Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Buddypress, Taggator та Another WordPress Classifieds Plugin. Для котрих з’явилися експлоіти. Buddypress - це плагін для створення соціальної мережі на сайті на WP, Taggator - це плагін для автоматичного тагування, Another WordPress Classifieds Plugin - це плагін для створення локальної рекламної системи.

• SQL injection in Wordpress plugin Buddypress (деталі)
• Wordpress taggator plugin Sql Injection Vulnerabilities (деталі)
• Vulnerability in Another WordPress Classifieds Plugin for WordPress (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Два роки тому я вже писав про безпечний пошук і наводив перелік пошукових систем, що мають захист від шкідливого програмного забпечення (malware). А також вони захищають від фішингу (як мінімум Google та Yahoo). Про ефективність даних систем, як вбудованих антивірусів в пошуковці, так і окремих систем пошуку вірусів на веб сайтах, я писав в своєму дослідженні Тестування систем пошуку вірусів на веб сайтах та в своїй статті в журналі Системний адміністратор за липень 2011 року.

Тоді це були пошукові системи Google, Yahoo та Яндекс. І я чекав, хто ж з відомих пошуковців наступним запровадить вбудований захист від malware. І на початку квітня я дізнався про таку систему - це Bing. І хоча я прочитав про це лише нещодавно, вбудований захист від malware в Microsoft Bing з’явився ще в 2009 році.

З виходом Internet Explorer 8 19.03.2009, в браузері був доданий захист від шкідливих і фішинг сайтів під назвою SmartScreen. Фільтр SmartScreen є в IE8 та IE9 (в IE7 був лише Phishing Filter). Тобто починаючи з восьмої версії всі браузери Microsoft підтримують цю технологію захисту.

І в тому ж році, 17.06.2009, компанія Microsoft додала захист від шкідливого ПЗ в свою пошукову систему Bing. Якщо в IE ця технологія захисту називається SmartScreen filter, то в Bing - Malware Filter. Але це одна і та сама технологія (тобто malware фільтр в Bing базується на SmartScreen).

Зазначу, що Microsoft зі своєю пошуковою системою були одними з головних потенційних клієнтів моєї системи WebVDS. Так що, якщо б її розробка була завершена в 2008 і вона була запущена, то Майкрософту не довелось бы створювати в 2009 свою SmartScreen, а вони могли б використовувати мою WebVDS.

В цьому місяці в журналі “PenTest Regular” була опублікована моя стаття (на англійській мові). В квітневому номері журналу PenTest Regular 04/2012, що вийшов 02.04.2012, опублікована стаття “Просунуті методи обходу блокування на веб сайтах” (Advanced Methods of Bypassing of Blockings at Web Sites).

В ній розповідається про такі методи блокування, що використовуються на сайтах, як капчі та блокування по IP. Та розповідається про просунуті методи їх обходу.

Дані методи блокування використовуються для секюріті цілей, тому вони повинні бути надійними. Але не всі ці методи є надійними (хоча існують такі стереотипи) й існують методи їх обходу, про що я розповів у своїй статті. Тому веб розробники і адміни веб сайтів повинні знати про це.

Дана стаття базується на двох моїх минулорічних статтях: Обхід капч та блокування на сайтах та Обхід блокування по IP на сайтах. Вона вміщує як матеріали цих статей, так і нову інформацію. В тому числі містить скріншоти для наглядної демонстрації методу обходу блокування на сайтах.

В себе на сайті я виклав тізер журналу, в якому наводиться фрагмент моєї статті.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://r-p.com.ua - інфекція була виявлена 04.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://autopc.com.ua - інфекція була виявлена 02.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://vertushka.com.ua - інфекція була виявлена 06.04.2012. Зараз сайт входить до переліку підозрілих.
• http://upk.ua - інфекція була виявлена 03.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://sloboda.com.ua - інфекція була виявлена 04.04.2012. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Flexible Custom Post Type, Dean’s With Pwwangs Code та WordPress Integrator. Для котрих з’явилися експлоіти. Flexible Custom Post Type - це плагін для створення довільних типів постів та довільних таксономій, Dean’s With Pwwangs Code - це плагін для заміни вбудованого редактора WP на FCKeditor with pwwang’s code, WordPress Integrator - це плагін для виведення статистики движка на не WP частинах сайта або зовнішніх ресурсах.

• wordpress Flexible Custom Post Type plugin Xss Vulnerabilities (деталі)
• WordPress Deans With Pwwangs Code Shell Upload (деталі)
• WordPress Integrator 1.32 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kvs.gov.ua (хакерами з Ashiyane Digital Security Team) - 09.01.2012 - похаканий державний сайт. Ці хакери взламували його вже в 2009 і 2010 роках, і це знову вирішили за для піару його взломати використовуючи уразливості на kvs.gov.ua, про які я вже писав
• http://pfu-sumy.gov.ua (хакером Syrian_DraGon) - 27.01.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.jobconsult.com.ua (хакером Scary HaCker)
• http://liet.info (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами
• http://східниця.com.ua (хакером Crazy_r00t) - 07.01.2011, зараз сайт вже виправлений адмінами

Після того як наприкінці минулого року я знайшов 36 уразливостей в плагіні Register Plus Redux для WordPress та виправив їх, я випустив власну версію Register Plus Redux 3.8 (з виправленими уразливостями оригінального плагіна). І от нещодавно, 25.03.2012, під час аудиту безпеки сайта, на якому використовувався Register Plus Redux, я знайшов дві нові Cross-Site Scripting уразливості в цьому плагіні (які також мають місце в форках цього плагіна). Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в Register Plus Redux для WordPress.

XSS:

На сторінці http://site/wp-login.php?action=register в параметрах user_login і user_email.

Register Plus Redux XSS-1.html

Register Plus Redux XSS-2.html

Ці уразливості пов’язані з variable-width-encoding (за допомогою даної техніки можна обійти захисні фільтри). Ці експлоіти для IE6, для інших браузерів потрібно використовувати інші символи (дана атака можлива в старих браузерах).

Вразливий функціонал з’явився в Register Plus Redux потенційно з версії 3.7.2. Уразливі оригінальний Register Plus Redux та всі плагіни, що базуються на ньому. Зокрема уразливі Register Plus Redux 3.7.2 та наступні версії, мої версії Register Plus Redux 3.8 - 3.8.3, Register Plus Redux Auto Login 3.8.1 та попередні версії.

25.03.2012 в своїй версії Register Plus Redux 3.8.4 я виправив дані уразливості.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://badosov.com - інфекція була виявлена 11.03.2012. Зараз сайт входить до переліку підозрілих.
• http://eoyuah.pl.ua - інфекція була виявлена 22.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://badosova.com - інфекція була виявлена 07.03.2012. Зараз сайт входить до переліку підозрілих.
• http://torre.org.ua - інфекція була виявлена 03.01.2012. Зараз сайт не входить до переліку підозрілих.
• http://siding.in.ua - інфекція була виявлена 10.01.2012. Зараз сайт не входить до переліку підозрілих.

В серпні була виявлена Cross-Site Scripting уразливість в WordPress. Вона була знайдена silentph33r, про що він написав на форумі та надав власний патч. А також він повідомив про неї розробникам, але жодних офіційних виправлень в WP зроблено не було.

Раніше я вже писав про XSS та BF уразливості в WordPress.

XSS (persistent):

Дана уразливість в post-template.php дозволяє зареєстрованому користувачу з правами Author та вище провести Persistent XSS атаку. XSS код можна розмістити в полі title і він виконається на індексній сторінці та сторінці запису.

• Wordpress 3.2.1 Core (post-template.php) Improper Sanitizing (Persistent XSS) (деталі)

Уразливі WordPress 3.2.1 та попередні версії. Враховуючи, що не було офіційних заяв розробників про виправлення даної уразливості, то версії 3.3 і 3.3.1 також можуть бути уразливими.

В WordPress є ще чимало уразливостей, в тому числі тих, які не виправлені до сих пір. І зараз я розповім про три уризливості, дві з яких вже виправлені, а одна має місце навіть в останній версії движка. Це Cross-Site Scripting та Brute Force уразливості WP.

Раніше я вже писав про Brute Force уразливість в WordPress. Нищенаведена BF уразливість є п’ятою Brute Force в WP.

XSS:

В 2007 році я писав про редиректори в WordPress, для яких я випустив патч в MustLive Security Pack v.1.0.5 (і цей патч також захищає від XSS). Тоді дослідники, які знайшли редиректори, не дослідили їх на XSS, тому я вирішив зробити це самостійно.

Через дані редиректори можливі XSS атаки (через data URI):

http://site/wp-login.php?redirect_to=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&action=logout
http://site/wp-pass.php?_wp_http_referer=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location. Розробники виправили редиректори в WP 2.3 (і зробили це приховано, що є типовим для них з 2007 року). Тому Redirector і XSS атаки можливі лише в попередніх версіях.

Brute Force:

Окрім BF через XML-RPC функціонал, також можна підбирати паролі через APP функціонал. На що я звернув увагу, коли 19.03.2012 вирішив оприлюднити BF через XML-RPC і дослідив APP функціонал.

http://site/wp-app.php

Уразливі WordPress 2.3 - 3.3.1.

Починаючи з версії WP 2.3 в движку з’явилася підтримка Atom Publishing Protocol. В даному функціоналі немає захису від BF атак (використовується Basic Authentication). APP функціонал за замовчуванням відключений з версії 2.6, як і XML-RPC.

Розробники WP відключили його разом з XML-RPC (коли відключали останній), тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак. І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати APP, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через APP та від раніше згаданих атак через XML-RPC та на запаролені записи і сторінки.