Websecurity - Веб безпека

Нещодавно, 03.08.2008, я знайшов Insufficient Anti-automation, Abuse of Functionality та Cross-Site Scripting уразливості в плагіні Contact Form ][ для WordPress. Дірки я виявив на одному сайті, які також перевірив в себе локально на останній версії плагіна. Про що найближчим часом повідомлю розробникам плагіна.

Insufficient Anti-automation:

Відсутність капчі дозволяє слати автоматизовані повідомлення (зокрема спам) адмінам сайта.

Abuse of Functionality:

На сторінці контактів є функція “Send a copy to yourself”. Вона вмикається в налаштуваннях (Carbon-Copy ability) і призводить до того, що через сайт можна розсилати спам (як адміну, так і на довільні емайли).

А з використанням Insufficient Anti-automation уразливості можна автоматизовано розсилати спам з сайта в великих обсягах.

Contact Form 2 Abuse of Functionality.html

XSS:

POST запит на сторінці http://site/contact/:

"><script>alert(document.cookie)</script>В полях: Your Name, Your Email, Subject.

</textarea><script>alert(document.cookie)</script>В полі: Your Message.

Плагін Contact Form ][ зроблений на основі плагіна WP-ContactForm і тому дані XSS аналогічні уразливостям в WP-ContactForm, про які я писав раніше.

Уразлива версія Contact Form ][ v2.0.13 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://electronika.kiev.ua (хакером DraKuLa)
• http://mixs.org.ua (хакерами prokaznik та Traff!c)
• http://pspclub.kiev.ua (хакером 3RqU) - взломаний форум сайта
• http://hotel-rudneva.org.ua (хакером 3RqU)
• http://www.valco.com.ua (хакером Yusuf KARA) - взломаний форум сайта

В минулому році були виявлені Privilidge Escalation та SQL Injection уразливості в WordPress. Уразлива версія WordPress 2.1.2 та попередні 2.1.x версії.

Уразливості в xmlrpc.php. Privilidge Escalation дозволяє користувачам з правами contributor публікувати раніше збережені записи на сайт. Друга уразливість дозволяє користувачам з правами contributor і вищими провести SQL Injection атаку.

• Wordpress 2.1.2 xmlrpc Vulnerabilities (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://kirovograd.org.ua (хакером h242)
• http://www.celebis.com/forum/ (хакером DARK LORD) - взломаний форум сайта
• http://www.luk.com.ua (хакерами SecretlyX та BeLa) - сайт вже відновлений, лише на сайті залишилася сторінка дефейсу (Hackers.html)
• http://chizar.org.ua (хакером 3RqU) - сайт був похаканий орієнтовно 24.06.2008, зараз він вже виправлений адміном
• http://futureleaders.iatp.org.ua (хакером Hechizero) - сайт зараз не працює, останній раз він працював 30.05.2008 (за даними Гугла), коли орієнтовно і був похаканий

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа взломаних українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://www.a2k.org.ua (хакером Ans) - сайт був похаканий 26.07.2008 (або раніше) і зараз це вже виправлено. Але враховучи, що на сайті розміщена велика кількість зовнішніх лінок (з використанням “чорних” SEO методів), я можу сказати, що сайт знову був похаканий (SEOwned) вже іншим хакерами (причому давно). До речі, каталог сайта http://www.a2k.org.ua/catalog/ похаканий AnGe78 з ISLAMIC TEAM (причому також давно)
• http://ehard.com.ua (хакером DESPOT)
• http://www.vgoru.org (хакером EL_MuCaHiD)
• http://artzone.org.ua (хакером 3RqU) - сайт був похаканий орієнтовно 26.07.2008. Зараз він не працює, лише видає Full path disclosure уразливість
• http://www.salon.dn.ua (хакером AdReNaLin)

Додам, що раніше я вже писав про взлом сайту a2k.org.ua в підсумках хакерської активності в Уанеті.

Нещодавно були анонсовані номінанти на цьогорічну The Pwnie Awards. Про переможців минулорічної Pwnie Awards я писав раніше.

Номінанти The Pwnie Awards 2008 розташовані в різних категоріях. Серед цьогорічних категорій наступні: Best Server-Side Bug, Best Client-Side Bug, Mass 0wnage, Most Innovative Research, Lamest Vendor Response, Most Overhyped Bug, Best Song, Most Epic FAIL, Lifetime Achievement Award.

Зверну вашу увагу на цікаву номінацію в категорії Pwnie for Mass 0wnage: An unbelievable number of WordPress vulnerabilities. Враховуючи, що я виявив найбільшу кількість дірок в WP за 2006-2008 роки (і ще планую чимало дірок в WP опублікувати), то варто було мене згадати в цій номінації серед тих, хто виявив ці дірки . Тому що я разом з іншими секюріті дослідниками, що виявили дірки в WordPress, є тими, хто привели в життя цю номінацію.

Цікаво бути долученим до номінації в категорії Mass 0wnage . Раджу жюрі проголосувати саме за цю номінацію в даній категорії (і вибрати достойні номінації в інших категоріях).

Також можете ознайомитися з номінантами в категорії Pwnie for Best Song (два з яких доступні у вигляді відео роліків).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. Якщо минулого разу я навів приклади взломаних сайтів і в Уанеті і в інших частинах Інтернету, то цього разу наведу приклади лише похаканих сайтів Уанету. Зосереджу свої дослідження на нашому сегменті Мережі.

П’ятірка похаканих сайтів в Уанеті:

• http://www.binom.net.ua (хакерами XALIL і AINKA) - до речі, це сайт Центра безпеки “Біном” (секюріті сайт)
• http://www.zemukr.org.ua (хакером p@3t_b@y)
• http://www.gigabyte.net.ua (хакером START)
• http://finexpert.sumy.ua (хакером KatiL_Gakal) - був похаканий форум проекту, орієнтовно 10.03.2008, що адміни вже виправили
• http://www.gemjulia.com (хакером silver fox)

Два роки тому, 18.07.2006, мій проект розпочав свою роботу. Так що нещодавно виповнилося два роки з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За другий рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були знайдені уразливості в Google Search Appliance (що започаткували “Чорний тиждень Гугла”), були проведені MoBiC та День багів в WordPress.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Вчора я знайшов численнні уразливості в FireStats плагіні для WordPress (та інших CMS). Про що найближчим часом повідомлю розробникам плагіна. Я вже розповідав про деякі уразливості в FireStats, зараз оприлюдню другу частину уразливостей в плагіні - Insufficient Authorization, Information Leakage, Insufficient Anti-automation, Denial of Service та Cross-Site Scripting.

Insufficient Authorization та Information Leakage:

http://site/wp-content/plugins/firestats/

Можна без авторизації дивитися статистику відвідувань та дізнатися повний шлях на сервері. А також можна змінювати деякі налаштування, зокрема Bots list, Excluded IPs та інші налаштування в Settings.

Insufficient Anti-automation:

Можливі автоматизовані запити, зокрема до функції Recalculate database cache та до функцій зміни Bots list та Excluded IPs.

FireStats Insufficient Anti-automation.html

DoS:

При автоматизованих запитах до функції Recalculate database cache можливе велике навантаження на сервер.

FireStats Insufficient Anti-automation.html

XSS:

FireStats XSS.html

Уразливі FireStats 1.0.2 та попередні версії.

В своїй статті Кількість похаканих сайтів в Інтернеті я розповідав про розроблену мною методику пошуку похаканих (і ще не виправлених) сайтів. Дана методика дозволяє знайти дефейснуті сайти, на яких хакери, що їх взломали, залишили відповідні послання.

Наведу вам приклади взломаних сайтів з різних країн світу.

Ось п’ятірка похаканих сайтів в Інтернеті:

• http://school.journ.ru
• http://dikarka.com - окрім того, що сайт був взломаний, він також інфікований
• http://www.wagonlog.com
• http://www.stencilrevolution.com/forum/ - був поканий форум сайта, причому він ще був взломаним 22.07.2008, але зараз адміни вже прибрали дефейс
• http://koxptr.6te.net

А ось п’ятірка похаканих сайтів в Уанеті:

• http://uni-form.com.ua (хакерами з PR0H4CK3RZ) - сайт зараз не працює, останній раз він працював 19.06.2008 (за даними Гугла)
• http://kino.iatp.org.ua (хакерами з MassiF TeaM) - сайт зараз не працює, останній раз він працював 30.05.2008 (за даними Гугла)
• http://www.horse-travel.com.ua (хакером devil24)
• http://www.brodyaga.sumy.ua/phpBB2/ (хакером HUSEYINGAZI) - взломаний форум сайта
• http://lebedyn.com.ua/new_/ (хакерами з CYBERSOL)