Websecurity - Веб безпека

В даній статті я розповім вам про використання редиректорів в різних браузерах для проведення Cross-Site Scripting атак. Які можуть проводитися з метою викрадення кукісів, або доступу до сторінок веб сайта для проведення різноманітних просунутих атак (у випадку коли є зв’язок між кодом виконуємим через редиректор і сайтом), а також з метою проведення фішинг атак та виконання JavaScript коду (у випадку коли такого зв’язку немає).

Окрім того, що редиректори дозволяють редиректити на зловмисні та фішинг сайти (що є Redirector уразливістю), є також інші варіанти атак з їх використанням. Зокрема в своїх статтях Пекло редиректорів та Пекельний вогонь для редиректорів я писав про використання редиректорів для DoS атак. Ще в січні 2008 року я запланував написати статтю про різноманітні атаки з використанням редерикторів (планую зробити антологію атак через редиректори), що я обов’язково зроблю, але зараз розповів про одну з цих атак - про XSS атаки через редиректори.

Існують два типа редиректорів (серверних): location-header, що працюють через заголовок Location, та refresh-header, що працюють через заголовок Refresh.

В різних браузерах (через уразливості в них) можливі XSS атаки в різних редиректорах. Атаки відбуваються через редирекцію на javascript: URI та data: URI.

Атака №1

Як я писав про Cross-Site Scripting уразливості в Mozilla, Internet Explorer, Opera та Chrome, в браузерах Mozilla 1.7.x (та попередні версії), Mozilla Firefox 3.0.8 (та попередні версії), Internet Explorer 6 (та попередні версії, але не IE7 та IE8), Opera 9.52 (та попередні й наступні версії) та Google Chrome 1.0.154.48 (та попередні й наступні версії) можлива XSS атака через refresh-header редиректори. Атака відбувається при редирекції на javascript: URI.

Методика атаки:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді заголовок Refresh:
Refresh: 0; URL=javascript:alert(document.cookie)
Код спрацює в контексті даного сайту.

Дана уразливість в браузерах може використовуватися для проведення reflected XSS атак.

Атака №2

Як я писав про Cross-Site Scripting уразливості в Mozilla, Firefox та Chrome, в браузерах Mozilla 1.7.x (та попередні версії), Mozilla Firefox 3.0.12 (та попередні й наступні версії) та Google Chrome 1.0.154.48 (та попередні й наступні версії) можлива XSS атака через refresh-header редиректори. Атака відбувається при редирекції на data: URI (з або без використання base64).

Методика атаки:

При запиті до скрипта на сайті:
http://site/script.php?param=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b
Що поверне у відповіді заголовок refresh і код виконається у браузері:
refresh: 0; URL=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b

Так як в браузерах Firefox 3.0.12 і Google Chrome код спрацює не в контексті даного сайту, то таким чином до кукісів не дістатися, зате це можна зробити в старій Mozilla. Дана уразливість в браузерах (сучасних) може використовуватися для проведення фішинг атак та виконання JavaScript коду.

Атака №3

Як я писав про Cross-Site Scripting уразливості в Firefox та Opera, в браузерах Mozilla Firefox 3.0.12 (та попередні й наступні версії) та Opera 9.52 (та попередні й наступні версії) можлива XSS атака через location-header редиректори. Атака відбувається при редирекції на data: URI (з або без використання base64).

Методика атаки:

При запиті до скрипта на сайті:
http://site/script.php?param=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2b
Що поверне у відповіді заголовок Location і код виконається у браузері:
Location: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

Так як в браузерах Firefox і Opera код спрацює не в контексті даного сайту, то таким чином до кукісів не дістатися. Дана уразливість в браузерах може використовуватися для проведення фішинг атак та виконання JavaScript коду.

Обидва типи редиректорів, location-header та refresh-header, дуже поширені в Інтернеті, але найбільш поширеними є location-header редиректори. Тому наявність уразливостей, що працюють через location-header редиректори представляє найбільшу загрозу. Зокрема через дану уразливість в браузерах можливі атаки через сервіси редирекції, як я писав стосовно уразливості на tinyurl.com. Це дозволяє розповсюджувати malware через сервіси редирекції, коли замість адреси для редирекції буде вказаний код експлоіта.

Атака №4

Всі сучасні браузери не дозволяють виконання JavaScript коду при редирекції на javascript: URI в location-header редиректорах. Але як показали мої дослідження - це не завжди так. Як я писав про Cross-Site Scripting уразливості в Mozilla та Firefox, в браузерах Mozilla 1.7.x (та попередні версії) та Mozilla Firefox 3.0.12 (та попередні й наступні версії) можлива XSS атака через location-header редиректори, що використовують відповідь “302 Object moved”. Атака відбувається при редирекції на javascript: URI (а також можна провести атаку і на data: URI).

Методика атаки:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді заголовок Location:
HTTP/1.x 302 Object moved
Location: javascript:alert%28document.cookie%29
Браузер виводить сторінку “Object Moved”. При кліку по лінці “here” код спрацює в контексті даного сайту.

Дана уразливість в браузерах може використовуватися для проведення Strictly social XSS атак.

Атака №5

Після початкової публікацї статті, Aung Khant повідомив мені 24.08.2009 про уразливість в Maxthon 3 Alpha (3.0.0.145) з Ultramode. Яка дозволяє виконання JavaScript коду при редирекції на javascript: URI в location-header редиректорах. Це варіація атаки №4 (яку я перевіряв, але не знаходив в інших браузерах, але він знайшов її в Maxthon). Якщо в тому випадку XSS атака можлива через location-header редиректори, що використовують відповідь “302 Object moved”, то в даному випадку атака можлива при будь-яких 301 і 302 відповідях редиректорів. Атака відбувається при редирекції на javascript: URI.

Методика атаки:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді заголовок Location:
Location: javascript:alert%28document.cookie%29
Браузер виводить сторінку “Unable to connect to the site”. При кліку по лінці “Refresh the page” код спрацює. До речі, Maxthon 3 Alpha веде себе однаково у випадку атак №3,4,5 (код виконається не в контексті сайта).

Дана уразливість в Maxthon може використовуватися для проведення Strictly social XSS атак.

Зазначу, що у випадку виконання JavaScript коду при редирекції на data: URI, коли код виконується не в контексті даного сайту, небезпека має місце. Тому що дані уразливості можуть використовуватися для проведення фішинг атак та виконання JavaScript коду (для розповсюдження malware).

Головними перевагами для зловмисників даного методу атаки порівняно зі звичайною редирекцією на їхній сайт є те, що, по-перше, їм не треба навіть мати свій сайт (тому їх буде важче відстежити, а також буде неможливо прикрити їхній сайт). А по-друге, жоден анти-фішинг і анти-малваре фільтр (в браузерах і емайлі) не зможе їх відфільтрувати, бо в їх базі не буде такої адреси (бо використовується не http: адреса, а data:), тобто можливий обхід усіх фільтрів. Тому потрібно виправляти усі зазначені уразливості в браузерах.

Атака №6

Як я писав про Cross-Site Scripting уразливість в Mozilla, Firefox та інших браузерах, в браузерах Mozilla 1.7.x (та попередні версії) та Mozilla Firefox 3.0.19 (та попередні й наступні версії) та потенційно в інших браузерах можлива XSS атака через location-header редиректори з відповіддю “302 Found”. Атака відбувається при редирекції на javascript: URI (а також можна провести атаку і на data: URI). Дана атака схожа на атаку №4.

Методика атаки:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді заголовок Location:
HTTP/1.x 302 Found
Location: javascript:alert(document.cookie)
Браузер виводить сторінку “Found”. При кліку по лінці “here” код спрацює в контексті даного сайту.

Дана уразливість в браузерах може використовуватися для проведення Strictly social XSS атак.

Атаки №7,8

В статті Cross-Site Scripting через редиректори 301 і 303 в різних браузерах я описав ще дві атаки через редиректори зі статусом 301 і 303. Це атаки через data: та javascript: URI.

[Оновлення: 05.08.2009]

Як я перевірив, Mozilla Firefox 3.0.13 також уразливий до атак №2,3,4.

У випадку всіх браузерів, що вразливі до атак №1,4, JS код виконується в контексті сайта.

[Оновлення: 22.08.2009]

Як я виявив з домопогою Aung Khant з YEHG Team, наступні браузери також уразливі:

Google Chrome 2.0.172.28, 2.0.172.37 та 3.0.193.2 Beta - уразливі до атак №1,2.

QtWeb 3.0 Build 001 та 3.0 Build 003 - уразливий до атак №1,2,3.

Safari 4.0.3 - уразливий до атак №1,2.

Opera 10.00 Beta 3 Build 1699 - уразливий до атак №1,3.

SeaMonkey 1.1.17 - уразливий до атак №1,2,4 і в №1,2,4 JS код виконується в контексті сайта.

[Оновлення: 25.08.2009]

Нова інформація від Aung Khant з YEHG Team:

Firefox 3.6 a1 pre - уразливий до атак №1,2,3,4 і в №1,2,4 JS код виконується в контексті сайта.

Firefox 3.7 a1 pre - уразливий до атак №2,3,4.

Orca Browser 1.2 build 5 - уразливий до атак №2,3,4.

Maxthon 3 Alpha (3.0.0.145 та 3.0.2.2) з Ultramode (емуляція Apple WebKit) - уразливий до атак №1,2. А також уразливий до атак №3,4,5 як Strictly social XSS.

[Оновлення: 05.08.2010]

Додав інформацію про атаку №6.

[Оновлення: 07.08.2010]

Нова інформація:

Mozilla Firefox 3.0.19 - уразливий до атак №2,3,4,6 і в №4,6 JS код виконується в контексті сайта.

Firefox 3.5.11 - уразливий до атак №2,3,4,6 і в №4,6 JS код виконується в контексті сайта.

Firefox 3.6.8 - уразливий до атак №2,3,4,6 і в №4,6 JS код виконується в контексті сайта.

Firefox 4.0b2 - уразливий до атак №2,3,4,6 і в №4,6 JS код виконується в контексті сайта.

Opera 10.53 - уразливий до атак №1,4,5,6.

[Оновлення: 16.09.2012]

Нова інформація:

Firefox 3.5.19, Firefox 3.6.28 - уразливі до атак №2,3,4,6 і в №4,6 JS код виконується в контексті сайта.

Firefox 10.0.7, Firefox 15.0.1 - уразливі до атак №2,3. В версіях Firefox 10.0.7 і 15.0.1 атаки №4,6 більше неможливі - дані уразливості були приховано виправлені Mozilla в Firefox 9.0.

Opera 10.62 - уразливий до атак №1,4,5,6.

[Оновлення: 25.09.2012]

Додав інформацію про атаки №7 і №8.

В даній добірці уразливості в веб додатках:

• Directory traversal in LANDesk Management Suite 8.80.1.1 (деталі)
• Webwasher Denial of Service Vulnerability (деталі)
• Multiple Vulnerabilities in AWStats Totals (деталі)
• ZoneMinder Multiple Vulnerabilities (деталі)
• Mini-NUKE v2.3 Freehost (tr) Multiple Remote SQL Injection Vulnerabilities (деталі)
• Crafty Syntax Live Help <= 2.14.6 SQL Injection (деталі)
• Secunia Research: Calendarix Basic Two SQL Injection Vulnerabilities (деталі)
• Multiple Local File Include Vulnerabilities in Pluck CMS 4.5.2 (деталі)
• Multiple Local File Include Vulnerabilities in ezContents CMS 2.0.3 (деталі)
• Security Bypass Vulnerabilities AXESSTEL (деталі)

В липні, 02.07.2009, я виявив Cross-Site Scripting уразливості в Mozilla та Firefox.

Які дозволяють обійти заборону на виконання JavaScript коду в location-header редиректорах (при редирекції на javascript: URI). Про XSS атаку через refresh-header редиректори в різних браузерах я писав в записі про Cross-Site Scripting уразливості в Mozilla, Internet Explorer, Opera та Chrome.

В Mozilla та Firefox на ASP сайтах (чи інших сайтах, що використовують відповідь “302 Object moved”), при запиті до location-header редиректора з вказанням JavaScript коду, браузер виводить сторінку “Object Moved”, де в лінці “here” виводить даний код. При натисканні на яку код спрацює. Тобто це Strictly social XSS.

XSS:

При запиті до скрипта на сайті:
http://site/script.php?param=javascript:alert(document.cookie)
Що поверне у відповіді заголовок Location:
HTTP/1.x 302 Object moved
Location: javascript:alert%28document.cookie%29
Браузер виводить сторінку “Object Moved”. При кліку по лінці “here” код спрацює в контексті даного сайту.

Робочі приклади ASP-редиректорів.

XSS:

На сервері Microsoft IIS 6.0:

• alert(document.cookie)
• цікавий

На сервері nginx 0.6.35:

• alert(document.cookie)
• цікавий (код спрацьовує в Mozilla)

Окрім javascript URI, також можна використати data URI для виконання JS-коду, якщо редиректор виводить в заголовку Location символи “;” і “,” у чистому (не в URL encoding) вигляді.

Уразливі Mozilla 1.7.x та попередні версії.

Уразливі Mozilla Firefox 3.0.12 (і 3.5.x також повинні бути уразливими) та попередні версії.

Також уразливі браузери: SeaMonkey 1.1.17, Firefox 3.6 a1 pre, Firefox 3.7 a1 pre, Orca Browser 1.2 build 5 та Maxthon 3 Alpha (3.0.0.145) з Ultramode. А також браузери Firefox 3.0.19, Firefox 3.5.11, Firefox 3.6.8, Firefox 4.0b2 та Opera 10.53 (при цьому версія Opera 9.52 невразлива).

[Оновлення: 04.08.2010]

Додав інформацію про використання data URI для виконання JS-коду в location-header редиректорах з відповіддю “302 Object moved”. Подібно до редиректорів з відповіддю “302 Found”.

[Оновлення: 07.08.2010]

Додав інформацію про інші уразливі браузери.

[Оновлення: 16.09.2012]

Як я виявив, у версіях Firefox 10.0.7 і Firefox 15.0.1 дана уразливість більше не працює - вона була приховано виправлена Mozilla в Firefox 9.0.

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в першому півріччі 2009 року.

За першу половину поточного року хакери в Уанеті ведуть себе значно активніше ніж в аналогічному періоді 2008 року. 129 атак на веб сайти проти 28 - це в 4,6 рази більша активність (зростання на 360%). Динаміка зростання стабільно велика - майже така сама як і торік (в першому півріччі 2008 в порівнянні з першим півріччям 2007 зростання було 367%).

У даному звіті подана інформація про діяльність хакерів в Уанеті за шість місяців 2009 року - за період з 01.01.2009 по 30.06.2009.

За цей час були взломані наступні сайти:

• сайт rendram.com (хакерами Ktemel2006 і Ayaz) - 01.01.2009
• сайт senegal.pl.ua (хакером Pit10) - 04.01.2009
• сайт www.agrocombank.kiev.ua (хакером Agn0) - 05.01.2009
• сайт aminazin.com (хакером xGOR) - 05.01.2009
• сайт www.pobeda.org.ua (хакером AsSerT) - 07.01.2009
• сайт www.umt-ua.com (хакером GONZHACK) - 07.01.2009
• сайт manometr.net.ua (хакерами DaNG3R і HacK KinG) - 08.01.2009
• сайт laguna.net.ua (хакером NaSaH) - 08.01.2009
• сайт www.lag.lviv.ua (хакерами з 1923TurK-Grup) - 09.01.2009
• сайт www.agroklondaik.com.ua (хакером aLeSha) - 11.01.2009
• сайт www.hqhosts.com (хакером XXxxImmortalxxXX) - 11.01.2009
• сайт porublyov.com.ua (хакером DaNG3R) - 19.01.2009
• сайт www.topstroy.com.ua (хакером President) - 20.01.2009
• форум сайта bujutsu.com.ua (хакером dr.HouSe) - 22.01.2009
• сайт pobeda.org.ua (хакером AsSerT) - 22.01.2009
• сайт www.baltia.com.ua (хакером CWOmer) - 24.01.2009
• сайт www.soroka.lviv.ua (хакером BURAXIS) - 24.01.2009
• сайт kroll.kiev.ua (хакером hack-ponchika) - 25.01.2009
• форум сайта symbio.net.ua (хакерами SahillerinDostu і Ali_Eren) - 26.01.2009
• сайт forum.ilovegame.org (хакерами SahillerinDostu і Ali_Eren) - 26.01.2009
• сайт www.kupr.org.ua (хакером St. !) - 26.01.2009
• сайт jazzpoll.com.ua (хакером WHACK) - 27.01.2009
• сайт istl.org.ua (хакерами з OZELTEAM) - 29.01.2009
• сайт shop-e.com.ua (хакером Bgh7) - 03.02.2009
• сайт varto.kiev.ua (хакером aLeSha) - 03.02.2009
• сайт alf.ho.ua (хакером ResisTance) - 03.02.2009
• сайт return.org.ua (хакерами ZoRLu і SuB-ZeRo) - 04.02.2009
• сайт ceka.io.ua (хакером AZE_CEKA) - 05.02.2009
• сайт www.polyplus.com.ua (хакером DaNG3R) - 08.02.2009
• сайт ruscash.biz (хакерами з zer0 hack group) - 08.02.2009 (по інформації void.ru)
• сайт www.qplaze.com (хакером Komanachi) - 11.02.2009
• сайт crimean-miracle.com (хакерами MJO і CharmaniaL) - 11.02.2009
• сайт indonbass.com.ua (хакером KaRiZmA_0_5) - 11.02.2009
• сайт ukrainainkognita.org.ua (хакером Cyber_945) - 13.02.2009
• сайт www.piramit.com.ua (хакером Assassin) - 16.02.2009
• сайт www.sc-collection.com.ua (хакером Assassin) - 16.02.2009
• сайт kupislona.net (хакером Laqnes) - 16.02.2009
• сайт www.pickup.lviv.ua (хакером idoLaTRous) - 17.02.2009
• сайт panbud.com.ua (хакером hr0m) - 18.02.2009
• сайт www.resdom.org (хакером THE.BILEN VEZIR.04) - 20.02.2009
• сайт triyoga.kiev.ua (хакером Kockaf52) - 21.02.2009
• сайт vybory.segodnya.ua (хакером ExDeaTH ARCHaNGeL) - 23.02.2009
• сайт www.kpr.org.ua (хакером Elkatrez ElmoDamer) - 24.02.2009
• сайт scotland.org.ua (хакерами з Ab1i) - 24.02.2009
• сайт www.salminskiy.com.ua (хакером PimiNet) - 25.02.2009
• сайт cifrovichek.com (хакером ReSeT) - 26.02.2009
• сайт www.websites-development.net (хакером RoLLBacK з 1923TurK-Grup) - 27.02.2009
• сайт tsvetok.org.ua (хакером n2n) - 28.02.2009
• форум сайта www.ayur-veda.com.ua (хакером Y.D.I.) - 03.2009
• сайт balaklava-vip.com (хакерами з dns team) - 05.03.2009
• сайт www.club-lider.org.ua (хакерами DaNG3R і 4FF3TM3Z) - 07.03.2009
• сайт www.snz.com.ua (хакерами M.W.N.N., DImionX і Bboy) - 08.03.2009
• сайт info.kp.km.ua (хакерами GOYHACKERS і DANGER14) - 08.03.2009
• сайт www.sources.org.ua (хакером Mr.MLL) - 09.03.2009
• сайт wi-net.com.ua (хакерами з CYBERDOS TEAM) - 12.03.2009
• сайт rynok.com.ua (хакером XUGURX) - 12.03.2009
• сайт profy.nplu.org (хакером Meshif) - 13.03.2009
• сайт metalltorg.biz (хакером wlhaan) - 18.03.2009
• сайт black.net.ua (хакером 3RqU) - 19.03.2009
• сайт wifi-hunter.org.ua (хакером ANDERSON) - 20.03.2009
• сайт www.jam.com.ua (хакером ARezZ0) - 22.03.2009
• сайт www.vl-sta.gov.ua (хакером darkdewil з 1923TurK-Grup) - 25.03.2009 - перший похаканий державний сайт в цьому році
• сайт www.master-sv.kh.ua (хакерами з Iran Black Hats Team) - 25.03.2009
• сайт ms.if.ua (хакером Dietime) - 25.03.2009
• сайт ksvolodar.com (хакерами з ParsiHacker Security Team) - 26.03.2009
• сайт www.iia.com.ua (хакером ProwL) - 29.03.2009
• сайт zelezok.net (хакерами з 1923TurK-Grup) - 29.03.2009
• сайт www.compsi.net (хакерами Fantastik і SpyCrew team) - 30.03.2009
• сайт www.ecoleague.net (хакером Zonic!) - 01.04.2009
• форум сайта bo.net.ua (українським хакером Arizon) - 01.04.2009
• сайт e-market.biz.ua (хакером Fantastik) - 06.04.2009
• сайт www.dacia.ua (хакерами Cyb3rking і Fantastik) - 06.04.2009
• сайт finrada.com (хакером LANCE) - 06.04.2009
• сайт www.intercharm.kiev.ua (хакером Cyb3rking) - 07.04.2009
• сайт www.3s.com.ua (хакером Gxb3rx) - 11.04.2009
• сайт chipnews.com.ua (хакером Cyber_945) - 11.04.2009
• форум сайта ya-kianin.com.ua (хакером Cyb3rking) - 13.04.2009
• сайт lavinadigital.com (хакером GuardіaN) - 14.04.2009
• сайт www.streetpride.kiev.ua (хакерами з SaldiriTeam) - 15.04.2009
• сайт www.e-pokupka.kiev.ua (хакером BozKuRT) - 16.04.2009
• сайт www.wyshywka.com.ua (хакерами з 1923TurK-Grup) - 19.04.2009
• сайт www.board.sevcity.com (хакером fOx) - 22.04.2009
• сайт www.ogneupor.com (хакерами з AYYILDIZ TEAM) - 23.04.2009
• сайт www.rinok-ukraina.com.ua (хакером AsSerT) - 24.04.2009
• сайт www.library.crimea.ua (хакером Brkod) - 25.04.2009
• сайт wad.cs-mapping.com.ua (хакером moroccan-alien) - 26.04.2009
• DDoS атака на www.ua-torrent.com (невідомими хакерами) - 26.04.2009
• сайт www.inbest.com.ua (хакером ProwL) - 28.04.2009
• сайт fbulldog.kiev.ua (хакерами з Ashiyane Digital Security Team) - 28.04.2009
• сайт marketing.ua (хакером Cyb3rking) - 05.05.2009
• сайт avtomarket.rv.ua (хакером HALLELUJAH) - 06.05.2009
• сайт www.samara-sv.info (хакерами з 1923TurK-Grup) - 06.05.2009
• сайт pfu-km.gov.ua (хакером DeRf) - 10.05.2009 - похаканий державний сайт
• сайт magicnumbers.com.ua (хакером 3RqU) - 10.05.2009
• сайт www.energostal.com.ua (хакером CodexT-Piiz HacKer) - 10.05.2009
• сайт www.pczone.com.ua (хакером SyMpHoNy_R) - 11.05.2009
• сайт www.mvmpu99.com.ua (хакером cHyK0) - 13.05.2009
• сайт inet-mag.com.ua (хакером CrAzY HaCkErZ) - 13.05.2009
• сайт www.ukrface.kiev.ua (хакерами AycanBey і M3G4-TURK) - 14.05.2009
• сайт vtp.com.ua (хакерами з ParsiHacker Security Team) - 15.05.2009
• сайт azovmar.com (хакером Cyb3rking) - 15.05.2009
• сайт www.bob.com.ua (хакером ProwL) - 18.05.2009
• сайт plural.org.ua (хакером AsSerT) - 21.05.2009
• форум сайта www.travel-extreme.com.ua (хакером AsSerT) - 22.05.2009
• сайт www.thegta4.com (хакером Al-Mafia) - 25.05.2009
• сайт extreme.com.ua (хакером AsSerT) - 26.05.2009
• форум сайта www.traveller.com.ua (хакером AsSerT) - 27.05.2009
• сайт www.tsp.com.ua (хакером z()()m) - 28.05.2009
• сайт www.vip-mobile.mobi (хакером TheWayEnd) - 02.06.2009
• сайт cvalka.org.ua (хакером AsSerT) - 03.06.2009
• сайт propolis.sunnet.com.ua (хакером DeMuRe) - 03.06.2009
• сайт novovolynsk-rada.gov.ua (хакером cHyK0) - 04.06.2009 - похаканий державний сайт
• сайт x2.net.ua (хакером AsSerT) - 04.06.2009
• сайт www.1r.dn.ua (хакером XSSql) - 06.06.2009
• сайт www.maxmayar.com.ua (хакером Ozel HarekaT з 1923TurK-Grup) - 06.06.2009
• сайт www.tk.kiev.ua (хакером uLTRaTurK) - 06.06.2009
• DDoS атака на hackua.com (невідомими хакерами) - 07.06.2009
• сайт www.fmi.npu.edu.ua (хакером BlackLabeL) - 08.06.2009
• сайт webuse.com.ua (хакером TheWayEnd) - 10.06.2009
• сайт stalker-4.ucoz.ua (хакером CloSSer) - 12.06.2009
• сайт chinatractor.com.ua (хакером P@RS) - 16.06.2009
• сайт marinebuilder.biz (хакерами з Capraz Ates Team) - 17.06.2009
• сайт www.pandpartners.com (хакером P@RS) - 17.06.2009
• сайт www.lingva.odessa.ua (хакером P@RS) - 17.06.2009
• сайт zelenyj.biz (хакером Arfaoui FirAs) - 20.06.2009
• сайт mttz.donetsk.ukrtelecom.ua (хакером GHoST61) - 21.06.2009 - похаканий державний сайт (Укртелекома)
• сайт www.morozova.com.ua (хакером Arfaoui Firas) - 23.06.2009
• сайт debts.com.ua (хакером CodexT-Piiz HacKer) - 28.06.2009
• сайт goodmusic.com.ua (хакерами DeMuRe та Dr.ViRuS) - 29.06.2009

Також були інфіковані сайти www.doski.zp.ua та users.kharkiv.com, які вірогідно були похакані в цьому році.

Рейтинг хакерів (TOP-10):

1. хакер AsSerT (за взлом 8 сайтів)
2. хакери з 1923TurK-Grup (за взлом 7 сайтів)
3. хакер Cyb3rking (за взлом 4 сайтів)
4. хакер P@RS (за взлом 3 сайтів)
5. хакер ProwL (за взлом 3 сайтів)
6. хакери SahillerinDostu і Ali_Eren (за взлом 2 сайтів)
7. хакер aLeSha (за взлом 2 сайтів)
8. хакер TheWayEnd (за взлом 2 сайтів)
9. хакери з ParsiHacker Security Team (за взлом 2 сайтів)
10. український хакер Arizon (за взлом форума на bo.net.ua)

В січні наступного року підготую звіт за друге півріччя та підведу підсумки за 2009 рік.

P.S.

Вже після публікації даного звіту я дізнався про атаку на сайт www.ua-torrent.com. Яку додав до переліку похаканий сайтів.

Виявлена уразливість міжсайтового скриптінгу в Google Chrome.

Уразливі версії: Google Chrome 2.0.

Міжсайтовий скриптінг через chrome://history/ і view-source:chrome://history/.

• cross site scripting the browser google “chrome” (деталі)

Якщо дана уразливість працює лише в Chrome 2 (бо в мене в першій версії Хрома вона не спрацювала), то знайдена мною Cross-Site Scripting уразливість в Google Chrome, працює в усіх версіях Chrome (0.x, 1.x, 2.x).

В даній добірці експлоіти в веб додатках:

• Flexphplink 0.0.x (Auth Bypass) SQL Injection Vulnerability (деталі)
• Flexphpsite 0.0.1 (Auth Bypass) SQL Injection Vulnerability (деталі)
• FlexPHPDirectory 0.0.1 (Auth Bypass) SQL Injection Vulnerability (деталі)
• Sepcity Classified (classdis.asp ID) SQL Injection Vulnerability (деталі)
• Flexcustomer 0.0.6 Admin Login Bypass / Possible PHP code writing Vulns (деталі)
• PHPAlumni (Acomment.php id) SQL Injection Vulnerability (деталі)
• ThePortal 2.2 Arbitrary Remote File Upload Exploit (деталі)
• eDNews v2 (eDNews_view.php newsid) SQL Injection Vulnerability (деталі)
• Pixel8 Web Photo Album 3.0 Remote SQL Injection Vulnerability (деталі)
• Mole Group Vacation Estate Listing Script (editid1) Blind SQL Injection (деталі)
• CMScout 2.06 SQL Injection/Local File Inclusion Vulnerabilities (деталі)
• Flexphpic 0.0.x (Auth Bypass) SQL Injection Vulnerability (деталі)
• Megacubo 5.0.7 (mega://) Remote eval() Injection Exploit (деталі)
• 2Capsule (sticker.php id) Remote SQL Injection Vulnerability (деталі)
• HOME FTP SERVER DoS Exploit (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://prado-studio.com (хакером hekar zrar) - причому спочатку сайт 25.07.2009 був похаканий hekar zrar, а зараз сайт похаканий devil.kurd. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://4seasons.dn.ua (хакерами з ISLAMIC GHOSTS TEAM) - похакана директорія сайта
• http://www.goldenpro.com.ua (хакером ALFONSO) - 27.07.2009, зараз сайт вже виправлений адмінами
• http://www.promkomplect.com.ua (хакером Hero Aze)
• http://antikvar.com.ua (хакерами з AYYILDIZ TEAM)

Виявлені уразливості форматного рядка в MySQL, що зокрема можуть бути використані для проведення DoS атак.

Уразливі версії: MySQL 4.0, MySQL 5.0.

Уразливості форматного рядка в COM_CREATE_DB і COM_DROP_DB.

• Multiple format string vulnerabilities in MySQL (деталі)

В даній добірці уразливості в веб додатках:

• Leopard Server Remote Path Traversal (Wiki Server from Mac OS X) (деталі)
• SunShop <= 4.1.4 SQL Injection (деталі)
• Vanilla <= 1.1.4 Script Injection / XSS (деталі)
• Ovidentia 6.6.5 XSS (index.php) (деталі)
• Directory traversal in 2X ThinClientServer v5.0_sp1-r3497 (деталі)
• vBulletin Cross Site Scripting Vulnerability (деталі)
• Null Byte Local file Inclusion in FAR - PHP Project version 1.0 (деталі)
• Evolution Vulnerability (деталі)
• OneNews Beta 2 Multiple Vulnerabilities (деталі)
• WESPA Calendario v1.1 Sql Injection Vulnerability (деталі)

Сьогодні я знайшов Cross-Site Scripting уразливості на проекті http://tinyurl.com. Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливості на tinyurl.com.

XSS:

• alert(’XSS’)
• alert(document.cookie)

Дана XSS працює в браузерах Firefox та Opera, в зв’язку з Cross-Site Scripting уразливостями в Firefox та Opera. В даних браузерах можливе виконання JavaScript коду в location-header редиректорі на tinyurl.com (як й інших location-header редиректорах в Мережі). Що може бути викиростане для розповсюдження malware через даний сервіс редирекції.

Дана атака не дозволяє дістатися до кукісів. Для цього можна використати іншу XSS (через сервіс превью на preview.tinyurl.com), що дозволяє дістатися до кукісів та DOM.

XSS (Mozilla / Firefox / Opera / Chrome):

• alert(’XSS’)
• alert(document.cookie)

Це Strictly social XSS про яку я вже писав раніше.

Сервіс превью також доступний на домені tinyurl.com.

XSS (Mozilla / Firefox / Opera / Chrome):

• alert(’XSS’)
• alert(document.cookie)

Це також Strictly social XSS.