Websecurity - Веб безпека

Мені періодично доводиться зіштовхуватися з інфікованими сайтами в Уанеті. Раніше я вже писав про інфіковані сайти hip.org.ua та wmast.com.ua.

Сьогодні я знайшов ще один заражений сайт. Сьогодні, під час пошуку в Гуглі, я виявив, що сайт www.doski.zp.ua інфікований. Бо Google повідомив стосовно нього, що “Ця сторінка може заподіяти шкоду вашому комп’ютерові”.

Після того, як я сам перевірив даний сайт, я впевнився, що він інфікований. На даному сайті розміщений шкідливий iframe. Який веде на шкідливу сторінку, що розміщена на китайському сайті. До речі, власник сайта вірогідно прибрав цей код з деяких сторінок сайта, але не зі всіх - шкідливий код все ще розміщений, як мінімум, на сторінці http://www.doski.zp.ua/index.php?des=add.

Адміну www.doski.zp.ua варто витерти шкідливий код з сайта і почати серйозно слідкувати за безпекою власного сайта.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.snz.com.ua (хакерами M.W.N.N., DImionX і Bboy)
• http://info.kp.km.ua (хакерами GOYHACKERS і DANGER14) - 08.03.2009, зараз сайт вже виправлений адмінами
• http://wi-net.com.ua (хакерами з CYBERDOS TEAM) - 12.03.2009, зараз сайт закритий адмінами
• http://www.ayur-veda.com.ua (хакером Y.D.I.) - 03.2009 - похаканий форум сайта і зараз форум не працює
• http://rynok.com.ua (хакером XUGURX)

В цьому місяці, 28 та 29 березня, в Україні в Києві відбудеться конференція CodeCamp 2009.

CodeCamp - це дводенна всеукраїнська конференція на тему сучасних технологій розробки програмного забезпечення та інформаційної безпеки. Про даний захід ви можете детальніше дізнатися на офіційному сайті - CodeCamp09.

Я планую прийняти участь в конференції та виступити з доповіддю (навіть з двома доповідями). Тому всі бажаючі зможуть зустрітися зі мною на конференції.

Після оприлюднення результатів розвитку веб безпеки в 2008 році, надам свої прогнози на новий рік. Але спочатку зроблю огляд тих прогнозів, що я давав на 2008 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році ще більш поширилися (вони були найпоширенішими уразливостями веб додатків).
2. Фішинг став ще більш поширеним явищем, і окрім збільшення фішерським емайл листів також з’явилися нові техніки фішерських атак, в тому числі редиректори через Flash.
3. Insufficient Anti-automation уразливості стали більш поширеними (зокрема атаки на капчі).
4. Кількість веб вірусів та хробаків за минулий рік збільшилася, хоча й не дуже стрімко.
5. Значно зросла кількість заражених вірусами веб сторінок, в тому числі й в Уанеті.
6. Збільшилися атаки на соціальні мережі (в тому числі й веб хробаки здебільшого поширювалися саме соціальними мережами).
7. Значно зросла хакерська активність (зокрема в Уанеті зростання на 788%).

Як видно всі мої попередні прогнози переважно збулися .

Про прогнози різних секюріті компаній та експертів я чимало писав останнім часом, і тепер оприлюдню власні прогнози на цей рік.

Прогноз розвитку галузі веб безпеки в 2009 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Активніше будуть поширюватися CSRF уразливості.
3. Фішинг стане ще більш розповсюдженим.
4. Insufficient Anti-automation уразливості та атаки на captcha стануть більш поширеними.
5. Продовжить зростати кількість заражених вірусами веб сторінок.
6. Збільшаться атаки на соціальні мережі, в тому числі за рахунок веб вірусів.
7. Продовжиться подальше зростання хакерської активності.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://kupislona.net (хакером Laqnes)
• http://alf.ho.ua (хакером ResisTance) - 03.02.2009, зараз сайт не працює
• http://cifrovichek.com (хакером ReSeT) - 26.02.2009, зараз сайт не працює (закритий хостером)
• http://manometr.net.ua (хакерами DaNG3R і HacK KinG) - 08.01.2009, зараз сайт вже виправлений адмінами
• http://www.club-lider.org.ua (хакерами DaNG3R і 4FF3TM3Z)

Сьогодні була оприлюднена Cross-Site Scripting уразливість в WordPress MU. Уразливі WordPress MU 2.6.x та попередні версії (до версії 2.7).

Атака відбувається через HTTP заголовок HOST. Уразливість в profile.php де не фільтрується значення HTTP_HOST.

• Wordpress MU < 2.7 'HOST' HTTP Header XSS Vulnerability (деталі)

Продовжуючи тему секюріті прогнозів на 2009 рік, після інформації про тенденції безпеки в 2009 році та 5 найбільших загроз в 2009, розповім про цікаву добірку прогнозів безпеки на цей рік.

На www.eweek.com, про уразливості на якому я писав, Larry Seltzer оприлюднив наступні прогнози на поточний рік (від секюріті компаній) - Security in 2009.

• Розвиток MAAS (malware as a service) послуг.
• Розвиток UTM (unified threat management) пристроїв, в зв’язку з економією коштів.
• Викрадення репутації (reputation hijacking).
• Збільшення цільових атак.
• Продовжиться збільшення атак на CAPTCHA.
• Збільшаться атаки на критичні інфраструктури.
• Продовжиться розповсюдження кібер війн.
• Зменшення репутації сайтів через розміщення на них шкідливих кодів (зокрема через SQL ін’єкції і XSS).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Forum, Forumaction та Recipe. Для котрих з’явилися експлоіти. WP-Forum і Forumaction - це плагіни форуму, Recipe - це плагін для публікації рецептів.

• Wordpress plugin WP-Forum 1.7.8 Remote SQL Injection Vulnerability (деталі)
• WordPress forumaction (PAGE_id)(user) SQL Injection (деталі)
• Wordpress Plugin (wp-content/recipe) SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://tsvetok.org.ua (хакером n2n)
• http://www.salminskiy.com.ua (хакером PimiNet)
• http://www.kpr.org.ua (хакером Elkatrez ElmoDamer)
• http://scotland.org.ua (хакерами з Ab1i) - причому спочатку сайт 24.02.2009 був похаканий групою Ab1i, а 26.02.2009 похаканий cRu3l.b0y і Big-SMoke. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://triyoga.kiev.ua (хакером Kockaf52) - 21.02.2009, зараз сайт не працює

Нещодавно, 28.02.2009, вийшла нова версія програми SQL Shell v.1.0.1. В новій версії:

• Виправлене встановлення налаштувань сайта в консолі.
• Додана перевірка на початковий слеш в значенні вразливого скрипта.
• Додана перевірка на “http://” в значенні хоста.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.1.rar.