Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.zvenrada.gov.ua (хакером eRRoR 7rB) - 13.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://forum.korsunr.gov.ua (хакером eRRoR 7rB) - 13.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://loza-mebel.com.ua (хакером Erfan Nikotin) - 02.03.2014, зараз сайт вже виправлений адмінами
• http://ulyanka.net.ua (хакером d3b~X) - 07.03.2014, зараз сайт вже виправлений адмінами
• http://dr-petrunin.org.ua (хакером mustireis) - 28.05.2014, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Intouch, WP-Members та NextGen Gallery. Для котрих з’явилися експлоіти. Intouch - це плагін, WP-Members - це фреймворк для управління користувачами сайта, NextGen Gallery - це плагін для створення фото галереї.

• WordPress Intouch 2.0 Cross Site Scripting (деталі)
• WordPress WP-Members 2.8.9 Cross Site Scripting (деталі)
• WordPress NextGen Gallery Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Я вже розповідав про операції Українських Кібер Військ. Зараз розповім вам про інші операції.

В попередні місяці, ще до офіційного створення Українських Кібер Військ, проводилися хакерські операції. А в цьому місяці почали проводитися нові операції (до п’яти раніше загаданих):

• Взломи сайтів сепаратистів і терористів. Зокрема в березні я дефейснув сайт Верховної Ради АР Крим і відмінив референдум в Криму та відправив у відставку Аксьонова і Константинова.
• Відплата - блокування сайтів DDoS атаками. Бійці УКВ регулярно блокують сайти терористів.
• Бендер - дзвінки терористам з погрозами та дезінформацією.
• Кібершторм 2 - відправлення смсок з погрозами, дезінформацією та пропагандою.

Також плануються нові операції, що почнуться найближчим часом. Зокрема дві операції розпочалися вже після даної публікації.

Про діяльність Українських Кібер Військ читайте у мене в Facebook.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://oblrada.sumy.ua - інфікований державний сайт - інфекція була виявлена 28.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://sorada.gov.ua - інфікований державний сайт - інфекція була виявлена 28.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://polsko.org.ua - інфекція була виявлена 24.05.2014. Зараз сайт входить до переліку підозрілих.
• http://ats.in.ua - інфекція була виявлена 19.04.2014. Зараз сайт не входить до переліку підозрілих.
• http://fortax.org.ua - інфекція була виявлена 21.03.2014. Зараз сайт не входить до переліку підозрілих.

Минулого тижня я офіційно оголосив про створення Українських Кібер Військ.

З 01.03.2013 я займався протидією інформаційній війні проти України, а в травні почав займатися більш активно. За цей час зробив чимало, а після створення Українських Кібер Військ разом з добровольцями було зроблено ще більше.

В цьому місяці проводилися, а більшість з них проводиться щодня, наступні операції:

• Блокування рахунків терористів в електронних платіжних системах.
• Кібершторм - блокування телефонів смсками.
• Кіберураган - блокування телефонів дзвінками
• Відновлення правди - редагування Вікіпедії для протидії російській пропаганді.
• Заблоковані виродки - блокування блогів (зокрема на ЖЖ) і сайтів терористів через запити до служби підтримки ЖЖ і хостерів.

Також проводяться інші операції Українських Кібер Військ та плануються нові операції, що почнуться найближчим часом.

Про діяльність Українських Кібер Військ читайте у мене в Facebook.

У червні, 12.06.2014, я офіційно оголосив про створення “Українських Кібер Військ”.

Це кібер батальйон для проведення оборонних і наступальних операцій в Інтернеті, для протидії сепаратистам і терористам та протидії інформаційній війні проти України.

Про діяльність Українських Кібер Військ ви можете більше дізнатися в мене у Facebook і Twitter.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://biomed.nas.gov.ua (хакером d3b~X) - 14.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://112.gov.ua (хакером d3b~X) - 15.03.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://topolyok-info.com.ua (хакерами AlFeRoX і AnonPhantom) - 25.05.2014, зараз сайт вже виправлений адмінами
• http://oil-shop.com.ua (хакерами WildClique і U Mad Bro)
• http://barsuk.kiev.ua (хакерами з Bermud Team) - 30.05.2014, зараз сайт вже виправлений адмінами

У грудні 2012 року я розробив приклад простого веб додатку з вбудованим бекдором - Backdoored Web Application. Він призначений для перевірки систем пошуку бекдорів. Це еталонний тест сканерів бекдорів.

Торік у травні я провів порівняльне тестування різних сканерів бекдорів - Тестування сканерів бекдорів серед плагінів для WordPress. В якому я перевірив сканери за допомогою мого BWA.

Сьогодні я випустив нову версію додатку - Backdoored Web Application v.1.0.1. В якій я до PHP-версії додав Perl-версію BWA. Це дозволить ще краще тестувати сканери бекдорів.

Скачати: bwa_v.1.0.1.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Cron, AskApache Firefox Adsense та Ad-minister. Для котрих з’явилися експлоіти. WP-Cron - це плагін для шелдулінга, AskApache Firefox Adsense - це плагін для розміщення реклами через Google AdSense, Ad-minister - це плагін для розміщення реклами на сайті.

• WordPress WP-Cron 1.1.5 Cross Site Scripting (деталі)
• AskApache 3.0 Cross Site Request Forgery (деталі)
• WordPress Ad-minister 0.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У квітні, 24.04.2014, я виявив Content Spoofing та Cross-Site Scripting уразливості в плагіні DZS Video Gallery для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в DZS Video Gallery для WordPress.

Всього є 4 флешки, які уразливі до CS і XSS. Тобто всі флешки в сумі мають 12 уразливостей.

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_skin_rouge.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_allchars.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_skin_overlay.swf

Content Spoofing (WASC-12):

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&thumb=1.jpg

Content Spoofing (WASC-12):

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&logo=1.jpg&logoLink=http://websecurity.com.ua

Cross-Site Scripting (WASC-08):

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&logo=1.jpg&logoLink=javascript:alert(document.cookie)

Вразливі все версії DZS Video Gallery для WordPress.