Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://porublyov.com.ua (хакером DaNG3R)
• http://istl.org.ua (хакерами з OZELTEAM) - 29.01.2009, зараз сайт вже виправлений адмінами
• http://shop-e.com.ua (хакером Bgh7)
• http://kroll.kiev.ua (хакером hack-ponchika)
• http://pobeda.org.ua (хакером AsSerT) - 22.01.2009, зараз сайт вже виправлений адмінами

31.07.2008

У листопаді, 20.11.2007, я знайшов Cross-Site Scripting (в тому числі persistent) уразливості на проекті http://freelancer.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

04.02.2009

XSS:

http://search.freelancer.com.ua

• alert(document.cookie)
• цікавий

XSS (persistent):

• цікавий

Код розміщується на сторінках сайта search.freelancer.com.ua в лівій колонці.

XSS:

http://freelancer.com.ua

• alert(document.cookie)
• цікавий
• html включення

Дані уразливості досі не виправлені.

В даній добірці експлоіти в веб додатках:

• CMSbright (id_rub_page) Remote SQL Injection Vulnerability (деталі)
• EasyClassifields 3.0 (go) Remote SQL Injection Vulnerability (деталі)
• WeBid 0.5.4 (item.php id) Remote SQL Injection Vulnerability (деталі)
• e107 Plugin BLOG Engine 2.2 (uid) SQL Injection Exploit (деталі)
• AJ HYIP ACME (readarticle.php artid) SQL Injection Vulnerability (деталі)
• AJ HYIP ACME (comment.php artid) SQL Injection Vulnerability (деталі)
• Reciprocal Links Manager 1.1 (site) SQL Injection Vulnerability (деталі)
• Coupon Script 4.0 (id) Remote SQL Injection Vulnerability (деталі)
• CS-Cart <= 1.3.5 (Auth Bypass) SQL Injection Vulnerability (деталі)
• aspWebAlbum 3.2 (Upload/SQL/XSS) Multiple Remote Vulnerabilities (деталі)

Нещодавно, 30.01.2009, досліджуючи Charset Inheritance в різних браузерах, коли я виявив Charset Inheritance уразливість в Internet Explorer 6 та Google Chrome, я знайшов Charset Remembering уразливість в Mozilla Firefox.

Дана уразливість призводить до можливості проведення XSS атак з UTF-7. Вона відрізняється від Charset Inheritance в тому, що кодова сторінка не наслідується, а вона повинна бути встановлена для сторінки вручну, в цьому вона схожа на XSS уразливість в Mozilla та Firefox, що я виявив в 2007 році (до речі, їх можна поєднати при атаках на gopher ресурси). Після чого стають можливими XSS атаки на дану сторінку.

При вказані користувачем для сторінки на сайті кодування (зокрема, UTF-7), браузер запам’ятовує дане кодування і використовує його в подальшому при всіх запитах до даної сторінки, якщо в ній не вказано кодування. Навіть після перезапуску браузеру - вказане кодування запам’ятовується доти, доки воно не буде змінено на інше. Що дозволить при вказанні кодування UTF-7 проводити XSS атаки (при відвіданні сторінок з XSS кодом або приховані атаки через frame/iframe).

Алгоритм атаки:

1. Заманити користувача на сторінку http://site/page.html (де не вказане кодування) і змусити його встановити UTF-7 кодування для даної сторінки.

2. Розмістити UTF-7 XSS код на http://site/page.html (як reflected або persistent) і атакувати користувача на даній сторінці.

3. Доки кодування UTF-7 для даної сторінки буде встановлене в браузері, можна буде повторно атакувати користувача.

Уразливі Mozilla Firefox 3.0.1 та всі попередні версії (та потенційно наступні версії).

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2008 року.

Лише спочатку додам нову інформацію щодо першого півріччя. Як я вияснив вже після публікації попереднього звіту, в першій половині 2008 року були проведені взломи ще деяких сайтів.

• DDoS атака на infoporn.org.ua - 03.2008 (по інформації infoporn.org.ua)
• DDoS атака на durdom.in.ua - 03.2008 (по інформації infoporn.org.ua)
• сайт www.shyr.sumy.org (хакером KatiL_Gakal) - 10.03.2008 (по моїй інформації)
• DDoS атака на infoporn.org.ua - 01.04.2008 (по інформації infoporn.org.ua)
• DDoS атака на ord-ua.com - 01.04.2008 (по інформації infoporn.org.ua)
• сайт www.skifiya.com.ua (хакером ZEYNI47) - 08.06.2008 (по моїй інформації)
• форум сайта www.valco.com.ua (хакером Yusuf KARA) - 19.06.2008 (по моїй інформації)
• сайт hotel-rudneva.org.ua (хакером 3RqU) - 23.06.2008 (по моїй інформації)
• сайт www.promag.in.ua (хакером 3RqU) - 25.06.2008 (по моїй інформації)
• розділ faq сайта cityline.sevstar.net (хакером S.H.T.) - 27.06.2008 (по моїй інформації)

Що на 10 атак більше, ніж зазначалося раніше - всього 28 атак. В порівнянні з аналогічним періодом 2007 року (де мало місце 6 атак) - зростання на 367%.

За другу половину минулого року хакери в Уанеті вели себе дуже активно. Якщо за другу половину 2007 року в Уанеті було проведено 10 атак на веб сайти, за першу половину 2008 року - 28 атак, то за другу половину 2008 року - вже 123 атаки на веб сайти. Що говорить про значне збільшення активности хакерів в минулому році.

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2008 року - за період з 01.07.2008 по 31.12.2008.

За цей час були взломані наступні сайти:

• сайт ukrzem.info (хакерами cRew) - 01.07.2008
• сайт www.mesothelioma-portal.info (хакером 3RqU) - 03.07.2008
• форум сайта pspclub.kiev.ua (хакером 3RqU) - 05.07.2008
• сайт www.ukrcredit.net (хакером XSPYD3X) - 05.07.2008 (по інформації void.ru)
• сайт www.zemukr.org.ua (хакером p@3t_b@y) - 07.07.2008
• форум сайта www.celebis.com (хакером DARK LORD) - 08.07.2008
• сайт ukrngi.com (хакером ufq) - 08.07.2008
• сайт mixs.org.ua (хакерами prokaznik і Traff!c) - 10.07.2008
• сайт www.gemjulia.com (хакером silver fox) - 12.07.2008
• сайт www.vgoru.org (хакером EL_MuCaHiD) - 13.07.2008
• сайт www.ganesha-bar.com (хакером MadBuQ) - 14.07.2008
• сайт kirovograd.org.ua (хакером h242) - 20.07.2008
• сайт ehard.com.ua (хакером DESPOT) - 24.07.2008
• сайт www.venezia.ifrastudio.com (хакерами X-TRO і KULTEKIN) - 24.07.2008
• сайт www.a2k.org.ua (хакером Ans) - 26.07.2008
• сайт artzone.org.ua (хакером 3RqU) - 26.07.2008
• форум сайта www.brodyaga.sumy.ua (хакером HUSEYINGAZI) - 27.07.2008
• сайт 4u.com.ua (хакером KARTAL) - 27.07.2008
• сайт www.binom.net.ua (хакерами XALIL і AINKA) - 28.07.2008
• сайт www.salon.dn.ua (хакером AdReNaLin) - 28.07.2008
• сайт electronika.kiev.ua (хакером DraKuLa) - 30.07.2008
• сайт www.it-club.mk.ua (хакером 3RqU) - 30.07.2008
• сайт amplituda.net (хакером LaZuRiX) - 30.07.2008
• сайт helpanimals.org.ua (хакером BlooDy) - 30.07.2008
• сайт fifa.at.ua (хакером Smerч) - 04.08.2008
• сайт www.parsuna.com.ua (хакером 3RqU) - 05.08.2008
• сайт marx.org.ua (хакером MadBug) - 06.08.2008
• сайт www.plazan.com.ua (хакером XUGURX) - 09.08.2008
• сайт www.4woman.kiev.ua (хакером FeDeReR) - 10.08.2008
• сайт www.kam-pod.net (хакером 3RqU) - 10.08.2008
• сайт www.zigmund.kiev.ua (хакером ProwL) - 10.08.2008
• сайт praktika.net.ua (хакером David Webb) - 11.08.2008
• сайт www.buk.kiev.ua (хакером Bgh7) - 11.08.2008
• сайт www.forsex.org.ua (хакером FeDeReR) - 14.08.2008
• сайт www.joomlao.com (хакерами Huseyin і Ugur) - 14.08.2008
• сайт index.ua (хакером gf) - 14.08.2008 (по інформації void.ru)
• DDoS атака на delo.ua (російськими хакерами) - 14.08.2008 (по інформації ain.com.ua)
• сайт m-centr.ho.ua (хакерами THE.CAYLAK, VeZiR.04 і THE.bilen) - 17.08.2008
• сайт you-buy-viagra.com (хакером GenthOnX) - 18.08.2008
• сайт www.premierpetdirect.com (хакером ZoRRoKiN) - 19.08.2008
• сайт www.markus.com.ua (хакерами CrAcKeR-TrImI і CN-Security Crew) - 19.08.2008
• сайт buktopuha.org (хакером 3RqU) - 19.08.2008
• сайт biotech.ntu-kpi.kiev.ua (хакером XUGURX) - 21.08.2008
• сайт aist.ntu-kpi.kiev.ua (хакером XUGURX) - 22.08.2008
• сайт ssa.ntu-kpi.kiev.ua (хакером XUGURX) - 24.08.2008
• сайт www.mvk.if.ua (хакером DumansaL) - 25.08.2008
• сайт kursach.com.ua (хакером reDMin Fuck System) - 25.08.2008
• сайт www.vistrya.if.ua (хакером DumansaL) - 25.08.2008
• сайт www.sadykov.mk.ua (хакером F34RL355) - 25.08.2008
• сайт mtk.kiev.ua (хакерами DERHUMAN і DESPOT) - 25.08.2008
• сайт baxi.org.ua (хакером BaDDaRk) - 26.08.2008
• сайт www.ii.npu.edu.ua (хакером PsychO.zZ) - 29.08.2008
• форум сайта www.dv-gazeta.info (хакером SieRPicH) - 09.2008
• сайт www.iuf.npu.edu.ua (хакером Nicomedian) - 01.09.2008
• сайт www.idn.npu.edu.ua (хакером c0derLine) - 04.09.2008
• сайт www.iio.npu.edu.ua (хакером c0derLine) - 04.09.2008
• сайт uajazz.com (хакерами S4t4n1c_s0uls) - 07.09.2008
• сайт lubny.com.ua (хакером CMD) - 08.09.2008
• сайт indigo.org.ua (хакером GuardyaN) - 08.09.2008
• форум сайта it-club.mk.ua (хакером HaCkSpY) - 09.09.2008
• сайт www.floragrand.com.ua (хакерами S4t4n1c_s0uls) - 10.09.2008
• сайт mebelmarket.net (хакерами S4t4n1c_s0uls) - 12.09.2008
• сайт ycnex.kiev.ua (хакерами HipnotiyhC і Ziyaretci) - 19.09.2008
• форум сайта www.iasa.org.ua (хакером BuGiS) - 19.09.2008
• сайт www.dn.npu.edu.ua (хакером c0derLine) - 19.09.2008
• форум сайта areca.com.ua (хакером Yusuf KARA) - 20.09.2008
• сайт www.avihuja.info (хакером DEATH HACKER) - 25.09.2008
• сайт www.buddyhollytribute.info (хакером DEATH HACKER) - 26.09.2008
• сайт dbng.info (хакером DEATH HACKER) - 26.09.2008
• сайт creatautomation.com (хакером deli61) - 26.09.2008
• сайт www.arcgrants.info (хакером DEATH HACKER) - 26.09.2008
• сайт wap.mydinamit.com (хакером KinG) - 27.09.2008
• сайт www.forum.biotint.com (форум сайта biotint.com) (хакером novice) - 28.09.2008
• сайт www.compcenter.com.ua (хакером MEFTUN) - 28.09.2008
• сайт www.newtest.provereno.com.ua (хакерами SpySecurityTeam) - 28.09.2008
• сайт lisichansk.com.ua (хакерами MeXe, BLaSTER і 3RqU) - 29.09.2008
• сайт epicrise.lisichansk.com.ua (хакером c@p@noglu) - 10.2008
• сайт zbvpsb.com (хакером MEFTUN) - 04.10.2008
• сайт www.tenderconsulting.com.ua (хакерами ThE.BiLeN та друзі) - 04.10.2008
• сайт team911.kiev.ua (хакером DeLeTe) - 09.10.2008
• сайт cyouth.com.ua (хакером Beyaz_Hacker) - 13.10.2008
• сайт globus.in.ua (хакером ISHAK ALGERIa) - 14.10.2008
• сайт b-c1.com (хакером GHoST61) - 15.10.2008
• форум сайта sisek.net.ua (хакером ProwL) - 17.10.2008
• форум сайта kagarlyk-city.org.ua (хакером 3RqU) - 18.10.2008
• сайт www.krayany.lubny.com.ua (хакером Pit10) - 21.10.2008
• сайт www.old.biotint.com (хакером Snik) - 22.10.2008
• сайт www.jurist.org.ua (хакером aLeSha) - 22.10.2008
• сайт hopeis.org (хакером HOSAM ALI) - 23.10.2008
• сайт www.iia.com.ua (хакером ProwL) - 29.10.2008
• сайт svsystems.com.ua (хакером 3RqU) - 31.10.2008
• сайт gotel.lisichansk.com.ua (хакером c@p@noglu) - 31.10.2008
• сайт wxd.com.ua (хакером SheKkoLik) - 01.11.2008
• сайт anycool-ua.com (хакером BLacK_Wh!TE) - 02.11.2008
• сайт realmoon.org (хакером yabas38) - 03.11.2008
• сайт megayalta.com (хакером 3RqU) - 07.11.2008
• сайт elis.com.ua (хакером MecTruy) - 07.11.2008
• сайт pokupka.dp.ua (хакером S4LIX3M) - 11.11.2008
• сайт vgorodke.com.ua (хакером islam_Bey) - 12.11.2008
• сайт www.svitkomfortu.ua (хакером Player) - 12.11.2008
• сайт site.cv.ua (хакером Cimch3) - 16.11.2008
• сайт annabublik.com.ua (хакером F34RL355) - 19.11.2008
• сайт black.net.ua (хакером 3RqU) - 20.11.2008
• сайт www.panbud.com.ua (хакером hr0m) - 26.11.2008
• сайт www.svitkomfortu.ua (хакером Player) - 27.11.2008
• сайт zelezok.net (хакерами з 1923TurK-Grup) - 27.11.2008
• сайт www.ivaos.od.ua (хакером DarK_SovaLy3) - 28.11.2008
• сайт www.neoviz.net (хакером ALi_EREN) - 29.11.2008
• сайт box.rv.ua (хакером hackTHEsystem) - 29.11.2008
• сайт s-pchelove.com (хакером QeeQ) - 29.11.2008
• сайт mountrest.org.ua (хакером QeeQ) - 30.11.2008
• сайт souspilnist.org (хакером QeeQ) - 01.12.2008
• сайт mayka.dn.ua (хакером HighLaNDeR) - 01.12.2008
• сайт www.terminal-tsc.com (хакером Assassin) - 04.12.2008
• сайт www.ukrmebli.com (хакером Zyoma) - 10.12.2008
• сайт fastrackids.com.ua (хакерами Kiproo і CrazY) - 11.12.2008
• DDoS атака на www.from-ua.com - 15.12.2008 (по інформації ain.com.ua)
• сайт avtopalitra.com.ua (хакером aLeSha) - 15.12.2008
• сайт board.fellini.net.ua (хакером 3RqU) - 18.12.2008
• сайт www.manometr.net.ua (хакером KaTLiaMCi06) - 21.12.2008
• сайт www.kvestclub.com.ua (хакером aLeSha) - 21.12.2008
• сайт www.e-pokupka.kiev.ua (хакером DarK_SovaLy3) - 26.12.2008
• zvcaves.kiev.ua (хакером TheWayEnd) - 30.12.2008

Рейтинг хакерів (TOP-10):

1. хакер 3RqU (за взлом 13 сайтів)
2. хакер XUGURX (за взлом 4 сайтів)
3. хакер DEATH HACKER (за взлом 4 сайтів)
4. хакер QeeQ (за взлом 3 сайтів)
5. хакер ProwL (за взлом 3 сайтів)
6. хакер S4t4n1c_s0uls (за взлом 3 сайтів)
7. хакер aLeSha (за взлом 3 сайтів)
8. хакер c0derLine (за взлом 3 сайтів)
9. хакер c@p@noglu (за взлом 2 сайтів)
10. хакер F34RL355 (за взлом 2 сайтів)

Найближчим часом підведу підсумки активності хакерів в Уанеті за 2008 рік.

P.S.

Вже після публікації даного звіту я дізнався про атаки на сайти delo.ua і zvcaves.kiev.ua (в 2008 році). Які додав до переліку похаканий сайтів.

Нещодавно була виявлена нова можливість виконання коду в Google Chrome. Атака відбувається через Internet Explorer. Дана уразливість є продовженням попередньої уразливості в Google Chrome, в ній зроблена підтримка IE6 і IE7 (бо попередня атака працювала тільки на IE8).

Уразливі версії: Google Chrome 1.0.154.46 та попередні.

При переході по лінці з URI chromehtml в IE (або через frame/iframe) відбувається запуск Chrome з можливістю одночасного виконання команди (наприклад, запуску довільного додатку).

Дана уразливість перевірена (автором експлоіта) в Internet Explorer 6 й Internet Explorer 7 і Google Chrome 1.0.154.46. В мене на IE6 вона не працює, як і попередня.

• Google Chrome 1.0.154.46 (ChromeHTML://) Parameter Injection PoC (деталі)

В даній добірці уразливості в веб додатках:

• SQL Injection Flaw in Oracle Workspace Manager (деталі)
• Oracle audit issue with XMLDB ftp service (деталі)
• Oracle RDBMS TNS Data packet DoS (деталі)
• ITech Classifieds Multiple Remote Vulnerabilities (деталі)
• Domain Trader v2.0 Xss Vulnerable (деталі)
• The Everything Development System - SQL Injection (деталі)
• Youtube Clone Xross Site Scripting (load_message.php) (деталі)
• Textpattern 4.0.5 Multiple Security Vulnerabilities (деталі)
• Astrosoft HelpDesk Multiple XSS (деталі)
• Openads 2.4.2 vulnerability fixed (деталі)