Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://baza.in.ua (хакером Palyo34 з 1923Turk-Grup) - 31.10.2009, зараз сайт вже виправлений адмінами
• http://www.labprice.ua (хакерами з ParsiHacker Security Team) - 04.11.2009, зараз сайт вже виправлений адмінами
• http://tlumach.at.ua (хакером TH3_H4TTAB)
• http://www.portfo.com.ua (хакером ALFONSO) - 04.10.2009 - була похакана директорія сайта, зараз сайт вже виправлений адмінами
• http://dtc.dn.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта

У березні, 15.03.2009, я знайшов Full path disclosure та Cross-Site Scripting уразливості в плагіні WP-Cumulus для WordPress. Про що найближчим часом повідомлю розробникам.

Дірки я виявив на http://glaive.org.ua - сайті Glaive Security Group. І як я виявив нещодавно, хлопці явно зрозуміли, що не потрібно “страждати дірявістю” з дірявим WordPress та дірявими плагінами до нього, і прибрали WP зі свого сайта .

Full path disclosure:

http://site/wp-content/plugins/wp-cumulus/wp-cumulus.php

XSS:

http://site/wp-content/plugins/wp-cumulus/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='javascript:alert(document.cookie)'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Код виконається при кліку. Це Strictly social XSS.

Також можна провести HTML Injection атаку, в тому числі на ті флешки, де заборонені (у флешках чи через WAF) javascript та vbscript URI в параметрі tagcloud.

HTML Injection:

http://site/wp-content/plugins/wp-cumulus/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href='http://websecurity.com.ua'+style='font-size:+40pt'%3EClick%20me%3C/a%3E%3C/tags%3E

Уразливі WP-Cumulus 1.22 та попередні версії. В версії 1.23 розробником була виправлена XSS, але не HTML Injection.

В записі Як отримати безкоштовні зворотні лінки я зробив анонс свого SEO методу.

Для автоматизації деяких робіт по використанню SEO методу для своїх клієнтів (користувачів методу) я розробив декілька додатків.

15.06.2009 я розробив першу версію WebpageUploader. Поточна версія програми WebpageUploader 1.06. Вона призначена для завантаження html сторінок на веб сайти.

А сьогодні я розробив нову програму - WebpageChecker. Вона призначена для перевірки наявності html сторінок на веб сайтах. Але також може бути використана для перевірки наявності будь-яких файлів на сайтах.

Програми можуть працювати в парі. Результати роботи WebpageUploader можуть бути використані в WebpageChecker - для подальшої перевірки наявності html сторінок на даних сайтах. Обидві програми стануть в нагоді всім користувачам мого SEO методу.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://soapmaker.biz.ua (хакером CybeR_945) - 31.10.2009, зараз сайт вже виправлений адмінами
• http://hivideo.com.ua (хакерами Nicky Mc, DarKHacker і Netw0rk-k1LL3r)
• http://www.foilcom.net (хакером PROF-ANAS) - 29.10.2009, зараз сайт вже виправлений адмінами
• http://www.artem-mx.com.ua (хакером Kiriku)
• http://chic.kiev.ua (хакером mustafa40229) - 30.10.2009, зараз сайт вже виправлений адмінами

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.crown.org.ua (хакером Kam_06) - 22.10.2009, зараз сайт вже виправлений адмінами
• http://www.grytsenko.com.ua (хакерами з Front Zmin H4ck t34m) - 24.10.2009 було взломано ще один політичний сайт (Анатолія Гриценка), зараз сайт вже виправлений адмінами
• http://vagdom.com.ua (хакерами з Peace STAR Team)
• http://www.goodprices.info (хакером Bejamz)
• http://smoking.co.ua (хакером JuSTaR) - 24.10.2009, зараз сайт закритий хостером

Зробив на сайті декілька оновлень.

В Посібнику з безпеки, в другому розділі “Паролі” додав новий пункт з інформацією про зберігання паролів.

Також сьогодні оновив тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з даної теми.

В даній версії додав 5 нових запитань по новому матеріалу з другого розділа Посібника з безпеки. Тепер у тесті 55 запитань на web security тематику, які базуються на семи розділах мого посібника.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.wordpress.com.ua (хакерами з GHOST OF IRAQ)
• http://csep.org.ua (хакерами Nicky Mc і DarKHacker) - 24.08.2009, зараз сайт вже виправлений адмінами
• http://shop.briefcases.com.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта
• http://avanguard.halogen.kharkov.ua (хакерами з Ashiyane Digital Security Team)
• http://www.kievrealtor.org.ua (хакером ReHiZnER) - похакана директорія сайта

25.09.2009

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12 та 13.

Ось нова добірка уразливих секюріті сайтів:

• www.darkreading.com
• openid.net, pro-hack.ru, bezpeka.com
• openid.net

Всім security проектам слід приділяти більше уваги безпеці власних сайтів.

20.10.2009

Ще одна добірка уразливих сайтів на тему інформаційної безпеки:

• cbse.com.ua
• www.ictexpo.info
• www.nist.org
• www.infobezpeka.com

Секюріті проектам слід приділяти більше уваги безпеці власних сайтів.

Фішинг-атаки на користувачів сайтів українських банків (як й інші фішерські атаки в Україні) відбуваються регулярно. На дану тему в 2008 році я розробив презентацію Фішинг-атаки через Інтернет, де навів приклади фішерських атак.

Наприклад, в 2006 році Ощадбанк попереджав клієнтів про спроби шахрайства з кредитками через ємайл. А в 2007 році служба інформаційної безпеки Райффайзен Банку Аваль виявила спробу фішинга.

В 2008 році Portmone.com попереджав про фішинг. А на початку 2009 року вже СБУ попередило про атаки інтернет-шахраїв.

Нещодавно я дізнався від адміністрації сайта www.agrocombank.kiev.ua про те, що 14.10.2009 відбулася фішинг атака (по електронній пошті) на клієнтів Агрокомбанку. Тому клієнтам українських банків потрібно бути обережними в Інтернеті.

Наприкінці грудня 2008 року були оприлюднені Unauthorized upgrade та Cross-Site Scripting уразливості в WordPress. Уразливі всі версії WordPress 2.x, тому що дані уразливості не були виправлені.

У випадку, якщо WP на сайті не останньої версії, то використовуючи першу уразливість в WP, можна проводити неавторизований апгрейд движка, а використовуючи другу уразливість можна проводити XSS атаки (по кліку на лінку). Як я перевірив (в різних версіях WP), у випадку другої уразливості зовсім немає XSS, там можлива лише редирекція на довільний сайт (по кліку на лінку).

• Wordpress is vulnerable to an unauthorized upgrade and XSS (деталі)