Websecurity - Веб безпека

Раніше я писав про можливість закриття сайтів через їх уразливості. Це можливо в зв’язку з наявністю на сайті порнографії, секретних матеріалів, або терористичних матеріалів. І як я вже казав, закриття сайта може статися через його взлом та розміщення на ньому вищезазначених метеріалів.

Ще однією причиною закриття сайта може стати безпосередньо його взлом. Тобто, якщо у перших трьох випадках (порнографія, секретні та терористичні матеріали) ваш сайт закриють силові органи через порушення вами кримінального кодексу, то в цьому випадку сайт буде закритий через дії кіберзлочинців.

Тобто вже сам взлом може призвести до закриття сайта (це може бути дефейс і/або розміщення вірусів). Закриття може бути тимчасове - коли провайдер закрив сайт, доки його власник не почистить свій сайт, або повне - коли власник сайта закрив свій проект (бо не міг впоратися з проблемою дірявості власного сайта). В своїх дослідженнях безпеки Уанету (за 2006-2009 роки) я наводив безліч таких випадків. Як останній випадок з www.virtlibrary.dp.ua, так і минулорічні випадки з dn.kiev.ua та wmast.com.ua.

Так що варто слідкувати за безпекою власних сайтів, щоб з ними не трапилося подібного.

Нещодавно була оприлюднена Abuse of Functionality уразливість в WordPress. Уразливі WordPress 2.8.3 та попередні версії. Зазначу, що я перевірив дану уразливість в WordPress 2.0.11 та 2.6.2 і вона не спрацювала, тому вірогідно вразливі лише останні версії WP.

Використовуючи дану уразливість можна змінити пароль адміна (тобто провести Reset Admin Password атаку).

• Wordpress <= 2.8.3 Remote Admin Reset Password Vulnerability (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.virtlibrary.dp.ua (хакерами Google і Leon) - 10.08.2009, зараз сайт не працює
• http://borusyk2music.org.ua (хакерами з Azerbaijan Attacker Team)
• http://faizv2.wen.su (хакером bunglon_putih)
• http://bmw.odessa.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта
• http://becks.com.ua (хакером cHyK0)

У зв’язку з технічними проблемами у хостинг провайдера, мій сайт тимчасово не працював. І хоча я намагався вирішити цю проблему, по можливості швидко, з моїм попереднім хостером, зробити цього не вдалося (вирішення даної проблеми затягнулося, хоча, на мій погляд, це питання можна було вирішити ще 12 серпня, максимум 13 серпня).

Тому я переїхав до іншого хостинг провайдера. Так що мій веб проект продовжує роботу в звичному режимі .

Наприкінці липня була оприлюднена Cross-Site Scripting уразливість в WordPress. Уразливі WordPress 2.8.1 та попередні версії.

Використовуючи дану уразливість в WP можна проводити обмежені XSS атаки, зокрема для редирекції адміна на довільний сайт.

• Wordpress 2.8.1 (url) Remote Cross Site Scripting Exploit (деталі)

У лютому, 10.02.2009, вийшла нова версія WordPress 2.7.1 (тільки зараз знайшов час, щоб про це написати). Даний випуск відбувся через два місяці після виходу WP 2.7.

WordPress 2.7.1 це багфікс випуск 2.7 серії. В ній виправлено 68 багів.

Вчора, 07.08.2009, коли я оприлюднив уразливості в Dumb math captcha для WordPress, я виявив нову Insufficient Anti-automation уразливість Dumb math captcha плагіні для WordPress.

Insufficient Anti-automation:

При передачі параметра action зі значенням commentopenid, значення відповіді капчі не перевіряється, що дозволяє обійти капчу (на сторінках записів). Це автор плагіна зробив чорний хід (backdoor) в капчі, який може бути використаний для її обходу. Така собі spamer friendly капча .

Dumb math captcha CAPTCHA bypass.html

Уразлива версія Dumb math captcha 1.0.

Сьогодні я вияснив, що капча плагін для WordPress, в якому я виявив дірки, що використовуться на сайті www.developers.org.ua, зветься Dumb math captcha. Тобто це не окремий php-скрипт від власників www.developers.org.ua (бо адміни сайта так мені й не відповіли), а саме плагін для WP, який використовувався на декількох сайтах. І враховуючи, що вихідний код цього плагіна доступний в Мережі, його також можуть використати інші люди.

Тому Insufficient Anti-automation та Full path disclosure уразливості, що я знайшов у січні, 22.01.2008, мають місце у Dumb math captcha плагіні для WordPress.

Insufficient Anti-automation:

Капча на сторінках записів вразлива до Constant values bypass method, що я описав в проекті Місяць багів в Капчах.

Для атаки потрібно посилати одне і те саме значення параметра dumb_captcha (dumb_captcha = 9).

Full path disclosure:

http://site/wp-content/plugins/dumb_captcha.php

Уразлива версія Dumb math captcha 1.0.

Окрім уразливостей в коді самого WordPress, часто уразливості мають місце в плагінах для WP. Тому розробники плагінів для даного движка повинні також слідкувати за безпекою.

Як я вже зазначав стосовно плагінів для WordPress - уразливостей в них вистачає, тому власникам сайтів на WP варто також слідкувати за плагінами, які вони використовують, і по можливості перевіряти їх безпеку. Сам я знаходив чимало уразливостей в різноманітних плагінах для WP, а також регулярно публікую інформацію про уразливості в плагінах для WordPress знайдених іншими секюріті дослідниками (таких добірок я опублікував вже 19).

Серед знайдених мною уразливостей в плагінах:

• Уразливості в Subscribe To Comments WordPress plugin (4 дірки)
• Cross-Site Scripting в WP-PHPList (1 дірка)
• Уразливості в WP-ContactForm (5 дірок)
• MoBiC-03: Peter’s Custom Anti-Spam Image CAPTCHA bypass (1 дірка)
• MoBiC-12: Peter’s Random Anti-Spam Image CAPTCHA bypass (1 дірка)
• MoBiC-12 Bonus: Peter’s Random Anti-Spam Image XSS (1 дірка)
• MoBiC-16: Cryptographp CAPTCHA bypass (1 дірка)
• MoBiC-23: Math Comment Spam Protection CAPTCHA bypass (1 дірка)
• MoBiC-23 Bonus: XSS in Math Comment Spam Protection (2 дірки)
• MoBiC-25: Anti Spam Image CAPTCHA bypass (1 дірка)
• MoBiC-26: Captcha! CAPTCHA bypass (2 дірки)
• MoBiC-26 Bonus: XSS in Captcha! (4 дірки)
• MoBiC-28 Bonus: XSS in Cryptographp (24 дірки)
• MoBiC-29: WP-ContactForm CAPTCHA bypass (1 дірка)
• MoBiC-29 Bonus: XSS in WP-ContactForm (9 дірок)
• Уразливості в плагіні WordPress Database Backup (4 дірки)
• XSS уразливість в Trashbin для WordPress (1 дірка)
• Уразливості в FireStats для WordPress (14 дірок)
• Численні уразливості в FireStats для WordPress (4 дірки)
• Уразливості в Contact Form ][ для WordPress (6 дірок)
• Нові уразливості в Contact Form ][ для WordPress (9 дірок)
• Уразливість в WP-ContactForm для WordPress (1 дірка)
• Уразливості в FeedBurner FeedSmith для WordPress (3 дірки)
• Уразливості в плагіні CapCC для WordPress (3 дірки)
• Нові уразливості в плагіні CapCC для WordPress (14 дірок)
• Уразливості в WP-Upload Manager для WordPress (3 дірки)
• Уразливості в Subscribe To Comments для WordPress (8 дірок)

Після публікації даного запису я ще опублікував наступні уразливості:

• Уразливості в Dumb math captcha для WordPress (2 дірки)
• Уразливість в Dumb math captcha плагіні для WordPress (1 дірка)
• Уразливості в WP-Cumulus для WordPress (2 дірки)
• Нові уразливості в Subscribe To Comments для WordPress (3 дірки)
• Уразливості в Gigya Socialize для WordPress (10 дірок)
• Уразливості в Belavir для WordPress (3 дірки)
• Уразливості в Cimy Counter для WordPress (5 дірок)
• Уразливості в WP-UserOnline для WordPress (7 дірок)
• Уразливості в WP-UserOnline для WordPress (7 дірок)
• Уразливості в плагіні WordPress Database Backup (3 дірки)
• Уразливості в плагіні WordPress Database Backup (3 дірки)
• Уразливості в Register Plus для WordPress (12 дірок)
• Уразливості в Register Plus Redux для WordPress (13 дірок)
• Уразливості в TimThumb - цей додаток використовується в багатьох темах для WordPress (6 дірок)
• Уразливість в MaxSite Anti Spam Image (1 дірка)
• Уразливості в Easy Contact для WordPress (6 дірок)
• Нові уразливості в Easy Contact для WordPress (8 дірок)
• Code Execution та FPD в Simple:Press Forum для WordPress (8 дірок)
• Численні уразливості в Register Plus для WordPress (33 дірки)
• Численні уразливості в Register Plus Redux для WordPress (32 дірки)
• CS та XSS в Simple:Press Forum для WordPress (5 дірок)
• Нові уразливості в Register Plus Redux для WordPress (8 дірок)
• XSS та IAA уразливості в Register Plus Redux для WordPress (28 дірок)
• Нові уразливості в Register Plus для WordPress (11 дірок)
• Нові XSS уразливості в Register Plus Redux для WordPress (2 дірки)
• XSS та FPD уразливості в Organizer для WordPress (10 дірок)
• XSS, CSRF та AFU уразливості в Organizer для WordPress (5 дірок)
• IA, CSRF та FPD уразливості в Organizer для WordPress (8 дірок)
• DT, XSS та FPD уразливості в Organizer для WordPress (5 дірок)
• XSS, Redirector та FPD уразливості в Akismet для WordPress (7 дірок)
• XSS, Redirector та CSRF уразливості в Akismet для WordPress (4 дірки)
• Численні уразливості в Rokbox для WordPress (13 дірок)
• Уразливості в Floating Tweets для WordPress (7 дірок)
• Уразливості в Wordfence Security для WordPress (2 дірки)
• Уразливість в WordPress Attack Scanner для WordPress (2 дірки)
• Уразливості в BuddyPress для WordPress (7 дірок)
• XSS уразливості в ZeroClipboard в численних плагінах для WordPress - таких як Flash Gallery, Slidedeck2, WPClone, PayPal Digital Goods powered by Cleeng і Cleeng Content Monetization (12 дірок)
• Уразливості в Search and Share для WordPress (4 дірки)
• Уразливості в WPtouch і WPtouch Pro для WordPress (5 дірок)
• Уразливості в численних плагінах для WordPress з jPlayer - таких як MP3-jPlayer, Haiku minimalist audio player, Background Music, Jammer і WP jPlayer (16 дірок)
• Уразливості в VideoJS - HTML5 Video Player for WordPress (2 дірки)
• Уразливості в Search ‘N Save для WordPress (6 дірок)
• Уразливості в численних плагінах для WordPress з VideoJS - таких як Video Embed & Thumbnail Generator, External “Video for Everybody”, 1player, S3 Video і EasySqueezePage (10 дірок)
• FPD та SB уразливості в Exploit Scanner для WordPress (2 дірки)
• FPD та SB уразливості в AntiVirus для WordPress (2 дірки)
• Численні уразливості в RokStories і RokNewsPager для WordPress
• Численні уразливості в RokIntroScroller і RokMicroNews для WordPress
• Code Execution в Contact Form 7 для WordPress
• Уразливості в Contact Form 7 для WordPress
• XSS та FPD уразливості в LBG Zoom In/Out Effect Slider для WordPress
• Уразливості в плагінах для WordPress, Joomla і Plone з Dewplayer
• Уразливості в VideoWhisper Live Streaming Integration для WordPress
• XSS і FPD уразливості в Js-Multi-Hotel для WordPress
• Численні уразливості в Js-Multi-Hotel для WordPress
• Уразливості в плагінах з CU3ER для WordPress, Joomla, SilverStripe і Plone
• Уразливості в численних плагінах з CU3ER для WordPress
• XSS і FPD уразливості в DZS Video Gallery для WordPress
• CS і XSS уразливості в DZS Video Gallery для WordPress

В даних 85 описах уразливостей наводяться численні Cross-Site Scripting, Insufficient Anti-automation, Cross-Site Request Forgery, Directory Traversal, Arbitrary File Deletion, Denial of Service, Full path disclosure, Insufficient Authorization, Information Leakage, Abuse of Functionality, HTTP Response Splitting, SQL Injection, CRLF Injection, Redirector, Code Execution, Content Spoofing, Arbitrary File Upload та Security bypass уразливості в 73 плагінах для WordPress.

У грудні, 11.12.2008, я знайшов Cross-Site Request Forgery, Cross-Site Scripting та CRLF Injection уразливості в плагіні Subscribe To Comments для WordPress. Про що найближчим часом сповіщу розробникам.

Раніше я вже писав про уразливості в Subscribe To Comments WordPress plugin.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам плагіна.