 10 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://emarket.ua - інфекція була виявлена 30.03.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://www.dovidka.lutsk.ua - інфекція була виявлена 24.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.
• http://papovs.at.ua - інфекція була виявлена 24.04.2010. Зараз сайт не входить до переліку підозрілих.
• http://orthodox.lutsk.ua - інфекція була виявлена 24.04.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт входить до переліку підозрілих.

Зазначу, що я вже повідомляв про уразливість на http://uit.umvs-kherson.gov.ua.

В цьому місяці відкрився секюріті проект vs-db.info - Vulnerable Sites Database. Метою даного проекту є оприлюднення уразливостей на веб сайтах (Full disclosure). При цьому автори надають анонси уразливостей всім бажаючим безпосередньо в себе на сайті, а деталі доступні у вигляді Бази Даних (в різних форматах). З травня дана БД буде доступна лише зареєстрованих користувачам та участникам проекту.

Зазначу, що я прийняв участь у даному проекті й почав надсилати в їхню БД знайдені мною уразливі сайти. Я вже відправив їм 11 дірявих сайтів, про які я писав в новинах раніше, в тому числі 10 gov-сайтів.

А також 4 нових дірявих gov-сайтів: www.umvspz.gov.ua, archivesoutside.records.nsw.gov.au, enewsletter.catawbacountync.gov, www.homologacao.php.ba.gov.br. І найближчим часом напишу про нові сайти.

Вчора вийшла нова версія програми SQL Shell v.1.0.3. В новій версії:

• Додана підтримка усіх відповідей з помилками.
• Додана опція порта по замовчуванню для хоста.
• Покращена обробка пробілів в значенні вразливого скрипта.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.3.rar.