Websecurity - Веб безпека

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в першому півріччі 2008 року.

За першу половину поточного року хакери в Уанеті ведуть себе значно активніше ніж в аналогічному періоді 2007 року. 18 атак на веб сайти проти 6 - це в три рази більша активність (зростання на 200%). І це на одну атаку більше, 18 проти 17, ніж за весь 2007 рік (зростання на 5,9%).

У даному звіті подана інформація про діяльність хакерів в Уанеті за шість місяців 2008 року - за період з 01.01.2008 по 30.06.2008.

За цей час були взломані наступні сайти:

• DDoS атака на сервер, де розміщені сайти www.helsinki.org.ua, www.khpg.org (www.khpg.org.ua) та maidan.org.ua (невідомими хакерами) - 10.12.2007 (по інформації ain.com.ua) - про дану атаку я довідався вже на початку цього року, тому й вона занесена в звіт за 2008 рік
• сайт Профсоюзу металургів та гірняків України pmgu.dp.ua (хакером XSPYD3X) - 04.01.2008 (по інформації void.ru)
• Сайт Федерації UFSA www.ukrstrong.com (турецькими хакерами) - 16.01.2008 (по інформації exo.at.ua)
• Сайт Одеської мерії www.odessa.ua (пійманим СБУ хакером) - 02.2008 (по інформації e-news.com.ua)
• сайт Afield (Поле надії) afield.org.ua (хакером FiRSTLOVE) - 16.02.2008 (по інформації void.ru)
• форум сайта finexpert.sumy.ua (хакером KatiL_Gakal) - 10.03.2008 (по моїй інформації)
• форум сайта mister-rich.com (невідомим хакером) - 17.03.2008 (по інформації mister-rich.com)
• сайт Сімферопольського Автотранспортного Технікуму satt.crimea.ua (хакером XSPYD3X) - 07.05.2008 (по інформації void.ru)
• сайт Horse Travel www.horse-travel.com.ua (хакером devil24) - 25.05.2008 (по моїй інформації)
• сайт IATP kino.iatp.org.ua (хакерами з MassiF TeaM) - 30.05.2008 (по моїй інформації)
• сайт IATP futureleaders.iatp.org.ua (хакером Hechizero) - 30.05.2008 (по моїй інформації)
• сайт Всесвітнього клубу одеситів www.odessitclub.org (тричі атакувався хакерами антисемітами) - 08.06.2008 (по інформації www.od-news.com)
• сайт uni-form.com.ua (хакерами з PR0H4CK3RZ) - 19.06.2008 (по моїй інформації)
• сайт Вільний простір chizar.org.ua (хакером 3RqU) - 24.06.2008 (по моїй інформації)
• сайт Факультету Iнформатики та Обчислювальної Технiки КПІ fiot.ntu-kpi.kiev.ua (хакером secret) - 28.06.2008 (по інформації void.ru)
• сайт www.gigabyte.net.ua (хакером START) - 29.06.2008 (по моїй інформації)

Рейтинг хакерів:

1. XSPYD3X (що взломав pmgu.dp.ua та satt.crimea.ua) - він є найбільш активним хакером першого півріччя в Уанеті
2. невідомі хакери, що провели DDoS атаку одразу на три сайти (www.helsinki.org.ua, www.khpg.org та maidan.org.ua)
3. хакери антисеміти (що на протязі трьох діб провели три атаки на www.odessitclub.org) - вони є найбільш наполегливими хакерами першого півріччя в Уанеті
4. secret, що задав жару КПІшнікам
5. пійманий СБУ хакер (що взломав www.odessa.ua) - він є єдиним реальним хакером, якого СБУ піймали в першому півріччі цього року
6. турецькі хакери (що взломали www.ukrstrong.com)
7. devil24 (що взломав www.horse-travel.com.ua)
8. START (що взломав www.gigabyte.net.ua)
9. хакери з PR0H4CK3RZ (що взломали uni-form.com.ua)
10. FiRSTLOVE (що взломав afield.org.ua)
11. Hechizero (що взломав futureleaders.iatp.org.ua)
12. хакери з MassiF TeaM (що взломали kino.iatp.org.ua)
13. 3RqU (що взломав chizar.org.ua)
14. KatiL_Gakal (що взломав форум сайта finexpert.sumy.ua)
15. невідомий хакер (що взломав форум сайта mister-rich.com)

Наприкінці року підготую звіт за друге півріччя, а в січні підведу підсумки за 2008 рік.

В даній добірці уразливості в веб додатках:

• Security Advisory: SAP Internet Graphics Service (IGS) Remote Buffer Overflow (деталі)
• Security Pre-Advisory: SAP Internet Graphics Service (IGS) Remote Arbitrary File Removal (деталі)
• Security Pre-Advisory: SAP Internet Graphics Service (IGS) Undocumented Features (деталі)
• Metyus Forum Portal v1.0 (деталі)
• sBlog 0.7.3 Beta XSS Vulnerabilitie (деталі)
• PHPSysInfo Index.php Cross Site Scripting (деталі)
• PhpHostBot (login_form) Remote File Inclusion (деталі)
• Dependet Forums (Username Field) Remote SQL Injection (деталі)
• BellaBook Admin Bypass/Remote Code Execution (деталі)
• SQL injection vulnerability in phpCC (деталі)

Сьогодні я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в системі Smeego. Дірки я перевірив на одному сайті на цьому движку. Але про це повідомити розробникам системи не вийде, тому що розробка Smeego була нещодавно припинена.

Insufficient Anti-Automation:

Уразливість на сторінці реєстрації (http://site/index.php? name=Your_Account&op=new_user)

Smeego Insufficient Anti-automation.html

XSS:

POST запит на сторінці http://site/index.php?name=Your_Account &op=new_user

"><script src=http://site/script.js>В полях: gfx_check та random_num.

Smeego XSS.html

Уразливі потенційно всі версії Smeego CMS (остання Smeego 1.1 та попередні версії).

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://kirovograd.org.ua (хакером h242)
• http://www.celebis.com/forum/ (хакером DARK LORD) - взломаний форум сайта
• http://www.luk.com.ua (хакерами SecretlyX та BeLa) - сайт вже відновлений, лише на сайті залишилася сторінка дефейсу (Hackers.html)
• http://chizar.org.ua (хакером 3RqU) - сайт був похаканий орієнтовно 24.06.2008, зараз він вже виправлений адміном
• http://futureleaders.iatp.org.ua (хакером Hechizero) - сайт зараз не працює, останній раз він працював 30.05.2008 (за даними Гугла), коли орієнтовно і був похаканий

10.08.2007

Вчора, 09.08.2007, я знайшов Cross-Site Scripting уразливість на проекті proisk.ru (файлова пошукова система). Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

02.08.2008

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

В даній добірці експлоіти в веб додатках:

• E RESERV 2.1 (index.php ID_loc) SQL Injection Vulnerability (деталі)
• Web Calendar <= 4.1 Blind SQL Injection Exploit (деталі)
• YouTube Clone Script (spages.php) Remote Code Execution Exploit (деталі)
• Joomla Community Builder <= 1.0.1 Blind SQL Injection Vulnerability (деталі)
• Joomla Component JPad 1.0 SQL Injection Vulnerability (postauth) (деталі)
• miniBB 2.2 (CSS/SQL/FPD) Multiple Remote Vulnerabilities (деталі)
• PostNuke Module PostSchedule (eid) SQL Injection Vulnerability (деталі)
• PostNuke Module pnFlashGames <= 2.5 SQL Injection Vulnerabilities (деталі)
• Siteman 2.x (EXEC/LFI/XSS) Multiple Remote Vulnerabilities (деталі)
• Elite Forum FULL HTML ENjector (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа взломаних українських сайтів.

П’ятірка похаканих сайтів в Уанеті:

• http://www.a2k.org.ua (хакером Ans) - сайт був похаканий 26.07.2008 (або раніше) і зараз це вже виправлено. Але враховучи, що на сайті розміщена велика кількість зовнішніх лінок (з використанням “чорних” SEO методів), я можу сказати, що сайт знову був похаканий (SEOwned) вже іншим хакерами (причому давно). До речі, каталог сайта http://www.a2k.org.ua/catalog/ похаканий AnGe78 з ISLAMIC TEAM (причому також давно)
• http://ehard.com.ua (хакером DESPOT)
• http://www.vgoru.org (хакером EL_MuCaHiD)
• http://artzone.org.ua (хакером 3RqU) - сайт був похаканий орієнтовно 26.07.2008. Зараз він не працює, лише видає Full path disclosure уразливість
• http://www.salon.dn.ua (хакером AdReNaLin)

Додам, що раніше я вже писав про взлом сайту a2k.org.ua в підсумках хакерської активності в Уанеті.

23.05.2008

В СУБД Oracle виявлені новий клас уразливостей - Lateral-атаки на впровадження SQL.

Можлива SQL-ін’єкція в неконтрольованих процедурах, використовуючи, наприклад, зміну формату виведення дати через ALTER SESSION.

• A New Class of Vulnerability in Oracle: Lateral SQL Injection (деталі)

01.08.2008

Додаткова інформація.

• Lateral SQL Injection Revisited - No Special Privs Required (деталі)

В даній добірці уразливості в веб додатках:

• Cross-site Scripting (XSS) / HTML injection on Webbler CMS admin login page (2) (деталі)
• Cross-site Scripting (XSS) / HTML injection on Webbler CMS admin login page (1) (деталі)
• printenv.pl (all versions) cross site scripting Vulnerability (деталі)
• dbdisplay.pl (all versions) Remote execut Vulnerability (деталі)
• SAP Internet Communication Framework (BC-MID-ICF) Vulnerability (деталі)
• SAP Internet Graphics Server XSS and Heap Overflow (деталі)
• Mitridat Form Processor Pro XSS (деталі)
• cPanel 10.9.1 XSS (деталі)
• FORMfields Secure and FORMfields AdMan vulnerabilities (деталі)
• SQL injection vulnerability in Fullaspsite ASP Hosting Site (деталі)