Websecurity - Веб безпека

У грудні 2012 року я розробив приклад простого веб додатку з вбудованим бекдором - Backdoored Web Application. Він призначений для перевірки систем пошуку бекдорів. Це еталонний тест сканерів бекдорів.

Торік у травні я провів порівняльне тестування різних сканерів бекдорів - Тестування сканерів бекдорів серед плагінів для WordPress. В якому я перевірив сканери за допомогою мого BWA.

Сьогодні я випустив нову версію додатку - Backdoored Web Application v.1.0.1. В якій я до PHP-версії додав Perl-версію BWA. Це дозволить ще краще тестувати сканери бекдорів.

Скачати: bwa_v.1.0.1.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Cron, AskApache Firefox Adsense та Ad-minister. Для котрих з’явилися експлоіти. WP-Cron - це плагін для шелдулінга, AskApache Firefox Adsense - це плагін для розміщення реклами через Google AdSense, Ad-minister - це плагін для розміщення реклами на сайті.

• WordPress WP-Cron 1.1.5 Cross Site Scripting (деталі)
• AskApache 3.0 Cross Site Request Forgery (деталі)
• WordPress Ad-minister 0.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У квітні, 24.04.2014, я виявив Content Spoofing та Cross-Site Scripting уразливості в плагіні DZS Video Gallery для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в DZS Video Gallery для WordPress.

Всього є 4 флешки, які уразливі до CS і XSS. Тобто всі флешки в сумі мають 12 уразливостей.

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_skin_rouge.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_allchars.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_skin_overlay.swf

Content Spoofing (WASC-12):

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&thumb=1.jpg

Content Spoofing (WASC-12):

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&logo=1.jpg&logoLink=http://websecurity.com.ua

Cross-Site Scripting (WASC-08):

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&logo=1.jpg&logoLink=javascript:alert(document.cookie)

Вразливі все версії DZS Video Gallery для WordPress.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://galych-rada.gov.ua - інфікований державний сайт - інфекція була виявлена 10.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://sevastopol.info - інфекція була виявлена 21.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://31news.at.ua - інфекція була виявлена 09.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://rovers.org.ua - інфекція була виявлена 29.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://hotstyle.com.ua - інфекція була виявлена 12.03.2014. Зараз сайт не входить до переліку підозрілих.

У травні, 08.05.2014, вийшла нова версія WordPress 3.9.1.

WordPress 3.9.1 це багфікс випуск нової 3.9 серії. В якому розробники виправили 34 баги.

Офіційно жодних уразливостей не виправлено, лише баги. Але треба враховувати, що розробники WP полюбляють виправляти дірки приховано. Лише в минулому році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.

В статті Проблеми з витоками персональних даних в Україні я писав, що в Україні багато проблем з захистом персональних даних громадян і держава не докладає достатньо зусиль для боротьби з витокам персональних даних. Ні законодавство в цій сфері не є досконалим, ні Державна служба України з питань захисту персональних даних не працює ефективно (вона більше б’є байдики, ніж захищає дані громадян).

Я неодноразово знаходив випадки витоків персональних даних в Уанеті. Як витік бази даних сайта solor.da-kyiv.gov.ua, в якій містилися персональні дані. Так і уразливості на сайтах, зокрема українських сайтах (під час комерційних та соціальних аудитів безпеки), що дозволяють отримати дані користувачів. І ось черговий випадок.

Позавчора, 22.05.2014, я отримав листа від Юлії Тимошенко (всього прийшло два листи мені й моїй матері). Це штаб “Батьківщини” розсилає листи “від Юлі”, де вона закликає проголосувати за неї на виборах президента. Ну вислали листи, які проблеми, агітують таким чином. Але вони вислали іменні листи.

Тобто була злита БД з особистими даними деяких громадян, такими як ПІБ та адреса. Щоб ВО “Батьківщина” могла надіслати іменні листи. Після цього я знайшов в Інтернеті підтвердження, що не тільки в Києві, але й в інших містах України були розіслані такі іменні листи. Мій аналіз показав, що це база даних пенсійного фонду. Тобто ПФУ незаконно злив свою базу даних “Батьківщині”, щоб громадянка Тимошенко (яка навіть не є держслужбовцем) розіслала свої листи. І з такими та іншими витоками персональних даних потрібно боротися.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://uzh-rda.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bereg-rda.gov.ua (хакером Gabby) - 07.04.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.oczi.com.ua (хакером Darkcrowtr)
• http://lady-ukraine.com (хакером Erfan Nikotin) - 02.03.2014, зараз сайт не працює
• http://bezposrednikov.com.ua (хакером Erfan Nikotin) - 02.03.2014, зараз сайт не працює

В квітні, 16.04.2014, вийшла нова версія WordPress 3.9.

WordPress 3.9 це перший випуск нової 3.9 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити покращене візуальне редагування, спрощене редагування зображень, підтримка драг-енд-дропа зображень, попередній перегляд галерей зображень, додані аудіо та відео плейлісти, попередній перегляд віджетів та заголовків, нова тема по замовчуванню і новий браузер шаблонів для зручного управління шаблонами.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Realty, Persuasion та Recommend to a friend. Для котрих з’явилися експлоіти. WP Realty - це плагін для торгівлі нерухомістю, Persuasion - це тема движка, Recommend to a friend - це плагін для рекомендації друзям.

• WordPress WP Realty Cross Site Scripting (деталі)
• WordPress Persuasion Theme File Download / Deletion (деталі)
• WordPress Recommend Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://akelax.pp.ua - інфекція була виявлена 17.05.2014. Зараз сайт входить до переліку підозрілих.
• http://loads.com.ua - інфекція була виявлена 28.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://bigmir.net - інфекція була виявлена 28.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://newzz.in.ua - інфекція була виявлена 10.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://evtuh-12.ucoz.ua - інфекція була виявлена 09.03.2014. Зараз сайт не входить до переліку підозрілих.