Websecurity - Веб безпека

Сім років тому, 18.07.2006, мій проект розпочав свою роботу. Так що нещодавно виповнилося сім років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були презентовані DDoS attacks via other sites execution tool (DAVOSET) та Backdoored Web Application, оновлені SQL Shell і Тестування: уразливості та атаки.

Також був зроблений новий розділ на сайті - Обхід XSS фільтрів (що призначений для перевірки браузерів для обходу XSS фільтрів). А також опубліковано багато цікавих статей та досліджень.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Feed, Category-Grid-View-Gallery та WordPress Booking System. Для котрих з’явилися експлоіти. Feed - це плагін для керування RSS-фідами на сайті, Category-Grid-View-Gallery - це плагін для створення галерей зображень, WordPress Booking System - це система продажу білетів.

• WordPress feed plugin Sql Injection (деталі)
• WordPress Category-Grid-View-Gallery XSS (деталі)
• WordPress Booking System Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.1. В новій версії:

• Додав нові сервіси в обидва списки зомбі.
• Покращив роботу з сервісами, що не підтримують “http://” для цільового сайта.
• Покращив з’єднання з деякими серверами.

Всього додав 105 нових зомбі-сервісів. Тепер в основному списку 25 сервісів, а в повному списку 137 сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.1.rar.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.korop-rada.gov.ua (хакером D34th-N0t3) - 17.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.udaikhm.gov.ua (хакерами з TeaM MosTa) - 27.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zotspri.net.ua (хакером HighTech) - 27.02.2013, зараз сайт вже виправлений адмінами
• http://plafonds.com.ua (хакером HighTech) - 27.02.2013, зараз сайт вже виправлений адмінами
• http://moneyfest.biz.ua (хакером muStireiS) - 07.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vodgosp.if.ua - інфікований державний сайт - інфекція була виявлена 19.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://upszn-sumy.gov.ua - інфікований державний сайт - інфекція була виявлена 01.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://alupro.ua - інфекція була виявлена 15.07.2013. Зараз сайт входить до переліку підозрілих.
• http://volynnews.com - інфекція була виявлена 21.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://regional.com.ua - інфекція була виявлена 05.07.2013. Зараз сайт не входить до переліку підозрілих.

Сьогодні вийшла нова версія програми DAVOSET v.1.1. В новій версії:

• Додав логування.
• Покращив з’єднання з деякими серверами.
• Виправив підрахунок трафіку.

Також додав в readme.txt опис різних атак з використанням мого інструменту.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Private Messages, Xorbin Analog Flash Clock та Xorbin Digital Flash Clock. Для котрих з’явилися експлоіти. WP Private Messages - це плагін для відправлення приватних повідомлень, Xorbin Analog Flash Clock - це аналоговий годинник на флеші, Xorbin Digital Flash Clock - це цифровий годинник на флеші.

• WordPress WP-Private-Messages SQL Injection (деталі)
• Xorbin Analog Flash Clock 1.0 For WordPress XSS (деталі)
• Xorbin Digital Flash Clock 1.0 For WordPress XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У травні, 16.05.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі I Love It для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії Audio Player та GDD FLVPlayer. Раніше я писав про XSS та FPD уразливості в темі I Love It New для WordPress - новій версії цього шаблона.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveit/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Content Spoofing (WASC-12):

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf

В GDD FLVPlayer є 10 уразливостей: 8 CS і 2 XSS.

Full path disclosure (WASC-13):

http://site/wp-content/themes/iloveit/

FPD в index.php та інших php-файлах (в папці та підпапках).

Вразливі всі версії теми I Love It для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://korsunr.gov.ua (хакером H3ll-dz) - 11.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://gprda.gov.ua (хакерами з z3ran gaza hack3er tema) - 24.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivea.com.ua (хакером MMCF)
• http://eloplast.com.ua (хакером ghost-dz) - 13.02.2013, зараз сайт вже виправлений адмінами
• http://www.fanphone.com.ua (хакером ghost-dz) - 17.02.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vodaif.gov.ua - інфікований державний сайт - інфекція була виявлена 26.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://ksm.nau.edu.ua - інфекція була виявлена 02.07.2013. Зараз сайт входить до переліку підозрілих.
• http://kharkov-fishing.org - інфекція була виявлена 09.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://airsys.com.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://fishing.vn.ua - інфекція була виявлена 18.04.2013. Зараз сайт не входить до переліку підозрілих.