Websecurity - Веб безпека

Нещодавно я писав про Abuse of Functionality уразливість в WordPress. Яку виявив Jeff Starr, власник сайта perishablepress.com, коли в нього на сервері відбувся сбій MySQL. До неї уразливі всі версії движка - WordPress 2.7.1 та попередні версії.

Я знаходив чимало уразливостей в WordPress і його плагінах, але на можливість цієї уразливості я не звернув уваги (мабуть тому, що завжди видаляю інсталяційні файли після інсталяції ). Зате на це звернув увагу Jeff, коли в нього виникли проблеми на сайті. До речі, в своєму записі Important Security Fix for WordPress Jeff навів декілька рекомендацій по виправленню цієї уразливості.

Дана уразливість пов’язана з інсталяційними файлами, якщо вони знаходяться на сервері. І я розробив декілька варіантів атаки на дану Abuse of Functionality уразливість в WordPress.

Як я писав, інсталятор WP повинен перевіряти, чи не встановлений движок. І якщо він встановлений, то виводити відповідне повідомлення. Але у випадку, коли має місце збій MySQL, він цього не перевіряє і дає переінстялювати движок.

Зокрема, як зазначив Jeff, у випадку коли database (що вказана в налаштуваннях WP) повністю відсутня, то інсталятор WP думає, що движок не встановлений і виводить інсталяційний діалог. Також, під час досліджень, я виявив можливість інших варіантів атаки.

Можна атакувати сайт навіть коли є database движка і присутній зв’язок з MySQL, але при цьому є збій в одній з таблиць WP (яку перевіряє інсталятор). Зокрема, атака можлива коли пошкоджена таблиця wp_options (в WordPress 2.6.2), або wp_users (в WordPress 2.0.3 та 2.0.11). Тобто в різних версіях WP різні таблиці є головними при перевірці в інсталяторі - це може бути або таблиця wp_options або wp_users (наврядчи ще якась інша таблиця буде головною для інсталятора в інших версіях WP).

Варіанти атаки на сайт на WordPress (на якому міститься інсталятор):

1. У випадку, коли на сайті відбувся подібний збій з MySQL і виведиться діалог інсталятора, то можна атакувати сайт. Враховуючи, що це дуже малоімовірно, і потрібно ще зафіксувати час даного збою, то варто використати інший варіант атаки.

2. Зробити DoS атаку на MySQL для атаки на WordPress. За рахунок DoS атаки відбудеться збій при зв’язку з MySQL і потенційно інсталятор може вивести діалог інсталяції. Хоча в більшості випадків зв’язок з СУБД буде повністю відсутній й інсталятор виведе відповідне повідомлення.

3. За рахунок автоматизованої атаки на MySQL (через Insufficient Anti-automation уразливості в WP) можна призвести до збою в одній з головних таблиць (що також є DoS атакою). І в такому разі спрацює інсталятор движка.

Зокрема для WordPress 2.0.x та інших версій движка, де інсталятор перевіряє wp_users, цього можна добитися через автоматизовану реєстрацію користувачів. Якщо активно реєструвати користувачів на сайті, може виникнути збій в таблиці wp_users і відповідно движок не зможе її прочитати і виведе діалог інсталятора.

P.S.

Зробив відео демонстрацію DoS атаки на WordPress.

Як повідомив blogsecurity.net, нещодавно була знайдена Abuse of Functionality уразливість в WordPress. Уразливі WordPress 2.7.1 та попередні версії.

Уразливість пов’язана з інсталяційними файлами, якщо вони знаходяться на сервері (якщо ви їх не видалили, що завжди рекомендується робити після інсталяції). Дану уразливість виявив власник сайта perishablepress.com, коли в нього на сервері відбувся сбій MySQL.

При відсутності зв’язку з СУБД, WordPress повинен видавати стандарте повідомлення про помилку. Так він робив завжди в усіх версіях (зокрема в 2.x). Але як виявилось, в тому випадку, коли є збій MySQL (наприклад, коли пошкоджені таблиці движка) і при цьому інсталяційні файли WP є на сервері, то WordPress гадає, що движок ще не був встановлений і виводить інсталяційний діалог.

Істалятор WP повинен перевіряти, чи не встановлений движок. І якщо він встановлений, то виводити відповідне повідомлення. Але в даному рідкому випадку, коли має місце збій MySQL, він цього не перевіряє і дає переінстялювати движок.

Для цього лише потрібно ввести назву сайта і емайл, після чого движок буде оновлений. І відповідно створений новий акаунт адміна, що дозволить похакати сайт. З чим і стикнувся власник сайта perishablepress.com, коли ледве відбився (бо вчасно виявив проблему) від бажаючих переінсталювати движок на його сайті .

• WordPress Install Files Security Risk (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pfu-km.gov.ua (хакером DeRf) - 10.05.2009, зараз сайт вже виправлений адмінами. Це другий похаканий державний сайт в цьому році після www.vl-sta.gov.ua
• http://avtomarket.rv.ua (хакером HALLELUJAH) - 06.05.2009, зараз сайт вже виправлений адмінами
• http://www.samara-sv.info (хакерами з 1923Turk-Grup) - 06.05.2009, зараз сайт вже виправлений адмінами
• http://magicnumbers.com.ua (хакером 3RqU)
• http://www.pczone.com.ua (хакером SyMpHoNy_R) - 11.05.2009, зараз сайт закритий адміном

Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки.

В даній версії додав 10 нових запитань по сьомому розділу мого Посібника з безпеки. Тепер у тесті 50 запитань на web security тематику, які базуються на семи розділах мого посібника.

Так що вдалого вам тестування .

Як повідомив RSnake в своєму пості Preventing XSS Using Data Binding, існує цікавий метод протідії XSS - Data Binding. Даний метод розроблений Stefano Di Paola.

Використовуючи Data Binding можна протидіяти Cross-Site Scripting атакам. Метод передбачає використання тега plaintext. За рахунок даного тега, в який поміщуються вхідні дані, можна заборонити виконання JS-коду і тим самим не допустити XSS атаку.

Для використання даної технології є свої за і проти, про що детально написав RSnake. Але окрім нюансів не пов’язаних з безпекою, є ще один секюріті нюанс - в даному методі є уразливість. Яка дозволяє проводити XSS атаки , про що я вже писав (уразливість я виявив на сайті розробника даного методу). Дана уразливість працює в старих версіях Mozilla та Firefox (до Firefox 2.0), але в нових браузерах цей метод працює добре.

Новий тест для вашого браузера. Даний експлоіт виконує DoS атаку на Microsoft Internet Explorer 6 (та можливо наступні версії IE).

В результаті роботи експлоіта браузер вилітає (тобто DoS атака). Як я протестував, на моєму Internet Explorer 6 під Windows XP SP2 цей експлоіт працює.

Протестувати Internet Explorer 6

Останній тест для IE був DoS в Internet Explorer, з яким ви також можете ознайомитися.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.wyshywka.com.ua (хакерами з 1923TurK-Grup) - 19.04.2009, зараз сайт вже виправлений адмінами
• http://www.inbest.com.ua (хакером ProwL)
• http://www.websites-development.net (хакером RoLLBacK з 1923TurK-Grup)
• http://marketing.ua (хакером Cyb3rking)
• http://ksvolodar.com (хакерами з ParsiHacker Security Team)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple:Press Forum і fMoblog. Для котрих з’явилися експлоіти. Simple:Press Forum - це плагін форуму, fMoblog - це moblog плагін, що дозволяє публікувати зображення та описи з мобільного телефону. А також надаю детальну інформацію про Cookie Integrity Protection Vulnerability в Wordpress 2.5, про яку я писав раніше.

• WordPress SQL Injection (wp-content-simple-forum) (деталі)
• Wordpress Plugin fMoblog 2.1 (id) SQL Injection Vulnerability (деталі)
• Wordpress 2.5 Cookie Integrity Protection Vulnerability (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжу розповідати вам про сайти для пошуку md5 хешей.

В Інтернеті існують веб сайти для пошуку md5 хешей. Тобто вони призначені для взлому md5 хешей, щоб по хешу отримати його значення (у випадку хеша пароля, це дозволить отримати пароль).

До раніше наведених сайтів зверну вашу увагу на наступні:

• http://www.spale.com/cgi-bin/md5 - сайт використовує reverse hash lookup підхід (MD5, SHA0, SHA1, SHA224, SHA256, SHA384 і SHA512 хеші)
• http://rehash.dustinfineout.com - даний сайт також використовує reverse hash lookup підхід (md4, md5, sha1, sha224, tiger128_3, tiger128_4, tiger160_3, tiger160_4, tiger192_3 і tiger192_4)
• http://www.blandyuk.co.uk/md5-decrypter.asp - даний сайт використовує ту саму базу, що і www.md5decrypter.co.uk, але зате немає капчі
• http://crackfor.me
• https://hashcracking.info (MD5, MySQL, MySQL5 і SHA-1 хеші)

В подальшому я продовжу наводити перелік подібних сайтів.

Розмістив на сайті інформацію про мій ексклюзивний SEO метод, створений мною в квітні 2009 року.

How to get free backward links - Як отримати безкоштовні зворотні лінки, або сам собі брокер.

Інформація доступна на українській та російській мові.

Даний метод призначений для безкоштовного отримання зворотних лінків з сайтів. Даний метод можна використовувати для розміщення html сторінок з лінками або статтями (які складаються з тексту з лінками). Використовуючи метод ви самі собі стаєте брокером і тому зможете зменшити витрати на послуги веб брокерів (для розміщення лінок та/або статей на сайтах).

P.S.

До речі, нещодавно я оприлюднив цікаву уразливість в пошукових системах, яку також можна застосовувати для SEO цілей (щоб додати нові ключові слова в URL, при цьому не перевантажуючи реальну адресу веб сайта). І яку я надаю вам можливість цілком безкоштовно використовувати .