Сьогодні в мене день народження - мені виповнилося 25 років. З чим вас і себе поздоровляю 
.
Традиційно першим мене поздоровив мій Palm. Але на відміну від минулого разу, сьогодні люди більш активні з поздоровленнями.
В зв’язку зі святом, я розмістив на сайті свій SQL Injection ASCII Encoder, який може стати в нагоді при проведенні SQL ін’єкцій.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
П’ятірка похаканих сайтів в Уанеті:
Мені періодично доводиться зіштовхуватися з інфікованими сайтами в Інтернеті, в тому числі й в Уанеті. Взломи сайтів з метою розміщення на них шкідливих кодів стають все більш поширеними з кожним роком. Зазначу, що в своїй статті про стан зараженості Уанета, я приводив дані про стан зараженості Уанета в попередні роки та зпрогнозував стан на 2008 рік.
Раніше я писав про інфікований сайт dn.kiev.ua. Даний сайт був інфіковавний тривалий час - після виявлення мною шкідливого коду на сайті й повідомлення адмінам, довгий час вони не прибирали шкідливий код (проігнорувавши моє попередження і продовжуючи заражати шкідливим кодом відвідувачів сайта). Лише нещодавно вони врешті решт видалили шкідливий код з сайта.
Зараз розповім про ще один заражений сайт. Нещодавно, 17.08.2008, використовуючи Гугл, я виявив, що сайт hip.org.ua інфікований. Раніше мені доводилося чути про цей сайт, і під час пошуку в Гуглі він мені траплявся, але раніше він не був інфікований. Зараз же Google заявив, що “Ця сторінка може заподіяти шкоду вашому комп’ютерові”. Звісно Гугл може й помилятися з такими ярликами, але частіше все ж таки вони вірно відмічають інфіковані сайти.
Після того, як я сам перевірив “Персональний блог Hip” http://hip.org.ua, я впевнився, що він інфікований. На даному сайті розміщений шкідливий іфрейм, що містить велику кількість експлоітів (в зашифрованому вигляді). До речі, іфрейм веде на сторінку з експлоітами, що розміщена на сайті, що має китайський хостинг (причому Пекінський). Схоже, що блог Hip’а взломали з приводу Олімпіади .
Адміну hip.org.ua варто витерти шкідливий код зі свого сайта і почати серйозно слідкувати за безпекою власного сайта. Це варто робити всім блогерам, як і власникам будь-яких сайтів.
Три дні тому, 15.08.2008, вийшла нова версія WordPress 2.6.1 - оновлення для гілки WP 2.6.x.
WordPress 2.6.1 це багфікс випуск для 2.6 серії. В даній версії були виправлені баги, що були знайдені в WP 2.6. Зокрема покращена підтримка іноземних мов, виправлений баг в gettext, виправлені проблеми з пермалінками на IIS та проблеми зі вставкою зображень в IE, а також збільшена швидкодія адмінки (виправлений баг, що мав місце при великій кількості плагінів).
Всього в версії 2.6.1 виправлено 60 багів.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
П’ятірка похаканих сайтів в Уанеті:
Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки. Тест базується на моїй системі тестування FlashTestSystem.
В даній версії додав 10 нових запитань, цього разу по шостому розділу мого Посібника з безпеки. Тепер у тесті 40 запитань на web security тематику, які базуються на шести розділах мого посібника.
Вдалого вам тестування 
.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
П’ятірка похаканих сайтів в Уанеті:
Нещодавно, 03.08.2008, я знайшов Abuse of Functionality уразливість в плагіні WP-ContactForm для WordPress. Про що найближчим часом повідомлю розробникам плагіна. Раніше я вже писав про уразливості в даному плагіні.
Abuse of Functionality:
На сторінці контактів є функція “Copy yourself on the form submission”. Вона вмикається в налаштуваннях (Copy Option) і призводить до того, що через сайт можна розсилати спам (як адміну, так і на довільні емайли).
А з використанням Insufficient Anti-automation уразливості, про яку я писав в записі MoBiC-29: WP-ContactForm CAPTCHA bypass, можна автоматизовано розсилати спам з сайта в великих обсягах.
WP-ContactForm Abuse of Functionality.html
Уразлива версія WP-ContactForm 2.0.7 та попередні версії (а також наступні версії, до 3.1.8 включно).
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
П’ятірка похаканих сайтів в Уанеті:
Учора я писав про уразливості в Contact Form ][. А сьогодні я знайшов нові уразливості в плагіні Contact Form ][ для WordPress - це Cross-Site Request Forgery та Cross-Site Scripting. Дірки я перевірив на останній версії плагіна. Про що найближчим часом повідомлю розробникам плагіна.
CSRF:
Сторінка опцій плагіна (http://site/wp-admin/admin.php?
page=wp-contact-form/options-contactform.php) вразлива до CSRF. Що дозволяє проводити XSS атаки, або за допомогою CSRF атаки ввімкнути опцію Carbon-Copy ability (якщо вона вимкнута), для подальшого використання Abuse of Functionality уразливості плагіна.
XSS (reflected та persistent):
Тільки для атаки на адміна (на сторінці опцій):
XSS (persistent):
Для атаки на всіх користувачів сайта на сторінці контактів та для атаки на адміна на сторінці опцій (reflected та persistent):
XSS (persistent):
Для атаки на всіх користувачів сайта на сторінці контактів:
Contact Form 2 CSRF6.html
Contact Form 2 XSS6.html
Contact Form 2 CSRF7.html
Contact Form 2 XSS7.html
Contact Form 2 CSRF8.html
Contact Form 2 XSS8.html
Плагін Contact Form ][ зроблений на основі плагіна WP-ContactForm і тому дані XSS аналогічні уразливостям в WP-ContactForm, про які я писав раніше.
Уразлива версія Contact Form ][ v2.0.13 та попередні версії.
* 
You are currently browsing the archives for the Новини сайту category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.