Websecurity - Веб безпека

У квітні, 21.04.2015, вийшла нова версія WordPress 4.1.2.

WordPress 4.1.2 це секюріті випуск нової 4.1 серії. В якому розробники виправили 3 уразливості та зробили 4 посилення безпеки, а також виправили уразливості в багатьох плагінах.

• Критична Cross-Site Scripting уразливість.
• Можливість аплоадити файли з небезпечними іменами.
• Обмежена Cross-Site Scripting уразливість.
• SQL injection уразливість в декількох плагінах.
• Також було виявлено багато плагінів з двома однаковими XSS уразливостями, розробники яких виправили дірки в плагінах разом з WordPress security team.
• 4 посилення безпеки (які розробники не віднесли до уразливостей, що типово для них).

Також в цей день вийшла WordPress 4.0.2. Версія 4.0.2 це секюріті випуск 4.0 серії, в якій виправлені дані уразливості й баги.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://peremyshrada.gov.ua (хакером Abdellah Elmaghribi) - 05.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://izmail-rada.gov.ua (хакером brwsk007) - 11.03.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://marketpro.biz (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
• http://mantiya.ua (хакером wongbodo) - 04.01.2015, зараз сайт вже виправлений адмінами
• http://usqb.org.ua (хакером Dr.Pc) - 18.04.2015, зараз сайт не працює

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темах NativeChurch, lote27, FR0_theme, acento і плагінах Advanced Access Manager, Bulk Delete Users By Email, Like Dislike Counter та Spider Facebook. Для котрих з’явилися експлоіти.

• WordPress NativeChurch / lote27 / FR0_theme / acento File Download (деталі)
• WordPress Advanced Access Manager 2.8.2 File Write / Code Execution (деталі)
• WordPress Bulk Delete Users By Email 1.0 CSRF (деталі)
• WordPress Like Dislike Counter 1.2.3 SQL Injection (деталі)
• WordPress Spider Facebook 1.0.8 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kosei.dp.ua - інфекція була виявлена 18.04.2015. Зараз сайт входить до переліку підозрілих.
• http://oba.dp.ua - інфекція була виявлена 24.04.2015. Зараз сайт входить до переліку підозрілих.
• http://tutlink.com - інфекція була виявлена 27.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://o-peresolyak.org.ua - інфекція була виявлена 09.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://artconsult.com.ua - інфекція була виявлена 25.04.2015. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Disqus, WPtouch Mobile, Slideshow Gallery, Huge IT Image Gallery та різних темах. Для котрих з’явилися експлоіти. Disqus - це плагін для написання коментарів, WPtouch Mobile - це плагін, що додає елегантну мобільну тему для мобільних відвідувачів сайта, Slideshow Gallery - це плагін для створення галереї зображень зі слайдшоу, Huge IT Image Gallery - це плагін для створення галереї зображень та теми Ultimate, IncredibleWP, Ultimatum, Medicate, Centum, Avada, Striking, Beach, CuckooTap, eShop.

• WordPress Disqus 2.7.7 Cross Site Request Forgery (деталі)
• WordPress WPtouch Mobile 3.4.5 Shell Upload (деталі)
• WordPress Slideshow Gallery 1.4.6 Shell Upload (деталі)
• WordPress Multiple Themes Arbitrary File Download (деталі)
• WordPress Huge IT Image Gallery 1.0.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://autobaza.pz.gov.ua (хакером Cyb3r_Sw0rd) - 24.02.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.dzhankoi-rada.gov.ua (хакером Nofawkx Al) - 26.02.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tarplast.com.ua (хакером the_warri0r) - 25.03.2015, зараз сайт вже виправлений адмінами
• http://www.academy.org.ua (хакером Nofawkx Al) - 26.02.2015, зараз сайт вже виправлений адмінами
• http://dontechprom.ua (хакером YunusIncredibl) - 10.03.2015, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kosei.com.ua - інфекція була виявлена 16.04.2015. Зараз сайт входить до переліку підозрілих.
• http://luxrent.od.ua - інфекція була виявлена 21.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://akeemdom.com - інфекція була виявлена 23.04.2015. Зараз сайт входить до переліку підозрілих.
• http://seged.od.ua - інфекція була виявлена 30.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://peanut.com.ua - інфекція була виявлена 31.03.2015. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Disqus, All In One SEO Pack та ShortCode. Для котрих з’явилися експлоіти. Disqus - це плагін для написання коментарів, All In One SEO Pack - це плагін для пошукової оптимізації сайта, ShortCode - це мега пакет коротких кодів.

• Disqus 2.7.5 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress All In One SEO Pack 2.2.2 Cross Site Scripting (деталі)
• WordPress ShortCode 0.2.3 Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про свою систему Web Virus Detection System, що була розроблена мною в 2008 році. Потім я створив нову систему SecurityAlert, в якої доля склалася схоже до першої системи, тому прочитайте історію Web VDS.

SecurityAlert - це сервіс для інформування про інциденти з безпекою на веб сайтах, що була розроблена мною в 2012 році. Відео демонстрація системи SecurityAlert.

Я розробив ідею системи та створив детальний бізнес план ще в липні 2011. Але рік витратив на спілкування з українськими секюріті компаніями та пошук фінансування. В липні 2012 я почав розробку системи, коли знайшов компанію, що обіцяла фінансувати проект, але вже в серпні вона кинула мене і не надала жодної підтримки. Ситуація подібна до 2008 року з Web Virus Detection System (і жодна з компаній, з якими я спілкувався про обидві свої системи, не викликає в мене поваги). Але на відміну від попередньої системи, я продовжив роботу над цією системою після обману спонсора, і з 2012 року значно покращив систему.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Disqus, Mobile Pack та KenBurner Slider. Для котрих з’явилися експлоіти. Disqus - це плагін для написання коментарів, Mobile Pack - це плагін для перетворення сайта у мобільний веб додаток, KenBurner Slider - це плагін для створення слайдеру.

• WordPress Disqus 2.7.5 CSRF / Cross Site Scripting (деталі)
• WordPress Mobile Pack 2.0.1 Information Disclosure (деталі)
• WordPress KenBurner Slider Arbitrary File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.