Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.transammiak.com.ua (хакерами з Kosova Defacers Group) - причому спочатку сайт був взломаний 19.07.2009 Kosova Defacers Group (KDG), потім aHz-CreW, Ha-Crew, KNS-CREW, а потім знову KDG (на сайті явно ведуться хакерські війни), зараз сайт вже виправлений адмінами. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://media.ruleless.net (хакерами з Azerbaijan Attacker Team)
• http://goodmusic.com.ua (хакером DeMuRe)
• http://www.pediatria.com.ua (хакером aLb-k1LL3r) - 20.07.2009, зараз сайт вже виправлений адмінами
• http://bannerok.com.ua (хакером ALFONSO) - похакана директорія сайта

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://prado-studio.com (хакером hekar zrar) - причому спочатку сайт 25.07.2009 був похаканий hekar zrar, а зараз сайт похаканий devil.kurd. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://4seasons.dn.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта
• http://www.goldenpro.com.ua (хакером ALFONSO) - 27.07.2009, зараз сайт вже виправлений адмінами
• http://www.promkomplect.com.ua (хакером Hero Aze)
• http://antikvar.com.ua (хакерами з AYYILDIZ TEAM)

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.10. В новій версії:

• Додана можливість в операторі insert додавати рядок в пустий рядок.
• Додане повідомлення в дебаг-режимі при обмеженні розміру строкових даних.
• Додане обмеження розміру строкових даних в функції pos, delete та copy.
• Покращена робота з функціями в операторі if та циклах.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

В цьому місяці були оприлюднені численні уразливості в WordPress. Уразливі WordPress 2.8 та попередні версії, WordPress MU 2.7.1 та попередні версії, а також версія, що використовується на wordpress.com.

Були виявлені Local file include, Privileges unchecked, Cross-Site Scripting та Information disclosure уразливості.

Зокрема Local file include атака можлива через вектор, про який я писав ще в 2007 році в проекті День багів в WordPress (і який був неякісно виправлений розробниками WP). А також автори даного advisory згадали про Abuse of Functionality уразливість в WordPress, про яку я писав ще в квітні 2008 року.

• WordPress Privileges Unchecked in admin.php and Multiple Information Disclosures (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.yun-press.kiev.ua (хакером Cyber_945)
• http://tbs-pvp.org.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта
• http://blog.djmagazin.com.ua (хакерами з ISLAMIC GHOSTS TEAM)
• http://debts.com.ua (хакером CodexT-Piiz HacKer) - 28.06.2009, зараз сайт вже виправлений адмінами
• http://www.freefat.com.ua (хакерами з Azerbaijan Attacker Team) - 16.07.2009, зараз сайт вже виправлений адмінами

Після того як я розмістив на сайті свій MustLive Remote Shell, який є достатньо малим шелом (і якщо прибрати коментарі та додаткові echo, що я додав для красивого вигляду програми, то її код буде в один рядок), poma в коментярях привів ще більш короткий шел на PHP. Умовами роботи якого є включені short_open_tag та register_globals.

PHP Shell:

<?=@`$c`;

Цей шел займає всього 9 байт. І це самий маленький PHP-шел серед мені відомих. Якщо вам відомий ще менший шел, то не соромтеся навести його в коментарях .

Такі маленькі шели як MustLive Remote Shell та Poma’s Shell можуть знадобитися при дослідженні Code Execution уразливостей на сайтах. Особливо у тому випадку, якщо є обмеження на розмір коду, коли можна на сайт завантажити лише файли невеликого розміру, або у випадку Code Execution уразливостей, що дозволяють виконувати PHP-код через параметри скрипта (і при цьому є обмеження на розмір даних, що передаються в даному параметрі). Бо коли немає таких обмежень, то можна використати повнофунціональний шел (з більшими можливостями, але й більшим розміром файла).

Три роки тому, 18.07.2006, мій проект розпочав свою роботу. Так що сьогодні виповнилося три роки з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За третій рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були проведені проекти День багів в Google Chrome, День багів в браузерах та День багів в браузерах 2: перезавантаження. А також випущена нова версія MustLive Security Pack та інші секюріті програми, такі як SQL Shell та MustLive Remote Shell, та презентовані інші цікаві й корисні продукти та сервіси.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://azovmar.com (хакером Cyb3rking) - 15.05.2009, зараз сайт вже виправлений адмінами
• http://www.columbia-rus.com (хакером Dietime)
• http://www.inter.criminology.org.ua (хакером 007_el_turco)
• http://www.umm.ua (хакерами з Azerbaijan Attacker Team) - 09.07.2009, зараз сайт вже виправлений адмінами
• http://arbooz.com.ua (хакерами з dns team) - похакана директорія сайта

Те, що у MySpace є проблеми з безпекою, відомо вже давно. Ще з часів веб хробака Samy. А в 2007 році навіть відбувся цілий проект Місяць багів в MySpace (в якому я також оприлюднив декілька своїх уразливостей), що продемонстрував невисокий рівень безпеки даної соціальної мережі.

Ще в серпні 2007 року, в своєму записі Protected Music Disclosure on MySpace, RSnake оприлюднив цікаву інформацію від Dave Shanley, про витік інформації на MySpace. Через дану уразливість можна було дістатися до захищеної музики на сервері Майспейса.

А торік, в своєму записі Another MySpace XSS Through an API, RSnake написав про XSS уразливості на MySpace, що були знайдені Rosario Valotta. Причому на відміну від раніше оприлюднених XSS дірок на Майспейсі, цього разу уразливості були в його Mobile API.

Так що власникам соціальної мережі MySpace, як і власникам інших соціальних мереж, варто набагато більше слідкувати за безпекою своїх проектів.

Як нещодавно повідомив мені DixonD, на минулому тіжні був взломаний сайт scriptlance.com (на якому він мав акаунт). Даний сайт - це одна з найбільших фріланс-бірж в Інтернеті. За інформацію DixonD, даний сайт було взломано вірогідно китайськими хакерами і в Інтернет було викладено 192000 логінів-паролів участників сайту (для демонстрації справжності взлому). І ясна річ, він знайшов серед них і власний логін й пароль.

Дану проблему адміністрація сайту вирішила шляхом генерації нових паролів і розсилання їх на пошту користувачам, під виглядом планової зміни паролів (що є достатньо типовим явищем в Інтернеті). При цьому ніяких офіційних заяв не пролунало, лише деякий час сайт не працював, виводивши повідомлення про технічні роботи на сайті. Подібні замовчування фактів взлому також є достатньо типовим явищем (як в недавньому випадку з T-Mobile).

Подібні взломи крупних веб проектів періодично трапляються (ясна річ із-за недостатнього рівня безпеки даних проектів). Нещодавно я вже писав про те, що сервери оператора T-Mobile були взломані. І всі подібні випадки наносять шкоду в першу чергу не самому власнику сайта, а його користувачам і клієнтам, особиста інформація яких була скомпрометована.

І особливо це проявляється у тому випадку, коли на акаунтах користувачів сайта були кошти. А саме таке мало місце у випадку біржі scriptlance.com. Невідомо, що сталося з усіма коштами власників акаунтів на даному сайті, цілком можливо, що зловмисники їх використали в особистих цілях (які можуть не збігатися з цілями власників акаунтів). Але враховуючи кількість користувачів scriptlance.com (192000 користувачів), якаунти яких були скомпрометовані, то загальна сума коштів може бути достатньо великою.