Websecurity - Веб безпека

11.04.2013

У січні, 31.01.2013, я знайшов Full path disclosure, Cross-Site Scripting та Content Spoofing уразливості в темі Slash WP для WordPress. Про що найближчим часом повідомлю розробникам шаблону.

Раніше я вже писав про уразливості в темі Chocolate WP для WordPress від цих розробників.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

20.06.2013

Full path disclosure (WASC-13):

http://site/wp-content/themes/slash-wp/

FPD в index.php та інших php-файлах в папці плагіна та підпапках.

Cross-Site Scripting (WASC-08):

В темі використовується jPlayer 2.1.0 та JW Player 5.8.2011, про уразливості в яких я вже писав.

http://site/wp-content/themes/slash-wp/js/jplayer/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/slash-wp/js/jplayer/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/slash-wp/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/slash-wp/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

На деяких сайтах з цією темою флешка JW Player є, на інших немає. Згідно з описом теми, JW Player підтримується темою, але не входить в стандартну поставку (лише jPlayer). Але його можна встановити окремо, що і роблять деякі власники сайтів.

Content Spoofing (WASC-12):

Про Content Spoofing уразливості та про інші XSS уразливості в JW Player та в jPlayer, ми можете прочитати у відповідних записах.

Уразливі всі версії теми Slash WP для WordPress.

Сьогодні вийшла нова версія програми DAVOSET v.1.0.6. В новій версії:

• Додав нові сервіси в list_full.txt.
• Покращив визначення сторінки при відправленні запитів.
• Виправив баг з ітератором $i при тестуванні списку.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

У версії 1.0.6 я додав list_full.txt, що окрім 20 сервісів з основного списку, має також 10 додаткових сервісів з AoF уразливостями.

Скачати: DAVOSET_v.1.0.6.rar.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://onika-tattoo.in.ua - інфекція була виявлена 12.06.2013. Зараз сайт входить до переліку підозрілих.
• http://ecopulse.org.ua - інфекція була виявлена 28.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://titrov.net - інфекція була виявлена 03.06.2013. Зараз сайт входить до переліку підозрілих.
• http://dosk.kiev.ua - інфекція була виявлена 06.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://kovroline.com.ua - інфекція була виявлена 04.04.2013. Зараз сайт не входить до переліку підозрілих.

Розмістив на сайті DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення атак на інші сайти (зокрема DoS і DDoS атак). Мій інструмент стане в нагоді при тестуванні Abuse of Functionality уразливостей і для доведення Інтернет спільноті небезпеки цих дірок. Що я намагався робити в своїх статтях в 2010 році та в описах уразливостей (починаючи з 2007 року), коли звертав увагу на подібні уразливості.

У липні 2010 року я розробив першу версію DAVOSET, а 18.07.2010 випустив версію 1.0.5, яку сьогодні й розмістив на сайті. Це остання версія мого інструменту DAVOSET. Після того я вже не займався його розробкою. Але зараз я планую продовжити розробку програми і випустити нові версії.

Три роки я тримав цей інструмент приватно, але зараз публікую його у відкритий доступ. Щоб всі бажаючи могли протестувати Abuse of Functionality уразливості на численних сайтах.

Так як в більшості випадків власники сайтів та веб розробники ігнорують і не виправляють їх. Що може бути використано для DoS атак як на інші сайти, так і на самі сайти з AoF уразливостями, про що я писав у статті Використання сайтів для атак на інші сайти.

У версії 1.0.5 присутній список list.txt з 20 уразливими сервісами на різних сайтах (про які я писав в новинах). Також існує більший список уразливих сервісів, до якого увійшли сайти, про які я писав в новинах вже після виходу цієї версії DAVOSET, і який я планую оприлюднити в наступній версії програми.

Скачати: DAVOSET_v.1.0.5.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах ProPlayer, Flagallery-Skins та Spider Catalog. Для котрих з’явилися експлоіти. ProPlayer - це медіа плеєр, Flagallery-Skins - це плагін з шаблонами галерей, Spider Catalog - це плагін для створення каталогу.

• WordPress ProPlayer Plugin SQL Injection (деталі)
• Wordpress Flagallery-Skins SQL Injection (деталі)
• Spider Catalog 1.4.6 Cross Site Scripting / Path Disclosure / SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://manadm.gov.ua (хакером Dz-BlaCk) - 14.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.turadm.gov.ua (хакером Dz-BlaCk) - 14.04.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zapravka.lutsk.ua (хакером Hmei7) - 23.02.2013, зараз сайт вже виправлений адмінами
• http://pano-stairs.od.ua (хакерами HUNTER і Ayyildiz Tim)
• http://summitbiz.com.ua (хакером AnonGhost) - 05.06.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://kivadm.gov.ua - інфікований державний сайт - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://altamira.com.ua - інфекція була виявлена 06.06.2013. Зараз сайт входить до переліку підозрілих.
• http://qww.com.ua - інфекція була виявлена 09.06.2013. Зараз сайт не входить до переліку підозрілих.
• http://beezy.at.ua - інфекція була виявлена 09.06.2013. Зараз сайт входить до переліку підозрілих.
• http://global-katalog.com - інфекція була виявлена 11.06.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Securimage, Newsletter та wp-FileManager. Для котрих з’явилися експлоіти. Securimage - це капча-плагін, Newsletter - це плагін для створення емайл розсилань, wp-FileManager - це плагін для управління файлами.

• WordPress Securimage 3.2.4 Cross Site Scripting (деталі)
• Wordpress Newsletter 3.2.6 Cross Site Scripting (деталі)
• WordPress wp-FileManager File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні AntiVirus для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/antivirus/uninstall.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA даним плагіном та методи обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі AntiVirus for WordPress 1.0 та попередні версії. Версії від 1.1 до 1.3.4 все ще вразливі до Security bypass, але FPD була виправлена шляхом видалення uninstall.php в AntiVirus 1.1.

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні Exploit Scanner для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/exploit-scanner/exploit-scanner.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA різними версіями даного плагіна та методи їх обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі Exploit Scanner для WordPress 1.3.3 та попередні версії.