Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Calendar-Script, Eco-Annu та Related Posts Exit Popup. Для котрих з’явилися експлоіти. Calendar-Script - це органайзер і календар, Eco-Annu - це плагін для створення карти на базі Google Maps, Related Posts Exit Popup - це плагін для виведення попапу з пов’язаними постами при закритті сторінки сайта.

• WordPress Calendar-Script Blind SQL Injection (деталі)
• WordPress Eco-Annu SQL Injection (деталі)
• WordPress Related Posts Exit Popup SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://grani-t.info - інфекція була виявлена 18.11.2012. Зараз сайт входить до переліку підозрілих.
• http://hat.com.ua - інфекція була виявлена 14.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://games.com.ua - інфекція була виявлена 13.11.2012. Зараз сайт входить до переліку підозрілих.
• http://music4us.com.ua - інфекція була виявлена 17.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://ffu.biz.ua - інфекція була виявлена 17.10.2012. Зараз сайт не входить до переліку підозрілих.

З цього тижня я запустив в комерційну експлуатацію свій новий сервіс. До проведення аудитів безпеки і пентестів, перевірки виправлень уразливостей (якщо клієнт сам виправляє) та виправлення уразливостей (якщо клієнт замовляє виправлення), я додав послуги по захисту від шкідливого коду на веб сайтах.

Всі бажаючі можуть скористатися наступними сервісами:

• Інформування про секюріті інциденти на веб сайтах.
• Видалення шкідливого коду (malware).

Цілодобове слідкування за безпекою ваших сайтів забезпечує моя система SecurityAlert. Перевірка відбувається автоматизовано і при наявності будь-яких секюріті проблем на сайті, ви будете проінформовані по електронній пошті.

Тому, якщо ви хочете слідкувати за безпекою свого сайту (щоб виявляти взломи, інфікування шкідливим кодом та інші позаштатні ситуації), або якщо вам потрібно видалити шкідливий код з сайту, то ви завжди можете замовити дані послуги.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах UK Cookie, Hitasoft FLV Player та Kakao Theme. Для котрих з’явилися експлоіти. UK Cookie - це плагін для сайтів в Великобританнії, де з 26.05.2012 почали діяти штрафи стосовно cookies, Hitasoft FLV Player - це FLV-плеєр, Kakao Theme - це тема движка.

• Reflective XSS in uk cookie plugin (деталі)
• WordPress Hitasoft FLV Player 1.1 SQL Injection (деталі)
• WordPress Kakao Theme SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Серед різних секюріті плагінів для WordPress, про деякі з них я вже розповідав, як то Сканер атак для WordPress, існує такий плагін як Wordfence Security.

Раніше я вже писав про уразливості в Wordfence Security.

Сам плагін Wordfence Security для WordPress є безкоштовним. Але є додаткові платні послуги, які можна придбати на офіційному сайті. Для цього на сайті www.wordfence.com потрібно отримати Wordfence API Key, який ділиться на безкоштовну та три платні версії (пакети послуг).

Wordfence представляє собою хмарний сервіс, реалізований у вигляді плагіна для WP. Він має чимало можливостей (а при купівлі преміум пакета - ще більше), з яких виділю головні.

• Захист від атак (firewall), в тому числі від Brute Force атак. Як раз в firewall модулі я знайшов вищезгадані уразливості в цьому плагіні.
• Антивірусний сканер (сканування malware на сайтах).
• Сканер шкідливих URL.
• Живий аналіз трафіку з геолокацією.
• Перевірка та виправлення ядра, тем і плагінів движка (від вірусів та бекдорів).

По наявності функції сканування malware на сайтах цей сервіс є безпосереднім конкурентом моїй Web VDS. По функції захисту від атак він подібний до вищезгаданого WordPress Attack Scanner. А по функції виявлення бекдорів він подібний до WordPress File Monitor та багатьох інших плагінів до WP, про які я вже писав.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://fmg.amu.gov.ua (хакером Margu) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.irums.amu.gov.ua (хакером Margu) - 26.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://fmg.amu.edu.ua (хакером Margu) - 26.08.2012, зараз сайт вже виправлений адмінами
• http://www.lab.org.ua (хакером I.ExTaZY)
• http://hacked.at.ua (хакером Mc_Hack) - у цього сайта достатньо влучна назва домена

Цього року я вже писав про численні уразливості в Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. А в жовтні були виявлені та оприлюднені дві Cross-Site Scripting уразливості в Akismet. Які стосуються невідомої версії плагіна (потенційно останньої версії). Вони були знайдені Nafsh.

Раніше я вже писав про XSS уразливість в swfupload в WordPress.

XSS:

В плагіні в скрипті legacy.php через параметр s та в скрипті admin.php через параметр url можна проводити XSS атаки. При цьому обходячи існуючі захисні фільтри.

• WordPress Akismet Cross Site Scripting (http://packetstormsecurity.org/files/117063/WordPress-Akismet-Cross-Site-Scripting.html)

При цьому автор зазначає, що атака відбувається при відправленні POST запитів до legacy.php і admin.php. Але при зверненні до цих скриптів (будь то GET чи POST запит), виводиться повідомлення про помилку (з FPD, про які я писав раніше). І автор наводить експлоіт для XSS в legacy.php - ясна річ неробочий (з вищенаведеної причини). Тому дані уразливості викликають сумніви, як враховуючи те, що атакуючі запити потрібно посилати іншим скриптам, так і наявність фільтрації вказаних параметрів (явно фейкові дірки).

Уразливі WordPress 3.x та попередні версії, що постачаються з вразливими версіями Akismet.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах AJAX post Search, FoxyPress та Spider WordPress. Для котрих з’явилися експлоіти. AJAX post Search - це пошуковий плагін, FoxyPress - це e-commerce плагін для створення онлайн-магазина, Spider WordPress - це плагін для створення каталогу продуктів.

• Sql injection in AJAX post Search wordpress plugin (деталі)
• WordPress FoxyPress 0.4.2.5 XSS / CSRF / SQL Injection (деталі)
• WordPress Catalog HTML Injection / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mp3searcher.mk.ua - інфекція була виявлена 12.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://1dowladss.net.ua - інфекція була виявлена 14.11.2012. Зараз сайт входить до переліку підозрілих.
• http://firstline.com.ua - інфекція була виявлена 18.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://theodosia.at.ua - інфекція була виявлена 04.09.2012. Зараз сайт входить до переліку підозрілих.
• http://knopka.ck.ua - інфекція була виявлена 01.10.2012. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах My Question, A/B Test та Easy Webinar. Для котрих з’явилися експлоіти. My Question - це плагін для створення опитувань, A/B Test - це плагін для A/B тестування, Easy Webinar - це плагін для створення онлайн-семінарів.

• XSS in answer my question plugin (деталі)
• WordPress Abtest Directory Traversal (деталі)
• WordPress Easy Webinar Blind SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.