Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.yun-press.kiev.ua (хакером Cyber_945)
• http://tbs-pvp.org.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта
• http://blog.djmagazin.com.ua (хакерами з ISLAMIC GHOSTS TEAM)
• http://debts.com.ua (хакером CodexT-Piiz HacKer) - 28.06.2009, зараз сайт вже виправлений адмінами
• http://www.freefat.com.ua (хакерами з Azerbaijan Attacker Team) - 16.07.2009, зараз сайт вже виправлений адмінами

Після того як я розмістив на сайті свій MustLive Remote Shell, який є достатньо малим шелом (і якщо прибрати коментарі та додаткові echo, що я додав для красивого вигляду програми, то її код буде в один рядок), poma в коментярях привів ще більш короткий шел на PHP. Умовами роботи якого є включені short_open_tag та register_globals.

PHP Shell:

<?=@`$c`;

Цей шел займає всього 9 байт. І це самий маленький PHP-шел серед мені відомих. Якщо вам відомий ще менший шел, то не соромтеся навести його в коментарях .

Такі маленькі шели як MustLive Remote Shell та Poma’s Shell можуть знадобитися при дослідженні Code Execution уразливостей на сайтах. Особливо у тому випадку, якщо є обмеження на розмір коду, коли можна на сайт завантажити лише файли невеликого розміру, або у випадку Code Execution уразливостей, що дозволяють виконувати PHP-код через параметри скрипта (і при цьому є обмеження на розмір даних, що передаються в даному параметрі). Бо коли немає таких обмежень, то можна використати повнофунціональний шел (з більшими можливостями, але й більшим розміром файла).

Три роки тому, 18.07.2006, мій проект розпочав свою роботу. Так що сьогодні виповнилося три роки з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За третій рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були проведені проекти День багів в Google Chrome, День багів в браузерах та День багів в браузерах 2: перезавантаження. А також випущена нова версія MustLive Security Pack та інші секюріті програми, такі як SQL Shell та MustLive Remote Shell, та презентовані інші цікаві й корисні продукти та сервіси.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://azovmar.com (хакером Cyb3rking) - 15.05.2009, зараз сайт вже виправлений адмінами
• http://www.columbia-rus.com (хакером Dietime)
• http://www.inter.criminology.org.ua (хакером 007_el_turco)
• http://www.umm.ua (хакерами з Azerbaijan Attacker Team) - 09.07.2009, зараз сайт вже виправлений адмінами
• http://arbooz.com.ua (хакерами з dns team) - похакана директорія сайта

Те, що у MySpace є проблеми з безпекою, відомо вже давно. Ще з часів веб хробака Samy. А в 2007 році навіть відбувся цілий проект Місяць багів в MySpace (в якому я також оприлюднив декілька своїх уразливостей), що продемонстрував невисокий рівень безпеки даної соціальної мережі.

Ще в серпні 2007 року, в своєму записі Protected Music Disclosure on MySpace, RSnake оприлюднив цікаву інформацію від Dave Shanley, про витік інформації на MySpace. Через дану уразливість можна було дістатися до захищеної музики на сервері Майспейса.

А торік, в своєму записі Another MySpace XSS Through an API, RSnake написав про XSS уразливості на MySpace, що були знайдені Rosario Valotta. Причому на відміну від раніше оприлюднених XSS дірок на Майспейсі, цього разу уразливості були в його Mobile API.

Так що власникам соціальної мережі MySpace, як і власникам інших соціальних мереж, варто набагато більше слідкувати за безпекою своїх проектів.

Як нещодавно повідомив мені DixonD, на минулому тіжні був взломаний сайт scriptlance.com (на якому він мав акаунт). Даний сайт - це одна з найбільших фріланс-бірж в Інтернеті. За інформацію DixonD, даний сайт було взломано вірогідно китайськими хакерами і в Інтернет було викладено 192000 логінів-паролів участників сайту (для демонстрації справжності взлому). І ясна річ, він знайшов серед них і власний логін й пароль.

Дану проблему адміністрація сайту вирішила шляхом генерації нових паролів і розсилання їх на пошту користувачам, під виглядом планової зміни паролів (що є достатньо типовим явищем в Інтернеті). При цьому ніяких офіційних заяв не пролунало, лише деякий час сайт не працював, виводивши повідомлення про технічні роботи на сайті. Подібні замовчування фактів взлому також є достатньо типовим явищем (як в недавньому випадку з T-Mobile).

Подібні взломи крупних веб проектів періодично трапляються (ясна річ із-за недостатнього рівня безпеки даних проектів). Нещодавно я вже писав про те, що сервери оператора T-Mobile були взломані. І всі подібні випадки наносять шкоду в першу чергу не самому власнику сайта, а його користувачам і клієнтам, особиста інформація яких була скомпрометована.

І особливо це проявляється у тому випадку, коли на акаунтах користувачів сайта були кошти. А саме таке мало місце у випадку біржі scriptlance.com. Невідомо, що сталося з усіма коштами власників акаунтів на даному сайті, цілком можливо, що зловмисники їх використали в особистих цілях (які можуть не збігатися з цілями власників акаунтів). Але враховуючи кількість користувачів scriptlance.com (192000 користувачів), якаунти яких були скомпрометовані, то загальна сума коштів може бути достатньо великою.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.globo.com.ua (хакером M0µ34d)
• http://rock-band.at.ua (хакером banderbas)
• http://goodmusic.com.ua (хакерами DeMuRe та Dr.ViRuS)
• http://www.tk.kiev.ua (хакером uLTRaTurK) - 06.06.2009, зараз сайт вже виправлений адмінами
• http://webuse.com.ua (хакером TheWayEnd) - похакана директорія сайта

В своєму записі Firefox Header Redirection JavaScript Execution, RSnake ще в березні 2007 розповів про знайдену ним можливість виконання JavaScript коду через редирекцію через серверні заголовки. Він використав редирекцію з часовою затримкою (в декілька секунд), для виконання JS через редирекцію через заголовок refresh.

Дана атака спрацювала в нього лише в Firefox (в мене дана атака також спрацювала в Mozilla). А в коментарях до запису, читачі сайту зазначили, що в Safari дана атака також працює.

Нещодавно я писав про Cross-Site Scripting уразливості в Mozilla, Internet Explorer, Opera та Chrome, що я знайшов 28.06.2009. В даному випадку також використовується заголовок refresh.

Але на відміну від Роберта aka RSnake, в моєму дослідженні йдеться не лише про уразливість в Firefox (і в браузерах на движку Мозіла), а взагалі в усіх браузерах (зокрема тих, що є в мене). І серед усіх браузерів дана уразливість була виправлена лише в Firefox 3.0.9.

Іншою визначальною особливістю мого метода є те, що це редирекція без затримки (тобто з нульовою затримкою). Яка і дозволяє даній атаці через заголовок refresh працювати в усіх браузерах (з числа мною перевірених). Тому даний метод є цікавим вектором XSS атак.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.lingva.odessa.ua (хакером P@RS) - 17.06.2009, зараз сайт вже виправлений адмінами
• http://solos.bestcrimea.com (хакерами з Hackerz Morocco)
• http://www.morozova.com.ua (хакером Arfaoui Firas) - 23.06.2009, зараз сайт вже виправлений адмінами
• http://mttz.donetsk.ukrtelecom.ua (хакером GHoST61) - похакана директорія сайта ЦТЕ МТТЗ Донецької фiлiї ВАТ “Укртелеком”
• http://chinatractor.com.ua (хакером P@RS) - 16.06.2009, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах DM Albums і Related Sites. Для котрих з’явилися експлоіти. DM Albums - це плагін для створення фото альбомів та галерей, Related Sites - це плагін для показу лінок на сайти інших користувачів даного плагіна.

• WordPress Plugin DM Albums 1.9.2 Remote File Inclusion Vuln (деталі)
• WordPress Plugin DM Albums 1.9.2 Remote File Disclosure Vulnerability (деталі)
• WordPress Plugin Related Sites 2.1 Blind SQL Injection Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

P.S.

Експлоіт до плагіна Related Sites неробочий, тому що заявлена SQL Injection уразливість відсутня. Тому власники даного плагіна можуть не переживати з приводу цього експлоіта.