Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ukrkondprom.com.ua (хакером Holy Lycans) - 23.12.2013, зараз сайт вже виправлений адмінами
• http://wdk.dn.ua (хакером Cellatreis) - 23.12.2013, зараз сайт вже виправлений адмінами
• http://maryfoto.kh.ua (хакером Cellatreis)
• http://yuventadance.com.ua (хакером Holy Lycans) - 24.12.2013, зараз сайт вже виправлений адмінами
• http://rpsnab.com.ua (хакером Cellatreis)

Також виявив, що сайти book.rekord.gov.ua, gprda.gov.ua і che.gov.ua, які вже були похакані в цьому році, взломані повторно. У них там явно “день відкритих дверей” .

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах e-Commerce Payment Gateways Caller, DailyDeal та GeoPlaces. Для котрих з’явилися експлоіти. e-Commerce Payment Gateways Caller - це плагін для роботи з платіжними шлюзами, DailyDeal - це тема движка, GeoPlaces - це тема движка.

• WordPress e-Commerce Payment Gateways Caller Local File Inclusion (деталі)
• WordPress DailyDeal Theme Shell Upload (деталі)
• WordPress GeoPlaces 4.x Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У лютому, 02.02.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в плагінах для WordPress, Joomla і Plone, що містять Dewplayer. Раніше я писав про уразливості в Dewplayer.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку Dewplayer через Гугл дорки виводиться 422000 сайтів (і це лише для флешки dewplayer.swf, а ще інші імена файлів цього плеєра).

Цей флеш медіа плеєр в наступних плагінах: Dewplayer WordPress plugin, JosDewplayer і mosdewplayer для Joomla та collective.dewplayer для Plone. Також можуть бути інші плагіни з Dewplayer.

Наявність конкретної CS та XSS уразливості залежить від версії плеєра, що постачається з конкретним плагіном. При цьому адмін сайта може встановити більш нову версію флешки ніж та, що постачається з плагіном.

Dewplayer для WordPress:

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-mini.swf, dewplayer-multi.swf. Вони всі мають CS дірки.

Content Spoofing (Content Injection) (WASC-12):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?mp3=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?file=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?sound=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?son=1.mp3

Full path disclosure (WASC-13):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.php

JosDewplayer і mosdewplayer:

Плагін JosDewplayer базується на mosdewplayer, тому дірки в них мають збігатися.

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-multi.swf, dewplayer-playlist.swf, dewplayer-rect.swf. Вони всі мають CS дірки.

http://site/plugins/content/josdewplayer/dewplayer.swf

collective.dewplayer:

З плагіном постачаються наступні флешки: dewplayer-mini.swf, dewplayer.swf, dewplayer-multi.swf, dewplayer-rect.swf, dewplayer-playlist.swf, dewplayer-bubble.swf, dewplayer-vinyl.swf. Всі ці флешки мають CS, а dewplayer-vinyl.swf ще і XSS дірки.

Шлях на сайті може бути різним:

http://site/files/++resource++collective.dewplayer/dewplayer.swf

Content Spoofing (Content Injection) (WASC-12):

http://site/path/dewplayer.swf?mp3=1.mp3

XSS (WASC-08):

http://site/path/dewplayer-vinyl.swf?xml=xss.xml

Вразливі наступні веб додатки: Dewplayer WordPress plugin 1.2 і попередні версії, JosDewplayer 2.0 і попередні версії, всі версії mosdewplayer, collective.dewplayer 1.2 і попередні версії.

Вразливі веб додатки, що використовують Dewplayer 2.2.2 і попередні версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://tvds.org.ua - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawoman.com - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawoman.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawoman.com.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://vsekommentarii.com - інфекція була виявлена 24.12.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://brovary-region.gov.ua (хакерами з clash hackrz) - 09.12.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://comp-ok.com.ua (хакером Cellatreis)
• http://tower.net.ua (хакером dr.m1st3r) - 16.12.2013, зараз сайт вже виправлений адмінами
• http://ravenna.com.ua (хакером VipEr)
• http://www.buller.net.ua (хакерами з 1923Turk Grup)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Videowall, dhtmlxSpreadsheet та WPLocalPlaces. Для котрих з’явилися експлоіти. Videowall - це плагін для розміщення списку відео, dhtmlxSpreadsheet - це плагін для розміщення таблиць, WPLocalPlaces - це плагін.

• WordPress Videowall Cross Site Scripting (деталі)
• WordPress dhtmlxspreadsheet Cross Site Scripting (деталі)
• WordPress WPLocalPlaces Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В грудні, 12.12.2013, вийшла нова версія WordPress 3.8.

WordPress 3.8 це перший випуск нової 3.8 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити новий дизайн адмінки та нова тема по замовчуванню, адаптація до різних пристроїв, різні кольорові схеми адмінки, перероблене управління шаблонами та віджетами.

Окрім покращень для користувачів також були зроблені численні покращення для розробників.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://elite-bijou.com.ua - інфекція була виявлена 11.11.2013. Зараз сайт входить до переліку підозрілих.
• http://carhelp.info - інфекція була виявлена 13.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://062.ua - інфекція була виявлена 17.11.2013. Зараз сайт не входить до переліку підозрілих.
• http://zirki.info - інфекція була виявлена 18.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrawomen.com.ua - інфекція була виявлена 21.10.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Image Resizer, WP Realty та WooCommerce. Для котрих з’явилися експлоіти. Image Resizer - це плагін для масштабування зображень, WP Realty - це плагін, WooCommerce - це е-комерс плагін для додання кошика покупця.

• WordPress Image Resizer Cross Site Scripting (деталі)
• WordPress WP Realty Blind SQL Injection (деталі)
• WordPress WooCommerce 2.0.17 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні я провів проект День багів в WordPress 3 (Day of bugs in WordPress 3). За цей день я опублікував чимало уразливостей в WordPress. Всього 10 дірок - це Information Leakage, Backdoor, Cross-Site Request Forgery, Denial of Service, URL Redirector Abuse та Cross-Site Scripting уразливості в різних версіях WP.

• Information Leakage та Backdoor уразливості в WordPress
• CSRF, DoS та IL уразливості в WordPress
• URL Redirector Abuse та XSS уразливості в WordPress

В своєму проекті я опублікував різні цікаві уразливості в WP. І з часом я ще оприлюдню нові уразливості в WordPress.

P.S.

А тим часом можете подивися мої відео з Євромайдану в Києві.