Websecurity - Веб безпека

Три дні тому, 15.08.2008, вийшла нова версія WordPress 2.6.1 - оновлення для гілки WP 2.6.x.

WordPress 2.6.1 це багфікс випуск для 2.6 серії. В даній версії були виправлені баги, що були знайдені в WP 2.6. Зокрема покращена підтримка іноземних мов, виправлений баг в gettext, виправлені проблеми з пермалінками на IIS та проблеми зі вставкою зображень в IE, а також збільшена швидкодія адмінки (виправлений баг, що мав місце при великій кількості плагінів).

Всього в версії 2.6.1 виправлено 60 багів.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://helpanimals.org.ua (хакером BlooDy) - причому спочатку сайт був похаканий 30.07.2008 BlooDy, а потім 16.08.2008 LoCK3R (як це є на даний момент). Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.kam-pod.net (хакером 3RqU) - сайт був похаканий 10.08.2008, зараз він вже виправлений адмінами
• http://ukrzem.info (хакерами cRew) - зараз сайт відключений хостером
• http://www.plazan.com.ua (хакером XUGURX)
• http://cityline.sevstar.net (хакером S.H.T.) - взломаний розділ faq сайта

Оновив сьогодні тестування з веб безпеки, в якому ви можете перевірити рівень своїх знань з веб безпеки. Тест базується на моїй системі тестування FlashTestSystem.

В даній версії додав 10 нових запитань, цього разу по шостому розділу мого Посібника з безпеки. Тепер у тесті 40 запитань на web security тематику, які базуються на шести розділах мого посібника.

Вдалого вам тестування .

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://www.4woman.kiev.ua (хакером FeDeReR) - сайт був похаканий 10.08.2008 грузинським хакером, зараз він вже виправлений адмінами. Цей взлом був пов’язаний з останнім збройним конфліктом в Грузії, і я повністю підтримую заклик хакера: No War - Peace Forever
• http://www.skifiya.com.ua (хакером ZEYNI47) - зараз сайт на реконструкції. Cайт спочатку був похаканий 08.06.2008 ZEYNI47, а потім 29.06.2008 DeX. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://fifa.at.ua (хакером Smerч) - сайт зараз не працює, останній раз він працював 04.08.2008 (за даними Гугла), коли орієнтовно і був похаканий
• http://4u.com.ua (хакером KARTAL) - сайт був похаканий 27.07.2008, зараз він вже виправлений адмінами
• http://www.promag.in.ua (хакером 3RqU)

Нещодавно, 03.08.2008, я знайшов Abuse of Functionality уразливість в плагіні WP-ContactForm для WordPress. Про що найближчим часом повідомлю розробникам плагіна. Раніше я вже писав про уразливості в даному плагіні.

Abuse of Functionality:

На сторінці контактів є функція “Copy yourself on the form submission”. Вона вмикається в налаштуваннях (Copy Option) і призводить до того, що через сайт можна розсилати спам (як адміну, так і на довільні емайли).

А з використанням Insufficient Anti-automation уразливості, про яку я писав в записі MoBiC-29: WP-ContactForm CAPTCHA bypass, можна автоматизовано розсилати спам з сайта в великих обсягах.

WP-ContactForm Abuse of Functionality.html

Уразлива версія WP-ContactForm 2.0.7 та попередні версії (а також наступні версії, до 3.1.8 включно).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://www.it-club.mk.ua (хакером 3RqU) - сайт був похаканий орієнтовно 30.07.2008, зараз він вже виправлений адміном
• http://amplituda.net (хакером LaZuRiX)
• http://ukrngi.com (хакером ufq)
• http://www.mesothelioma-portal.info (хакером 3RqU)
• http://www.ganesha-bar.com (хакером MadBuQ) - причому спочатку сайт був 14.07.2008 похаканий MadBuQ, потім 01.08.2008 MR.WЄЄD Hackers, а сьогодні сайт вже похаканий +T1S4K. Схоже, що сайт постійно хакається, так само як www.a2k.org.ua, про який я вже писав раніше

Учора я писав про уразливості в Contact Form ][. А сьогодні я знайшов нові уразливості в плагіні Contact Form ][ для WordPress - це Cross-Site Request Forgery та Cross-Site Scripting. Дірки я перевірив на останній версії плагіна. Про що найближчим часом повідомлю розробникам плагіна.

CSRF:

Сторінка опцій плагіна (http://site/wp-admin/admin.php?
page=wp-contact-form/options-contactform.php) вразлива до CSRF. Що дозволяє проводити XSS атаки, або за допомогою CSRF атаки ввімкнути опцію Carbon-Copy ability (якщо вона вимкнута), для подальшого використання Abuse of Functionality уразливості плагіна.

Contact Form 2 CSRF.html

XSS (reflected та persistent):

Тільки для атаки на адміна (на сторінці опцій):

Contact Form 2 XSS.html

Contact Form 2 XSS2.html

XSS (persistent):

Для атаки на всіх користувачів сайта на сторінці контактів та для атаки на адміна на сторінці опцій (reflected та persistent):

Contact Form 2 XSS3.html

Contact Form 2 XSS4.html

Contact Form 2 XSS5.html

XSS (persistent):

Для атаки на всіх користувачів сайта на сторінці контактів:

Contact Form 2 CSRF6.html
Contact Form 2 XSS6.html

Contact Form 2 CSRF7.html
Contact Form 2 XSS7.html

Contact Form 2 CSRF8.html
Contact Form 2 XSS8.html

Плагін Contact Form ][ зроблений на основі плагіна WP-ContactForm і тому дані XSS аналогічні уразливостям в WP-ContactForm, про які я писав раніше.

Уразлива версія Contact Form ][ v2.0.13 та попередні версії.

Нещодавно, 03.08.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості в плагіні Contact Form ][ для WordPress. Дірки я виявив на одному сайті, які також перевірив в себе локально на останній версії плагіна. Про що найближчим часом повідомлю розробникам плагіна.

Insufficient Anti-automation:

Відсутність капчі дозволяє слати автоматизовані повідомлення (зокрема спам) адмінам сайта.

Abuse of Functionality:

На сторінці контактів є функція “Send a copy to yourself”. Вона вмикається в налаштуваннях (Carbon-Copy ability) і призводить до того, що через сайт можна розсилати спам (як адміну, так і на довільні емайли).

А з використанням Insufficient Anti-automation уразливості можна автоматизовано розсилати спам з сайта в великих обсягах.

Contact Form 2 Abuse of Functionality.html

XSS:

POST запит на сторінці http://site/contact/:

"><script>alert(document.cookie)</script>В полях: Your Name, Your Email, Subject.

</textarea><script>alert(document.cookie)</script>В полі: Your Message.

Плагін Contact Form ][ зроблений на основі плагіна WP-ContactForm і тому дані XSS аналогічні уразливостям в WP-ContactForm, про які я писав раніше.

Уразлива версія Contact Form ][ v2.0.13 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://electronika.kiev.ua (хакером DraKuLa)
• http://mixs.org.ua (хакерами prokaznik та Traff!c)
• http://pspclub.kiev.ua (хакером 3RqU) - взломаний форум сайта
• http://hotel-rudneva.org.ua (хакером 3RqU)
• http://www.valco.com.ua (хакером Yusuf KARA) - взломаний форум сайта

В минулому році були виявлені Privilidge Escalation та SQL Injection уразливості в WordPress. Уразлива версія WordPress 2.1.2 та попередні 2.1.x версії.

Уразливості в xmlrpc.php. Privilidge Escalation дозволяє користувачам з правами contributor публікувати раніше збережені записи на сайт. Друга уразливість дозволяє користувачам з правами contributor і вищими провести SQL Injection атаку.

• Wordpress 2.1.2 xmlrpc Vulnerabilities (деталі)