Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://kupislona.net (хакером Laqnes)
• http://alf.ho.ua (хакером ResisTance) - 03.02.2009, зараз сайт не працює
• http://cifrovichek.com (хакером ReSeT) - 26.02.2009, зараз сайт не працює (закритий хостером)
• http://manometr.net.ua (хакерами DaNG3R і HacK KinG) - 08.01.2009, зараз сайт вже виправлений адмінами
• http://www.club-lider.org.ua (хакерами DaNG3R і 4FF3TM3Z)

Сьогодні була оприлюднена Cross-Site Scripting уразливість в WordPress MU. Уразливі WordPress MU 2.6.x та попередні версії (до версії 2.7).

Атака відбувається через HTTP заголовок HOST. Уразливість в profile.php де не фільтрується значення HTTP_HOST.

• Wordpress MU < 2.7 'HOST' HTTP Header XSS Vulnerability (деталі)

Продовжуючи тему секюріті прогнозів на 2009 рік, після інформації про тенденції безпеки в 2009 році та 5 найбільших загроз в 2009, розповім про цікаву добірку прогнозів безпеки на цей рік.

На www.eweek.com, про уразливості на якому я писав, Larry Seltzer оприлюднив наступні прогнози на поточний рік (від секюріті компаній) - Security in 2009.

• Розвиток MAAS (malware as a service) послуг.
• Розвиток UTM (unified threat management) пристроїв, в зв’язку з економією коштів.
• Викрадення репутації (reputation hijacking).
• Збільшення цільових атак.
• Продовжиться збільшення атак на CAPTCHA.
• Збільшаться атаки на критичні інфраструктури.
• Продовжиться розповсюдження кібер війн.
• Зменшення репутації сайтів через розміщення на них шкідливих кодів (зокрема через SQL ін’єкції і XSS).

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Forum, Forumaction та Recipe. Для котрих з’явилися експлоіти. WP-Forum і Forumaction - це плагіни форуму, Recipe - це плагін для публікації рецептів.

• Wordpress plugin WP-Forum 1.7.8 Remote SQL Injection Vulnerability (деталі)
• WordPress forumaction (PAGE_id)(user) SQL Injection (деталі)
• Wordpress Plugin (wp-content/recipe) SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://tsvetok.org.ua (хакером n2n)
• http://www.salminskiy.com.ua (хакером PimiNet)
• http://www.kpr.org.ua (хакером Elkatrez ElmoDamer)
• http://scotland.org.ua (хакерами з Ab1i) - причому спочатку сайт 24.02.2009 був похаканий групою Ab1i, а 26.02.2009 похаканий cRu3l.b0y і Big-SMoke. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://triyoga.kiev.ua (хакером Kockaf52) - 21.02.2009, зараз сайт не працює

Нещодавно, 28.02.2009, вийшла нова версія програми SQL Shell v.1.0.1. В новій версії:

• Виправлене встановлення налаштувань сайта в консолі.
• Додана перевірка на початковий слеш в значенні вразливого скрипта.
• Додана перевірка на “http://” в значенні хоста.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.1.rar.

На додачу до SQL Injection ASCII Encoder презентую вам мій новий інструмент для SQL ін’єкцій.

Нещодавно, 20.02.2009, вийшла перша версія програми SQL Shell v.1.0. SQL Shell є консольним інтерфейсом для проведення SQL Injection атак. І може стати в нагоді всім хто досліджує SQL ін’єкції.

Скачати: SQL_Shell_v.1.0.rar.

У квітні, 11.04.2008, я знайшов нові Cross-Site Scripting уразливості на проекті http://quintura.ru (пошукова система). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на quintura.ru.

XSS:

• alert(document.cookie) (вже виправили)
• alert(document.cookie)
• цікавий
• html включення

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://vybory.segodnya.ua (хакером ExDeaTH ARCHaNGeL) - 23.02.2009, зараз сайт виправлений адмінами
• http://www.piramit.com.ua (хакером Assassin) - 16.02.2009, зараз сайт виправлений адмінами
• http://www.sc-collection.com.ua (хакером Assassin) - 16.02.2009, зараз сайт виправлений адмінами
• http://www.pickup.lviv.ua (хакером idoLaTRous)
• http://forum.ilovegame.org (хакерами SahillerinDostu і Ali_Eren) - 26.01.2009, зараз форум виправлений адмінами

Учора Джеремія опублікував 10 найкращих веб хаків 2008 року - Top Ten Web Hacking Techniques of 2008 (Official). В записі він також навів перелік усіх веб хаків за минулий рік.

Десятка найкращих веб хаків:

1. GIFAR
2. Breaking Google Gears’ Cross-Origin Communication Model
3. Safari Carpet Bomb
4. Clickjacking / Videojacking
5. A Different Opera
6. Abusing HTML 5 Structured Client-side Storage
7. Cross-domain leaks of site logins via Authenticated CSS
8. Tunneling TCP over HTTP over SQL Injection
9. ActiveX Repurposing
10. Flash Parameter Injection

Доволі цікавий список веб хаків. Як і список найкращих веб хаків 2007 року. Мої поздоровлення авторам хакерських технік, що були вибрані до TOP 10, та всім секюріті дослідникам, що створили нові хакерські техніки в 2008 році.