Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://kirovograd.org.ua (хакером h242)
• http://www.celebis.com/forum/ (хакером DARK LORD) - взломаний форум сайта
• http://www.luk.com.ua (хакерами SecretlyX та BeLa) - сайт вже відновлений, лише на сайті залишилася сторінка дефейсу (Hackers.html)
• http://chizar.org.ua (хакером 3RqU) - сайт був похаканий орієнтовно 24.06.2008, зараз він вже виправлений адміном
• http://futureleaders.iatp.org.ua (хакером Hechizero) - сайт зараз не працює, останній раз він працював 30.05.2008 (за даними Гугла), коли орієнтовно і був похаканий

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа взломаних українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://www.a2k.org.ua (хакером Ans) - сайт був похаканий 26.07.2008 (або раніше) і зараз це вже виправлено. Але враховучи, що на сайті розміщена велика кількість зовнішніх лінок (з використанням “чорних” SEO методів), я можу сказати, що сайт знову був похаканий (SEOwned) вже іншим хакерами (причому давно). До речі, каталог сайта http://www.a2k.org.ua/catalog/ похаканий AnGe78 з ISLAMIC TEAM (причому також давно)
• http://ehard.com.ua (хакером DESPOT)
• http://www.vgoru.org (хакером EL_MuCaHiD)
• http://artzone.org.ua (хакером 3RqU) - сайт був похаканий орієнтовно 26.07.2008. Зараз він не працює, лише видає Full path disclosure уразливість
• http://www.salon.dn.ua (хакером AdReNaLin)

Додам, що раніше я вже писав про взлом сайту a2k.org.ua в підсумках хакерської активності в Уанеті.

Нещодавно були анонсовані номінанти на цьогорічну The Pwnie Awards. Про переможців минулорічної Pwnie Awards я писав раніше.

Номінанти The Pwnie Awards 2008 розташовані в різних категоріях. Серед цьогорічних категорій наступні: Best Server-Side Bug, Best Client-Side Bug, Mass 0wnage, Most Innovative Research, Lamest Vendor Response, Most Overhyped Bug, Best Song, Most Epic FAIL, Lifetime Achievement Award.

Зверну вашу увагу на цікаву номінацію в категорії Pwnie for Mass 0wnage: An unbelievable number of WordPress vulnerabilities. Враховуючи, що я виявив найбільшу кількість дірок в WP за 2006-2008 роки (і ще планую чимало дірок в WP опублікувати), то варто було мене згадати в цій номінації серед тих, хто виявив ці дірки . Тому що я разом з іншими секюріті дослідниками, що виявили дірки в WordPress, є тими, хто привели в життя цю номінацію.

Цікаво бути долученим до номінації в категорії Mass 0wnage . Раджу жюрі проголосувати саме за цю номінацію в даній категорії (і вибрати достойні номінації в інших категоріях).

Також можете ознайомитися з номінантами в категорії Pwnie for Best Song (два з яких доступні у вигляді відео роліків).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. Якщо минулого разу я навів приклади взломаних сайтів і в Уанеті і в інших частинах Інтернету, то цього разу наведу приклади лише похаканих сайтів Уанету. Зосереджу свої дослідження на нашому сегменті Мережі.

П’ятірка похаканих сайтів в Уанеті:

• http://www.binom.net.ua (хакерами XALIL і AINKA) - до речі, це сайт Центра безпеки “Біном” (секюріті сайт)
• http://www.zemukr.org.ua (хакером p@3t_b@y)
• http://www.gigabyte.net.ua (хакером START)
• http://finexpert.sumy.ua (хакером KatiL_Gakal) - був похаканий форум проекту, орієнтовно 10.03.2008, що адміни вже виправили
• http://www.gemjulia.com (хакером silver fox)

Два роки тому, 18.07.2006, мій проект розпочав свою роботу. Так що нещодавно виповнилося два роки з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За другий рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були знайдені уразливості в Google Search Appliance (що започаткували “Чорний тиждень Гугла”), були проведені MoBiC та День багів в WordPress.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Вчора я знайшов численнні уразливості в FireStats плагіні для WordPress (та інших CMS). Про що найближчим часом повідомлю розробникам плагіна. Я вже розповідав про деякі уразливості в FireStats, зараз оприлюдню другу частину уразливостей в плагіні - Insufficient Authorization, Information Leakage, Insufficient Anti-automation, Denial of Service та Cross-Site Scripting.

Insufficient Authorization та Information Leakage:

http://site/wp-content/plugins/firestats/

Можна без авторизації дивитися статистику відвідувань та дізнатися повний шлях на сервері. А також можна змінювати деякі налаштування, зокрема Bots list, Excluded IPs та інші налаштування в Settings.

Insufficient Anti-automation:

Можливі автоматизовані запити, зокрема до функції Recalculate database cache та до функцій зміни Bots list та Excluded IPs.

FireStats Insufficient Anti-automation.html

DoS:

При автоматизованих запитах до функції Recalculate database cache можливе велике навантаження на сервер.

FireStats Insufficient Anti-automation.html

XSS:

FireStats XSS.html

Уразливі FireStats 1.0.2 та попередні версії.

В своїй статті Кількість похаканих сайтів в Інтернеті я розповідав про розроблену мною методику пошуку похаканих (і ще не виправлених) сайтів. Дана методика дозволяє знайти дефейснуті сайти, на яких хакери, що їх взломали, залишили відповідні послання.

Наведу вам приклади взломаних сайтів з різних країн світу.

Ось п’ятірка похаканих сайтів в Інтернеті:

• http://school.journ.ru
• http://dikarka.com - окрім того, що сайт був взломаний, він також інфікований
• http://www.wagonlog.com
• http://www.stencilrevolution.com/forum/ - був поканий форум сайта, причому він ще був взломаним 22.07.2008, але зараз адміни вже прибрали дефейс
• http://koxptr.6te.net

А ось п’ятірка похаканих сайтів в Уанеті:

• http://uni-form.com.ua (хакерами з PR0H4CK3RZ) - сайт зараз не працює, останній раз він працював 19.06.2008 (за даними Гугла)
• http://kino.iatp.org.ua (хакерами з MassiF TeaM) - сайт зараз не працює, останній раз він працював 30.05.2008 (за даними Гугла)
• http://www.horse-travel.com.ua (хакером devil24)
• http://www.brodyaga.sumy.ua/phpBB2/ (хакером HUSEYINGAZI) - взломаний форум сайта
• http://lebedyn.com.ua/new_/ (хакерами з CYBERSOL)

Сьогодні вийшла нова версія програми Perl Pas Interpreter v.1.4.3. В новій версії:

• Додана підтримка функції div в операторі if.
• Виправлена робота функції sqrt в write та writeln.
• Покращена робота write та writeln з дійсними числами.
• Покращена робота дебаг-режиму в онлайн інтерпретаторі.

Деталі на сайті інтерпретатора. Тема для обговорення програми на форумі.

Додаткова інформація про Perl Pas Interpreter в розділі Онлайн інструменти.

Сьогодні я знайшов численнні уразливості в FireStats плагіні для WordPress (та інших CMS). Про що найближчим часом повідомлю розробникам плагіна. Зараз я оприлюдню першу частину уразливостей в FireStats - Full path disclosure та Cross-Site Scripting.

Full path disclosure:

http://site/wp-content/plugins/firestats/js/firestats.js.php
http://site/wp-content/plugins/firestats/php/ajax-handler.php?FS_FULL_INSTALLATION=1
http://site/wp-content/plugins/firestats/php/footer.php
http://site/wp-content/plugins/firestats/php/page-help.php
http://site/wp-content/plugins/firestats/php/page-import.php
http://site/wp-content/plugins/firestats/php/page-settings.php
http://site/wp-content/plugins/firestats/php/page-stats.php
http://site/wp-content/plugins/firestats/php/tabbed-pane.php
http://site/wp-content/plugins/firestats/php/ezsql/mysql/demo.php
http://site/wp-content/plugins/firestats/php/ezsql/mysql/disk_cache_example.php
http://site/wp-content/plugins/firestats/php/ip2c/benchmark.php
http://site/wp-content/plugins/firestats/php/ip2c/ip2c_test.php
http://site/wp-content/plugins/firestats/php/unzip/sample.php

XSS:

Persistent XSS уразливість в полі UserAgent. При відвідуванні сайта зі спеціально створеним заголовком UserAgent, дане значення UA відображується на сторінці статистики без попередньої фільтрації.

Уразливі FireStats 1.0.2 та попередні версії.

Як повідомив RSnake в своєму записі More Port Scanning - This Time in Flash, існує можливість сканувати порти через Flash. Даний метод продемонстрував fukami, який розмістив PoC та опис методу в себе на сайті.

Метод сканування портів через Flash дуже швидкий. Він базується на обробнику помилок для сокетів, що дозволяє визначати відкриті порти (при наявності флеш плагіна).