Websecurity - Веб безпека

У травні, 16.05.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі I Love It для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії Audio Player та GDD FLVPlayer. Раніше я писав про XSS та FPD уразливості в темі I Love It New для WordPress - новій версії цього шаблона.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveit/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Content Spoofing (WASC-12):

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf

В GDD FLVPlayer є 10 уразливостей: 8 CS і 2 XSS.

Full path disclosure (WASC-13):

http://site/wp-content/themes/iloveit/

FPD в index.php та інших php-файлах (в папці та підпапках).

Вразливі всі версії теми I Love It для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://korsunr.gov.ua (хакером H3ll-dz) - 11.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://gprda.gov.ua (хакерами з z3ran gaza hack3er tema) - 24.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ivea.com.ua (хакером MMCF)
• http://eloplast.com.ua (хакером ghost-dz) - 13.02.2013, зараз сайт вже виправлений адмінами
• http://www.fanphone.com.ua (хакером ghost-dz) - 17.02.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vodaif.gov.ua - інфікований державний сайт - інфекція була виявлена 26.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://ksm.nau.edu.ua - інфекція була виявлена 02.07.2013. Зараз сайт входить до переліку підозрілих.
• http://kharkov-fishing.org - інфекція була виявлена 09.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://airsys.com.ua - інфекція була виявлена 29.06.2013. Зараз сайт входить до переліку підозрілих.
• http://fishing.vn.ua - інфекція була виявлена 18.04.2013. Зараз сайт не входить до переліку підозрілих.

В останніх версіях WordPress було виправлено чимало уразливостей. Але є такі виправлені уразливості, про які розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок). Про такі випадки я писав неодноразово, вони полюбляють це робити, і зараз наведу нові приклади.

Раніше я вже писав про FPD уразливість в WordPress.

З WordPress постачається плагін Akismet - він входить в ядро WP. В ньому періодично виправляють уразливості, але якщо в readme.txt плагіна розробники згадують про це, то в анонсах виправлень движка вони не згадують ні про ці дірки, ні про оновлення версії Akismet (з виправленими уразливостями), що постачається з новою версію движка. А в WP 3.5.1 та 3.5.2 були оновлені версії Akismet.

У версії WordPress 3.5.1 оновили Akismet з 2.5.6 до 2.5.7. В цій версії плагіна є виправлені уразливості, що додає виправлених дір в релізі 3.5.1. Зокрема виправили декілька Full path disclosure уразливостей та додали .htaccess для блокування прямого доступу до файлів плагіна (що актуально лише для Apache).

У версії WordPress 3.5.2 оновили Akismet з 2.5.7 до 2.5.8. В цій версії плагіна є секюріті покращення (які саме не уточнюється), що додає виправлених дір в релізі 3.5.2.

Вчора вийшла нова версія програми DAVOSET v.1.0.9. В новій версії:

• Додав підтримку CSRF токенів.
• Додав новий сервіс в повний список зомбі.
• Покращив роботу з адресами без завершального прямого слеша.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.0.9.rar.

У версії WordPress 3.5.2 розробники виправили багато уразливостей. Але є уразливості, що були виправлені в цій версії, про які розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

У липні, 02.07.2013, я дослідив зміни в останній версії движка і виявив Full path disclosure уразливість. Про яку не згадали в описі релізу WP 3.5.2 (при тому, що вони згадали про іншу FPD). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про XXE уразливість в WordPress.

Full path disclosure (WASC-13):

http://site/wp-admin/users.php?s=http://

Має місце FPD при пошуку в розділі Users (коли рядок пошуку починається з http:// або https://).

Уразливі версії WordPress 3.4 - 3.5.1.

10.05.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Search ‘N Save для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в VideoJS - HTML5 Video Player для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.07.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/SearchNSave/js/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/wp-content/plugins/SearchNSave/js/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/SearchNSave/searchnsave.php

http://site/wp-content/plugins/SearchNSave/error_log (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log)

Уразливі всі версії Search ‘N Save для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://ld-invest.rekord.gov.ua (хакером Dr.SHA6H) - 10.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://donmolod.gov.ua (хакером H3ll-dz) - 11.05.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://lita.com.ua (хакерами з Black HaT Group)
• http://otdix.com.ua (хакером Sejeal) - 27.01.2013, зараз сайт вже виправлений адмінами
• http://metizmarket.com (хакерами з BD GREY HAT HACKERS) - 27.03.2013, зараз сайт вже виправлений адмінами

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема XML External Entity Injection (XXE) через oEmbed. У червні, 25.06.2013, я дослідив дану XXE уразливість.

Раніше я вже писав про FPD та XSS уразливості в WordPress.

XML External Entities (WASC-43):

Має місце XXE при включенні ембедів. Уразливість наявна в файлі class-oembed.php.

При доступі до зовнішніх сайтів по протоколу oEmbed, з яких включені ресурси (відео, зображення та інші), в XML відповіді можна вказати зовнішні сутності (через тег ENTITY). Це дозволить читати довільні файли на сайті, а також проводити атаки на інші сайти. Для використання XXE уразливості, нападник повинен контролювати сайт, з якого включені ресурси.

Уразливі версії WordPress 3.5 і 3.5.1.

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема FPD при завантаженні файлів та XSS при інсталяції/оновленні плагінів або тем. Хоча дану XSS вони оформили як одну дірку, але це дві XSS уразливості (одна для плагінів, а інша для шаблонів).

Раніше я вже писав про XSS уразливості в WordPress.

Нещодавно, 01.07.2013, я дослідив дані Full path disclosure та Cross-Site Scripting уразливості.

Full path disclosure (WASC-13):

Має місце FPD при завантаженні файлів. Якщо не може закачатися файл в папку для закачки, то в повідомленні про помилку присутній повний шлях.

Cross-Site Scripting (WASC-08):

XSS має місце при інсталяції чи оновленні плагінів або тем. Якщо в імені файла чи папки плагіна або теми присутній XSS код, то він виконається при інсталяції чи оновленні цього плагіна або теми.

Уразливі версії WordPress 3.5.1 та попередні версії.