Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://areals.org.ua - інфекція була виявлена 24.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://smartsoft.in.ua - інфекція була виявлена 26.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://forvard.ucoz.ua - інфекція була виявлена 23.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://vavrynyuk.com.ua - інфекція була виявлена 30.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://4life.com.ua - інфекція була виявлена 16.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ja-rammstein.com (хакером Azko) - 08.01.2010, зараз сайт вже виправлений адмінами
• http://www.ounb.km.ua (хакером FormatXFormaT) - 16.01.2010, зараз сайт виправлений адмінами, але не повністю - все ще є одна папка сайта з дефейсом
• http://kia.com.ua (хакером 3KB3R) - причому спочатку сайт був взломаний 10.01.2010 3KB3R, а вже 12.01.2010 взломаний Y4S!N. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://subaru.kiev.ua (хакером 3KB3R) - 10.01.2010, зараз сайт вже виправлений адмінами
• http://www.liana.net.ua (хакером kLoq) - 13.01.2010, зараз сайт вже виправлений адмінами

У жовтні, 27.10.2008, я знайшов Cross-Site Scripting уразливості в плагіні Subscribe To Comments для WordPress. Про що найближчим часом сповіщу розробникам.

Раніше я вже писав про уразливості в Subscribe To Comments для WordPress. Що цікаве, дані уразливості я знайшов раніше тих, про які згадав у попоредньому записі, але при публікації я пропустив їх, тому тільки зараз про них написав.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://med.odessa.ua - інфекція була виявлена 11.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://alt-cafe.com.ua - інфекція була виявлена 20.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 4 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://miracle.dn.ua - інфекція була виявлена 19.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://osh.org.ua - інфекція була виявлена 05.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 1 раз протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://violis.com.ua - інфекція була виявлена 11.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Сьогодні вийшла нова версія програми SQL Shell v.1.0.2. В новій версії:

• Додана підтримка відповідей з помилкою 404.
• Оптимізований код програми.
• Покращений опис програми.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.2.rar.

Раніше я вже неодноразово писав про уразливості на www.privatbank.ua - проблеми з безпекою достатньо поширені на сайтах ПриватБанку. І зараз я розповів про черговий випадок.

В записі Приватбанк - защита персональных данных автор розповідає про те, як ПриватБанк дбає про захист персональних даних своїх клієнтів. На сайті банку можна легко знайти персональні дані клієнтів ПриватБанка.

Спочатку потрібно знайти логіни працівників банку (через Skype), що стало можливим через допущений витік інформації (як окремими працівниками, так і банком у цілому). Далі на сайті банку на сторінці історії потрібно ввести знайдені логіни і отримати перелік клієнтів даних працівників банку з персональними даними цих клієнтів.

Зазначу, що згаданий у записі сайт Привата, де можна було переглянути історію, вже не працює. Але легко можна знайти на офіціному сайті іншу форму для перегляду історії (я знайшов її на http://www.privatbank.ua). Де можна ввести знайдені логіни для отримання інформації про клієнтів банку.

Дана інформація може бути використання зловмисниками, зокрема фішерами, для проведення атак на клієнтів банку. Тому ПриватБанку не слід допускати подібних витоків інформації.

Зазначу, що стосовно уразливостей на сайтах банків останній раз я писав про уразливості на www.agrocombank.kiev.ua.

В своєму листі до розсилки Best security improvements of 2009? Andy Steingruebl підняв цікаву тему. Які відбулися покращення безпеки в 2009 році?

Він навів наступні покращення, що з’явилися в минулому році:

• IE8 removed CSS expressions support.
• Rails now does output escaping by default.
• The new STS header.
• Firefox checks for updates to plugins.
• Mozilla Content Security Policy (CSP).
• Microsoft IE8 X-Frame-Options anti-framing header.

Дані покращення - це звичайно добре. Але стосовно покращень в IE8 в мене є ряд зауважень.

Те, що в IE8 нарешті прибрали підтримку expression(), це дозволить захистити користувачів браузера від XSS атак через expression(), а також від DoS атак (що були можливі в IE7 та попередніх версіях). Але стосовно даного захисту від XSS атак, то я тут бачу не тільки позитивні, але й негативні наслідки (тому що XSS дірки на сайтах потрібно виправляти на сайтах, а не в браузерах). І я розробив власну методику XSS атак, що дозволяє проводити XSS атаки в різних браузерах (в тому числі IE8), що може бути використана замість старих атак з expression(), про що я напишу окрему статтю.

А от заголовок X-Frame-Options в IE8 лише частково вирішує проблему. І методика атак через CSS, що я описав в статті MouseOverJacking атаки, дозволяє обходити даний захист в IE8 та може застосовуватися для проведення Clickjacking та MouseOverJacking атак в різних браузерах.

Зі своєї сторони додам наступні (еволюційні) покращення безпеки за 2009 рік:

• Випуск нових версій Mozilla Firefox, Internet Explorer, Opera, Chrome та інших браузерів з виправленням уразливостей. За рік безпека браузерів покращилася, але все ще є багато дірок, що потрібно виправляти, і весь час з’являються нові.
• Випуск нових версій Perl (в тому числі mod_perl) з виправленням уразливостей.
• Випуск нових версій PHP 5.x з виправленням уразливостей (окрім випуску версій PHP від 5.2.8 до 5.2.12, також вийшли PHP 5.3 та PHP 5.3.1).
• Випуск нових версій Python, Ruby та інших інтерпретаторів з виправленням уразливостей.
• Випуск нових версій Apache, IIS та інших веб серверів з виправленням уразливостей.

Не кажучи про виправлення дірок, які робили на протязі року власники сайтів та веб девелопери (це відбується постійно). А також виправлення у різних плагінах до браузерів (Flash та інших) та в десктоп версіях даних додатків. У списку лише найбільш глобальні покращення безпеки.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://24.ua - інфекція була виявлена 13.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 11 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://ved.kiev.ua - інфекція була виявлена 28.12.2009. Зараз сайт не входить до переліку підозрілих.
• http://samex.com.ua - інфекція була виявлена 11.12.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 2 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://slipdanbux.org.ua - інфекція була виявлена 04.01.2010. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 3 рази протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.
• http://onlinevideo.org.ua - інфекція була виявлена 18.11.2009. Частина цього сайта була внесена до переліку сайтів із підозрілою активністю 5 разів протягом останніх 90 днів. Зараз сайт не входить до переліку підозрілих.

Нещодавно Джеремія опублікував 10 найкращих веб хаків 2009 року - Top Ten Web Hacking Techniques of 2009 (Official). В записі він також навів перелік усіх веб хаків за минулий рік, які він почав збирати у грудні, з яких були вибрані 10 найкращих хакерських технік.

Десятка найкращих веб хаків:

1. Creating a rogue CA certificate
2. HTTP Parameter Pollution (HPP)
3. Flickr’s API Signature Forgery Vulnerability (MD5 extension attack)
4. Cross-domain search timing
5. Slowloris HTTP DoS
6. Microsoft IIS 0-Day Vulnerability Parsing Files (semicolon bug)
7. Exploiting unexploitable XSS
8. Our Favorite XSS Filters and how to Attack them
9. RFC1918 Caching Security Issues
10. DNS Rebinding (3-part series Persistent Cookies, Scraping & Spamming, and Session Fixation)

Дуже цікавий список веб хаків (як TOP 10, так і весь перелік веб хаків). Як і список найкращих веб хаків 2008 року. Мої поздоровлення авторам хакерських технік, що були вибрані до TOP 10, та всім секюріті дослідникам, що створили нові хакерські техніки в 2009 році.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vnty.vn.ua (хакером Zeus)
• http://kenly2009.at.ua (хакером jankiy3_es3r_genclik)
• http://mebel-rodzin.com.ua (хакером Black^Monster) - 24.12.2009, зараз сайт вже виправлений адмінами
• http://www.salonimperia.com.ua (хакером SALDIRAY)
• http://www.mebel-glamour.com.ua (хакером SALDIRAY)