Websecurity - Веб безпека

Офіційна заява з приводу вчорашнього блокування мого веб проекту. Робота двох моїх сайтів була відновлена майже опівночі.

Минулого тижня Верховна Рада прийняла нові закони, які люди назвали “диктаторськими”, а на наступний день президент підписав їх. Учора, 22.01.2014, дані закони вступили в силу.

І вчора після 16:00 два моїх сайти websecurity.com.ua і mlfun.org.ua були заблоковані. Тому що були відключені два домени провайдером в зв’язку з рішенням СБУ. Представники спецслужб заставили провайдера відключити мої домени через порушення нового законодавства. А саме через розміщення відео файлу про Віктора Януковича (на mlfun.org.ua) та розміщення лінки на нього (на websecurity.com.ua) - лінки на сайт президента, на якому я розмістив дане відео через Content Spoofing уразливість.

Це “диктаторські закони” в дії. Зокрема закон стосовно наклепу (в СБУ вважали “невідповідним закону” дане відео), що дозволяє без рішення суду закривати будь-які сайти на українських хостингах чи з українськими доменами. Через те, що будь-які матеріали на сайтах правоохоронці можуть вважати наклепом.

Після відновлення роботи своїх ресурсів, я прибрав відео файл і лінку на нього. Щоб не порушувати нові закони і щоб не було претензій до мене від правоохоронців. Поки діють дані скандальні закони. За останніми подіями в Україні, в тому числі подіями пов’язаними з моїми сайтами, ви можете слідкувати в мене в твіттері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ifds.org.ua - інфекція була виявлена 23.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://djuice.ua - інфекція була виявлена 07.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://didjeridu.org.ua - інфекція була виявлена 05.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://kyivstar.ua - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://kyivstar.net - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.

Завтра чергове віче на Євромайдані в Києві. Перше після прийняття парламентом в четвер скандальних законів та підписання їх в п’ятницю президентом. Дане зібрання може бути визнане екстремістським і незаконним відповідно до нових законів, що значно звужують свободу слова і права людей в Україні.

Мої відео з Євромайдану можете подивися в моєму акаунті на YouTube. Останні повідомлення читайте в моєму Твіттері.

До речі, виявив на president.gov.ua Cross-Site Scripting та Content Spoofing уразливості. Стосовно державних сайтів в останнє я писав про уразливості на www.bank.gov.ua.

XSS:

• alert(document.cookie)
• alert(document.cookie)

Content Spoofing:

http://president.gov.ua/js/jw/player.swf?file=http://site/1.flv
http://president.gov.ua/js/jw/player.swf?config=http://site/1.xml
http://president.gov.ua/js/jw/player.swf?abouttext=Player&aboutlink=http://websecurity.com.ua

P.S.

Прибрав з сайту інформацію про Януковича в зв’язку зі вступом в дію нових законів.

І розмістив лінку на відео з Януковичем у Twitter. А пізніше, коли виявив, що на сайті президента додали блокуючі фільтри, то розмістив нову лінку в Facebook.

Наближається 2014 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати мою нову композицію Look into the future:

У грудні, 31.12.2013, вийшла нова версія програми DAVOSET v.1.1.5. Це новорічний випуск . В новій версії:

• Додав обробник помилок в GetCookie().
• Додав нові сервіси в списки зомбі.
• Прибрав непрацюючі сервіси зі списків зомбі.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.5.rar.

У грудні, 03.12.2013, вийшла нова версія програми DAVOSET v.1.1.4. В новій версії:

• Додав новий сервіс в повний список зомбі.
• Прибрав непрацюючі сервіси зі списків зомбі.
• Виправив баг з портом в двох функціях.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.4.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах MobileChief, Curvo та MoneyTheme. Для котрих з’явилися експлоіти. MobileChief - це плагін для створення мобільного сайта, Curvo - це тема движка, MoneyTheme - це тема движка.

• WordPress MobileChief Cross Site Scripting (деталі)
• WordPress Curvo Cross Site Request Forgery (деталі)
• WordPress MoneyTheme Cross Site Scripting / Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ukrkondprom.com.ua (хакером Holy Lycans) - 23.12.2013, зараз сайт вже виправлений адмінами
• http://wdk.dn.ua (хакером Cellatreis) - 23.12.2013, зараз сайт вже виправлений адмінами
• http://maryfoto.kh.ua (хакером Cellatreis)
• http://yuventadance.com.ua (хакером Holy Lycans) - 24.12.2013, зараз сайт вже виправлений адмінами
• http://rpsnab.com.ua (хакером Cellatreis)

Також виявив, що сайти book.rekord.gov.ua, gprda.gov.ua і che.gov.ua, які вже були похакані в цьому році, взломані повторно. У них там явно “день відкритих дверей” .

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах e-Commerce Payment Gateways Caller, DailyDeal та GeoPlaces. Для котрих з’явилися експлоіти. e-Commerce Payment Gateways Caller - це плагін для роботи з платіжними шлюзами, DailyDeal - це тема движка, GeoPlaces - це тема движка.

• WordPress e-Commerce Payment Gateways Caller Local File Inclusion (деталі)
• WordPress DailyDeal Theme Shell Upload (деталі)
• WordPress GeoPlaces 4.x Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У лютому, 02.02.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в плагінах для WordPress, Joomla і Plone, що містять Dewplayer. Раніше я писав про уразливості в Dewplayer.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку Dewplayer через Гугл дорки виводиться 422000 сайтів (і це лише для флешки dewplayer.swf, а ще інші імена файлів цього плеєра).

Цей флеш медіа плеєр в наступних плагінах: Dewplayer WordPress plugin, JosDewplayer і mosdewplayer для Joomla та collective.dewplayer для Plone. Також можуть бути інші плагіни з Dewplayer.

Наявність конкретної CS та XSS уразливості залежить від версії плеєра, що постачається з конкретним плагіном. При цьому адмін сайта може встановити більш нову версію флешки ніж та, що постачається з плагіном.

Dewplayer для WordPress:

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-mini.swf, dewplayer-multi.swf. Вони всі мають CS дірки.

Content Spoofing (Content Injection) (WASC-12):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?mp3=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?file=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?sound=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?son=1.mp3

Full path disclosure (WASC-13):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.php

JosDewplayer і mosdewplayer:

Плагін JosDewplayer базується на mosdewplayer, тому дірки в них мають збігатися.

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-multi.swf, dewplayer-playlist.swf, dewplayer-rect.swf. Вони всі мають CS дірки.

http://site/plugins/content/josdewplayer/dewplayer.swf

collective.dewplayer:

З плагіном постачаються наступні флешки: dewplayer-mini.swf, dewplayer.swf, dewplayer-multi.swf, dewplayer-rect.swf, dewplayer-playlist.swf, dewplayer-bubble.swf, dewplayer-vinyl.swf. Всі ці флешки мають CS, а dewplayer-vinyl.swf ще і XSS дірки.

Шлях на сайті може бути різним:

http://site/files/++resource++collective.dewplayer/dewplayer.swf

Content Spoofing (Content Injection) (WASC-12):

http://site/path/dewplayer.swf?mp3=1.mp3

XSS (WASC-08):

http://site/path/dewplayer-vinyl.swf?xml=xss.xml

Вразливі наступні веб додатки: Dewplayer WordPress plugin 1.2 і попередні версії, JosDewplayer 2.0 і попередні версії, всі версії mosdewplayer, collective.dewplayer 1.2 і попередні версії.

Вразливі веб додатки, що використовують Dewplayer 2.2.2 і попередні версії.