Websecurity - Веб безпека

В цьому місяці я написав статтю про секюріті дослідження в Інтернеті, зокрема про знаходження уразливостей на веб сайтах та їх оприлюднення, а також про хакінг веб сайтів, та їх відповідність законодавству. Дана стаття була опублікована в The Web Security Mailing List в двох частинах 07.06.2009 та 14.06.2009.

Сьогодні я розмістив на сайті мою статтю на англійській мові (об’єднавши дві частини в одну статтю) та її переклад на українську мову. З якою ви можете ознайомитися.

Хакінг веб сайтів, секюріті дослідження, оприлюднення та законодавство

Зміст.

1. Передмова.
2. Знаходження уразливостей.
3. Хакінг веб сайтів.
4. Оприлюднення уразливості.
5. Приклади законів данної тематики.
6. Рекомендації по легальним секюріті дослідженням.
7. Інші цікаві аспекти веб безпеки та законодавства.

Hacking of web sites, security researches, disclosure and legislation

Table of contests.

1. Foreword.
2. Finding of vulnerabilities.
3. Hacking of web sites.
4. Vulnerability disclosure.
5. Examples of laws on this subject.
6. Guidelines for legal security researches.
7. Other interesting aspects of web security and legislation.

Пропоную вашій увазі мій веб додаток MustLive Remote Shell.

MustLive Remote Shell - це компактний шел, що стане в нагоді при секюріті аудиті, зокрема при дослідженні Code Execution уразливостей на сайтах (що дозволяють виконувати довільний код, зокрема для створення шела). Особливо програма знадобиться у випадку, якщо є обмеження на розмір коду, тому що даний шел є одним з найбільш компактних.

Програма наявна в двух версіях: Perl та PHP. Що стане в нагоді в залежності від того, який шел вдасться розмістити та яка мова підтримується на сайті.

Скачати MustLive Remote Shell v.1.01 (Perl та PHP версії), що вийшов сьогодні, ви можете в розділі Секюріті програми.

09.04.2009

Продовжу тему безпеки секюріті сайтів, яку я піднімав в попередніх записах Безпека сайтів про безпеку, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11 та 12.

Ось нова добірка уразливих секюріті сайтів:

• bugtraq.ru
• www.zerodayinitiative.com
• secunia.com

Всім власникам security проектів слід приділяти більше уваги безпеці власних сайтів.

25.06.2009

Ще одна добірка уразливих секюріті сайтів:

• dvlabs.tippingpoint.com
• www.applicure.com
• www.headtechnology.com.ua

Секюріті компаніям варто більше слідкувати за безпекою власних сайтів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://marinebuilder.biz (хакерами з Capraz Ates Team)
• http://stalker-4.ucoz.ua (хакером CloSSer)
• http://www.pandpartners.com (хакером P@RS) - 17.06.2009, зараз сайт вже виправлений адмінами
• http://zelenyj.biz (хакером Arfaoui FirAs) - 20.06.2009, зараз сайт вже виправлений адмінами
• http://zelezok.net (хакерами з 1923TurK GruP)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Upload File, Photoracer і Nextgen gallery. Для котрих з’явилися експлоіти. Upload File - це плагін для завантаження файлів, Photoracer - це плагін для створення змагань фотографій, Nextgen gallery - це плагін для створення галерей зображень.

• vuln in WordPress plugin Upload File(UP) (деталі)
• WordPress Plugin Photoracer 1.0 (id) SQL Injection Vulnerability (деталі)
• XSS - Nextgen gallery 0.96 wordpress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Нещодавно я написав статтю про легальність секюріті досліджень та хакінгу, яку опублікував на Web Security Mailing List. І найближчим часом, як я перекладу її з англійської на українську, я опублікую її на сайті.

Так от, Jeremiah опублікував запис Legalize It (Hacking GOV and MIL website), судячи з якого, його явно також зацікавила тема, яку я підняв в своїй вищезгаданій статті. В своєму записи Джеремія розповідає про легалізацію хакінгу державних (.gov та .mil) сайтів.

Як він зазначає, лише на 10% державних сайтів був проведений професіональний аудит безпеки. В Україні, на мій погляд, ситуація з цим ще гірша, про що говорить хоча б той факт, що в першій половині цього року було похакано три українські державні сайти, про що я писав в своїх дослідженнях, а також писав на цю тему в статті Взломи державних сайтів України в 2009.

Так от Джеремія радить створити легальні умови (зокрема в законодавстві), які б дозволяли хорошим хлопцям легально шукати уразливості на державних веб сайтах, без жодних юридичних претензій до них. Про знайдені уразливості вони б повідомляли власників державних сайтів, які б їх виправляли і від цього країна тільки б виграла, бо піднявся рівень безпеки її державних сайтів.

На протязі останніх трьох років я займаюся подібною діяльностю, коли знаходжу уразливості на державних сайтах України і повідомляю про це їх адмінів. Про що я багато різів писав в новинах. Я то не переживаю за свою діяльність , а ось секюріті дослідники в тих же США за це переживають (і намагаються не мати справи з gov-сектором у випадку безкоштовної перевірки сайтів). Тому наявність легального механізму для пошуку уразливостей на державних сайтах і повідомлення про них адмінів даних сайтів, може зняти наявні обмеження, що призведе лише до покращення рівня безпеки державних сайтів.

До того ж, легальні секюріті дослідження, це досвід для секюріті професіоналів. Бо жодні синтетичні веб додатки не дадуть того досвіду, як реальні веб сайти та веб додатки.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.fmi.npu.edu.ua (хакером BlackLabeL) - 08.06.2009, зараз сайт вже виправлений адмінами
• http://www.1r.dn.ua (хакером XSSql) - 06.06.2009, зараз сайт вже виправлений адмінами
• http://www.maxmayar.com.ua (хакером Ozel HarekaT з 1923Turk-Grup) - причому спочатку сайт 06.06.2009 був похаканий Ozel HarekaT, а зараз сайт похаканий P@RS. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.energostal.com.ua (хакером CodexT-Piiz HacKer) - 10.05.2009, зараз сайт вже виправлений адмінами
• http://x2.net.ua (хакером AsSerT) - 04.06.2009, зараз сайт закритий (залишився лише каталог статей)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://hackua.com (невідомими хакерами) - 07.06.2009 - DDoS атака на hackua.com
• http://novovolynsk-rada.gov.ua (хакером cHyK0) - 04.06.2009 - ще один похаканий державний сайт, зараз сайт не працює
• http://www.vip-mobile.mobi (хакером TheWayEnd) - 02.06.2009, зараз сайт вже виправлений адмінами
• http://www.tsp.com.ua (хакером z()()m) - 28.05.2009, зараз сайт вже виправлений адмінами
• http://propolis.sunnet.com.ua (хакером DeMuRe) - 03.06.2009, зараз сайт не працює

Як нещодавно повідомив Dimi4 в своєму записі Active XSS на пошті ukr.net, він знайшов Cross-Site Scripting уразливість на пошті ukr.net (http://freemail.ukr.net). Причому активну XSS.

Дана уразливість може бути використана для поширення шкідливого ПЗ серед користувачів пошти ukr.net (віруси будуть розсилатися безпосередньо в листах у вигляді експлоітів до браузерів), або для проведення XSS атак з метою отримання доступу до акаунтів користувачів пошти. Також вона може бути використана для створення XSS-worm - веб-хробака, що буде розповсюджуватися між користувачами freemail.ukr.net.

Укр.нету варто слідкувати за безпекою власних сайтів, про що я раніше їм неодноразово казав.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.traveller.com.ua (хакером AsSerT) - 27.05.2009 - похаканий форум сайта, який вже виправлений адмінами
• http://www.bob.com.ua (хакером ProwL)
• http://cvalka.org.ua (хакером AsSerT)
• http://fbulldog.kiev.ua (хакерами з Ashiyane Digital Security Team)
• http://vtp.com.ua (хакерами з ParsiHacker Security Team)