Пропоную вашій увазі відео ролик про похакані сайти. В даному відео продемонстровані 100 сайтів взломаних хакером за 1,3 дня. Лінку на відео мені прислав QeeQ, який і провів ці показові взломи сайтів. Про діяльність цього хакера я вже писав раніше.
Серед взломаних сайтів були також і українські ресурси: http://souspilnist.org, http://mountrest.org.ua і http://s-pchelove.com (про який я вже писав).
Нещодавно, 11.12.2008, вийшла нова версія WordPress 2.7.
WordPress 2.7 це перший випуск нової 2.7 серії. В ній, як і раніше в 2.5, був значно змінений інтерфейс порівняно з попередніми версіями WP. Оновлений інтерфейс - це одна з головних особливостей нової версія движка, він дозволяє значно прискорити роботу з сайтом.
Окрім зміни інтерфейсу, також були виправлені деякі баги з версій 2.6.x. А також додана можливість автоматичного оновлення як плагінів, так і самого движка. Оновлення відбуваються в один клік (в адмінці), без необхідності використовувати ftp доступ до сайту.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Розповім вам про новий вид атак на веб браузери - MouseOverJacking, розроблений мною у вересні. Дані атаки можуть застосовуватися для використання різних уразливостей в браузерах чи веб сайтах, там де потрібне наведення курсором миші на об’єкт. І відповідно за допомогою техніки MouseOverJacking можна перехопити курсор і провести атаку.
Деякий час тому була оприлюднена техніка атак під назвою ClickJacking, про яку я ще розповім окремо. MouseOverJacking - це більш гарна техніка ніж ClickJacking. Якщо в ClickJacking жерта повинна зробити клік, то в MouseOverJacking жоден клік не потрібен, тільки переміщення мишею 
. Лише переміщення на один піксел в будь-яку сторону - і це запустить атаку. На початку вересня я приводив приклад MouseOverJacking стосовно DoS уразливості в Google Chrome.
Це повідомлення є анонсом MouseOverJacking. З часом я оприлюдню детальну інформацію про дану техніку атак.
09.12.2008
У лютому, 05.02.2008, я знайшов Insufficient Anti-automation уразливість, а сьогодні ще й Cross-Site Request Forgery і SQL Injection в CapCC. Це капча плагін для WordPress. Про що найближчим часом сповіщу розробників плагіна.
Детальна інформація про уразливості з’явиться пізніше.
13.12.2008
Insufficient Anti-automation:
Дана капча вразлива до напіватоматизованого методу.
CapCC CAPTCHA bypass.html - для кожного запиту потрібна нова пара зображення-код капчі.
Cross-Site Request Forgery:
Сторінка опцій плагіна (http://site/wp-admin/plugins.php? page=capcc-config) вразлива для CSRF атак. Що може використовуватися для проведення атак для використання як SQL Injection та Full path disclosure і Cross-Site Scripting уразливостей, так і для створення можливості проведення автоматизованих Insufficient Anti-automation атак.
CSRF + Insufficient Anti-automation:
Враховуючи, що капча вразлива до SQL Injection, яка використовується через CSRF атаку, то це дозволяє створити автоматизований метод обходу капчі. Це відбувається через комбіновану CSRF + Insufficient Anti-automation атаку, що дозволяє використовувати одну пару зображення-код капчі весь час (в опціях капчі задається час життя кожного зображення, по замовчуванню він дорівнює 24 години, але це також може бути змінено через CSRF).
CapCC CSRF.html - спочатку зробити CSRF атаку.
CapCC CAPTCHA bypass.html - потім використовувати одну пару зображення-код капчі для всіх коментарів.
SQL Injection:
Дана SQL Injection уразливість - це приклад Persistent SQL Injection.
DoS атака через SQL ін’єкцію. Атака відбувається при звертанні до самого скрипта чи до сторінки з капчою. Тобто при відвідуванні сайту, він (через капчу) буде сам себе перенавантажувати.
Визначення паролю за допомогою SQL ін’єкції. Це Blind SQL Injection. Якщо скрипт (http://site/wp-content/plugins/capcc/ capcc.php?r) виводить “Expired.”, то false, якщо “Error”, то true. Для визначення паролю необхідно буде зробити численні CSRF запити (атакуючи адміна), тому це надовго затягнеться. І тому виконати першу SQL Injection атаку (за один запит), для проведення DoS атаки, буде набагато простіше.
Уразлива версія CapCC 1.0.
Нещодавно я писав про уразливості в плагіні CapCC для WordPress. Після попередніх, 10.12.2008 я знайшов нові уразливості в плагіні CapCC для WordPress - це Full path disclosure та Cross-Site Scripting. Про що найближчим часом повідомлю розробникам плагіна.
Full path disclosure:
CapCC Full path disclosure.html
Повний шлях виведеться при запиті до скрипта капчі (http://site/wp-content/plugins/capcc/capcc.php?r).
XSS (reflected та persistent):
Для атаки на адміна на сторінці опцій плагіна (http://site/wp-admin/plugins.php?page=capcc-config).
XSS (persistent):
Для атаки на всіх користувачів сайта на сторінках постів та для атаки на адміна на сторінці опцій (reflected та persistent).
XSS (persistent):
Для атаки на всіх користувачів сайта на сторінках постів.
Уразлива версія CapCC 1.0.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Як я вже сьогодні писав, МВС вилучило сервери Infostore. Це відбулося в минулий четвер, і ця подія є прикладом діяльності Міністерства Внутрішніх Справ стосовно протидії незаконної (як на їхню думку) діяльності українських сайтів.
Однією з причин, що приводилася Олексієм Масєм, як можливою причиною вилучення серверів проекту, є порнографія на серверах Інфостору. Тобто МВС бореться з порнографією. Але робить це доволі незграбно. Якщо стосовно необхідності боротьби правоохоронців з негативними явищами в українському суспільстві немає жодних заперечень (це потрібно робити, головне щоб ця робота була ефективною), то питання виникають стосовно реалізації цих прагнень МВС. Бо очевидці цих подій повідомляють про брутальне, аморальне і хамське поводження співробіників МВС.
Виходячи з мого власного досвіду подібної ситуації - з обшуком і вилученням комп’ютерів співробітниками СБУ (в грудні 2002 року) - можу сказати, що з подібним поводженням оперативників не стикався. В моєму випадку СБУшніки вели себе достатньо пристойно. Не було ні викручувань рук, ні лайки і хамства, що мало місце у випадку Інфостора. А також не було помилкових “заходів” 
- коли МВСники зайшли не туди, думаючи, що потрапили в офіс Infostore, але поверхом помилилися і лише зря до людей пристали (СБУшніки ж одразу зайшли “за адресою”). Тобто різниться рівень фаховості виконання подібних задач. Зате і ті й ті добре справилися з винесенням комп’ютерної техніки 
.
З вищезазнаного виходить, що СБУ краще справляється з подібними операціями, ніж МВС. І якщо в основному кіберзлочинами займається СБУ, то в даному випадку мало місце поширення порнографії, а цим напрямком опікується МВС. Але враховучи низьку якість проведення ними подібних операцій (явно невеликий досвій їх проведення), то я б радив високопосадовцям держави передати це питання до відома СБУ. Для покращення проведення таких операцій і для збереження нервів людей, особливо тих, хто є зовсім непричетним (щоб не було таких помилкових “заходів”).
P.S.
Олексій повідомив, що конкретних притезній до infostore.org висунуто не було. Як знаю зі свого досвіду, обов’язково повинна бути конкретна притензія (в зв’язку з чим надане право на обшук), навіть якщо вона абсурдна. Тому їм потрібно дізнатися у МВС офіційні притензії до проекту.
Стосовно можливих причин, то в якості чорного гумору наведу таку. В зв’язку з тим, що Олексій наполегливо роками ігнорував мої повідомлення про дірки на інших його проектах (banner.kiev.ua та uaportal.com), то МВС вирішили йому про це нагадати . Як злісному невиправлятелю дірок на своїх веб проектах. Тому всім тим, хто постійно ігнорує мої попередження про дірки на їхніх сайтах, варто про це замислитися . На той випадок, якщо МВС почне шукати наступного кандидата, до якого зайти в гості.
Як повідомив Олексій Мась в своєму блозі, на минулому тижні, 04.12.2008, працівники МВС вилучили сервери Infostore. Тоді в четвер я звернув увагу, що на протязі доби не працював infostore.org, що було дивно, так як раніше він завжди працював (і перенавантаження серверів були лише короткотривалі). Я очікував, що виникла якась невелика проблема і ситуація швидко вирішиться. Але вже в п’ятницю, коли замість Інфостора по даному домену почав виводитися блог Олексія, вияснилося, що ситуація набагато серйозніша.
Проект infostore.org перестав працювати, в зв’язку з обшуком і вилученням серверів, що провело МВС (при цьому, як зазначає Олексій, деякі працівники міліції вели себе доволі некоректно). Дана ситуація нагадує мені подібний обшук з вилученням комп’ютерної техніки, що 6 років тому провели в мене дома працівники СБУ . Тобто подібні речі - обшуки з вилученням комп’ютерів - це поширене явище в нашій країні.
Виражаю свої співчуття Олексію Масю, проекту Infostore і всім його користувачам в зв’язку з даною подією. Сподіваюся сервери їм швидко повернуть. І я висловлюю солідарність з ними, що Інфостор не винний в тому, в чому його намагаються звинуватити. Що дії правоохоронців були необгрунтованими, сервери треба повернути і відновити роботу проекту, і в подальшому МВС не повинно проводити необгрунтованих вилучень серверів Інтернет проектів.
До речі, Олексій виклав цікавий відеоролик на тему того, як МВС бореться з Інфостором:
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
* 
You are currently browsing the archives for the Новини сайту category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.