Websecurity - Веб безпека

Про безпеку плагінів для WordPress я вже писав, а зараз розповім стосовно безпеки шаблонів для WP.

Так само як і плагіни, шаблони (теми) для WordPress також мають уразливості. І окрім уразливостей в самому WordPress, часто уразливості мають місце в плагінах та темах для WP, про які я писав неодноразово. Тому розробники шаблонів для даного движка (як і розробники плагінів) повинні також слідкувати за безпекою.

Серед знайдених мною уразливостей в шаблонах:

• XSS в темі WordPress Classic 1.5
• XSS в темах Blix та Blix Rus для WordPress
• Уразливості в темі Live Wire Edition для WordPress
• Уразливості в темі The Gazette Edition для WordPress
• Уразливості в темах Live Wire 2.0 та Live Wire Style для WordPress
• Уразливості в багатьох темах для WordPress (з TimThumb) - таких як Bookclub, Fresh News, BoldNews, Placeholder, Biznizz, Auld, Listings, Elefolio, Chapters, Continuum, Diner, Skeptical, Caffeinated, Crisp, Sealight, Unite, Estate, The Morning After, Coda, Inspire, Apz, Spectrum, Diarise, Boast, Retreat, City Guide, Cinch, Slanted, Canvas, Postcard, Delegate, MyStream, Optimize, Backstage, SophisticatedFolio, Bueno, Digital Farm, Headlines, f0101, Royalle, Exposure, Therapy, Rockstar, Daily Edition, Object, Antisocial, Coffee Break, Mortar, Big Easy, Mainstream, Groovy Photo, Groovy Blog, Feature Pitch, Suit and Tie, The Journal, myweblog, Aperture, Meta-Morphosis, Bloggingstream, The Station, Groovy Video, Productum, Newsport, Irresistible, Cushy, WooTube, Foreword Thinking, Geometric, Abstract, Busy Bee, BlogTheme, Gotham News, THiCK, Typebased, Over Easy, Ambience, Snapshot, Open Air, Fresh Folio, Papercut, ProudFolio, VibrantCMS, Flash News, NewsPress та The Original Premium News
• Уразливість в темі Mimbo Pro для WordPress
• Information Leakage та XSS уразливості в багатьох темах для WordPress - таких як Live Wire, Gotham News, Typebased, Blogtheme, VibrantCMS, Fresh News, The Gazette Edition, NewsPress, The Station, The Original Premium News, Flash News, Busy Bee та Geometric
• Уразливості в темі Magazeen
• В TimThumb, що використовується у багатьох темах для WP, також є Arbitrary File Upload уразливість
• Уразливості в темі Affinity BuddyPress
• Численні уразливості в численних темах для WordPress - таких як Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant 2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune та Meridian
• Численні уразливості в нових темах для WordPress - таких як Voxel, Diametric, Ionosphere, Clarion, Halcyon, Visage, Enigma, Momentum, Radiance, Camber, Reflex, Modulus, Nebulae, Entropy, Tachyon, Mercado, Maelstrom, Syndicate, Paradox, Hybrid, Omnicron, Zephyr, Panacea, Somaxiom, Juxta, Quantive, Crystalline, Kinetic, Dominion, Reaction, Akiraka, Novus та Grunge
• IL, XSS, FPD, AoF, DoS і AFU уразливості в темі Daily Edition Mouss для WordPress
• Численні уразливості в темі Chocolate WP для WordPress
• Численні уразливості в темі Flash News для WordPress
• Уразливості в ZeroClipboard в численних темах для WordPress - таких як Montezuma, Striking, Couponpress, Azolla та Black and White
• Уразливості в темі Slash WP для WordPress
• Численні уразливості в темі Colormix для WordPress
• Численні уразливості в численних темах для WordPress з jPlayer - таких як Studiozen, Photocrati, Music, Imperial Fairytale та Feather12
• Уразливості в численних темах для WordPress з VideoJS - таких як Covert VideoPress, Photolio, Source, Smartstart та Crius
• XSS та FPD уразливості в темі I Love It New для WordPress
• XSS, CS та FPD уразливості в темі I Love It для WordPress
• Уразливості в численних темах з CU3ER для WordPress - таких як ShapeShifter, Los Angeles, Themebox, Elite Force, Webfolio
• Численні уразливості в Flexolio для WordPress
• Численні уразливості в темі Refraction для WordPress

В даних 26 описах уразливостей наводяться численні Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service, Information Leakage, Arbitrary File Upload та Content Spoofing уразливості в 173 шаблонах (темах) для WordPress.

28.06.2010

У листопаді, 20.11.2009, я знайшов Full path disclosure, Cross-Site Scripting та SQL Injection уразливості на проекті http://lookmy.info. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

09.02.2011

Full path disclosure:

http://lookmy.info/portal/modules.php?name=Ads

XSS:

http://lookmy.info/portal/modules.php?name=Web_Links&l_op=search&query=%3Cscript%20src=http://websecurity.com.ua/webtools/xss.js%20

SQL Injection:

http://site.lookmy.info/print.php?id=1&pid=-1%20or%201=1

Дані уразливості вже виправлені. Але зазначу, що хоча XSS виправлена, але не якісно, тому при виключених mq на сайті (це потрібно для використання лапок) можна провести XSS атаку (для виконання коду або редирекції на інші сайти), зокрема з використанням MouseOverJacking.

У грудні місяці відбувся масовий взлом сайтів на сервері X-HOST. Нещодавно я вже розповідав про два інші масові взломи.

Він відбувся перед згаданими масовоми взломами на сервері HostPro та сервері Hvosting. В цьому випадку булов дефейснуто набагато більше сайтів.

Всього було взломано 227 сайтів на сервері української хостингової компанії X-HOST (IP 193.200.255.10). Це наступні сайти: www.techno-plus.zp.ua, shop.impreza.net.ua, www.vtoytovich.com, www.mirfinance.biz, www.bio-sculpture.com.ua, www.all-ni.com.ua, www.olvia-sad.com.ua, www.akkumulyator.org.ua, www.texas.in.ua, www.restavraciya.dp.ua, www.wm-change.in.ua, www.razmah.in.ua, www.zloeradio.org.ua, www.remservis.com.ua, www.publitec.us, www.grandmafia.org.ua, www.mega-poligraf.kiev.ua, www.progresspk.com.ua, www.cosmo.ivr.com.ua, www.plastilin.in.ua, www.perlyna.org.ua, www.palliativecare.gov.ua, www.l-brus.com.ua, www.compservice.dp.ua, www.zabudoffprofy.com.ua, www.dom-gotov.com.ua, www.waterpark.com.ua, www.melnikovsergey.com, www.whitetig.com.ua, www.rec-studio.com.ua, www.yumina.com.ua, www.alexeymelnik.com, www.warmtech.com.ua, www.aquapark.net.ua, www.santehdom.kiev.ua, www.website-master.com.ua, www.remontdoma.com.ua, www.parus.co.ua, www.tdpolitep.com, www.original.crimea.ua, www.mebeldom.in.ua, www.mebelzakaz.kiev.ua, www.svit-tepla.com.ua, www.taxiboard.com.ua, www.d-v.com.ua, www.easy-www.com.ua, www.it-master.dp.ua, www.bittrade.net.ua, www.detaley.net.ua, www.taxi-kiev.kiev.ua, www.skytek.com.ua, www.f-notebook.com.ua, www.sun-bud.com.ua, www.bbc.in.ua, www.pravda.li, www.skrug.com.ua, www.stargarden.com.ua, www.promza.com, www.urkaina.org.ua, www.pav.zp.ua, www.service-pc.com.ua, www.kravtspost.com, www.berioza.org.ua, www.enterkredit.com.ua, www.swbplaneta.com, www.autowinner.com.ua, www.newcity.com.ua, www.ampvolshebnik.ru, www.flavourart.com.ua, www.asmati.com.ua, www.newsmoking.com.ua, www.ostap.kiev.ua, www.meducation.com.ua, www.obuhiv.com.ua, www.044045.com, www.palliativecare.com.ua, www.goop.com.ua, www.e-smoking.com.ua, www.mykhaylenko.com.ua, www.slobodchuk.com.ua, www.neurosummit.org.ua, www.sunny-tour.com.ua, www.willi.com.ua, www.mysubs.com.ua, www.e-liquid.com.ua, www.dreamday.com.ua, www.damba.com.ua, www.gigasystems.com.ua, www.malen.com.ua, www.soft-alterego.com, www.mag-vmeste.com.ua, www.powerled.com.ua, www.cgfsystems.com, www.hygetropin.com.ua, www.littlelab.com.ua, www.lf-kts.com, www.shokerov.net.ua, www.gmc-med.com.ua, www.eshoker.org.ua, www.prokladka.net.ua, www.zolotyekupola.com.ua, www.advokatua.org.ua, www.weapon-books.com, www.rubilnik.mk.ua, www.sexpotencia.ru, www.k-shara.com.ua, www.kvorum.mk.ua, www.nabor.kiev.ua, www.netprofit.org.ua, www.right-house.com.ua, www.kolotova.kiev.ua, www.kotlyk.com.ua, www.dosyg.mobi, www.kovka2000.com.ua, www.keysolutions.com.ua, www.kab.kiev.ua, www.lr-club.com.ua, www.audit-s.com.ua, www.prydbay.in.ua, www.intermebel.kiev.ua, www.pincode.biz.ua, www.jugglers.com.ua, www.lte.co.ua, www.imeks.com.ua, www.impreza.net.ua, www.e-design.biz.ua, www.blackforum.volyn.net, www.black.volyn.net, www.impexgr.com, www.igorkozak.com.ua, www.kupit.in.ua, www.gooldmobi.com.ua, www.icomicom.org.ua, www.rtm-flowers.com.ua, www.distella-ardens.org.ua, www.samplesland.com, www.flora.zp.ua, www.soundpress.biz, www.generiki.com.ua, www.chernoemore.mk.ua, www.finversion.com, www.chernoemore.com.ua, www.3vyki.ru, www.top100cotton.com.ua, www.epox.com.ua, www.dpm.dp.ua, www.law.odessa.ua, www.dondeluna.com.ua, www.edelweiss.kiev.ua, www.eragorn.com.ua, www.svpodorog.com.ua, www.economy-ukraine.com.ua, www.mikor.com.ua, www.ua-investment.com, www.ua-investment.com.ua, www.stroycentr.net.ua, www.cyprusdom.com, www.stylo.kiev.ua, www.coinsoleg.com, www.chereshenka.com, www.imenaa.com.ua, www.krovlya7.kiev.ua, www.vocabularioingles.10wordsaday.com, www.fermerstvo.in.ua, www.mbk.uz.ua, www.vocabulaireanglais.10wordsaday.com, www.10wordsaday.com, www.englishverbs.10wordsaday.com, www.mosya.kiev.ua, www.dts-kiev.com.ua, www.designworkshop.com.ua, www.sheleljo.com.ua, www.pp-vovk.com.ua, www.pervak.uz.ua, www.avtolab.kiev.ua, www.mosaika.com.ua, www.art-therapy.org.ua, www.angollcoins.com.ua, www.epatag.com, www.kvitkakiev.com.ua, www.artissoft.com.ua, www.angel-studio.com.ua, www.sevshop.ru, www.triamera.net, www.hitechauto.com.ua, www.real-estate.crimea.ua, www.sevrealty.com, www.astar.su, www.asnu.org.ua, www.aja.com.ua, www.sev-shop.com.ua, www.webadviser.info, www.oskar.com.ua, www.adventecjob.com, www.101service.com.ua, www.slotserver.net, www.palexa.com.ua, www.musclub.info, www.it-territory.net.ua, www.deadseacosmetics.com.ua, www.artplus.org.ua, www.112tour-ua.com.ua, www.slotgames.com.ua, www.do-ubleup.com, www.dah-centr.com.ua, www.business-request.com.ua, www.astonfs.com.ua, www.avonkiev.com.ua, www.dekolte.com.ua, www.maximus2003.com.ua, www.archidea.net.ua, www.x-change.in.ua, www.laminatory.org.ua, www.bedzh.org.ua, www.mazanka.net.ua, www.site-design-web.com, www.elitvikna.com.ua, www.svit-eko.com.ua, www.plitka2000.com.ua, www.muscari.ru, www.stw.net.ua, www.machta.com.ua, www.global.zt.ua, www.radiator.in.ua, www.dnk-pit-stop.com, www.tamada.rv.ua, www.ivr.com.ua. Серед них один український державний сайт www.palliativecare.gov.ua.

Зазначені сайти були взломані в період з 6 по 9 грудня 2010 року. Дефейси 225 сайтів проведено хакером GHoST61, 1 сайта хакером iskorpitx та 1 сайта хакером kaMtiEz. Дані сайти використовують різні веб додатки.

Враховуючи факт використання різних движків, велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pixeldesign.com.ua - інфекція була виявлена 30.11.2010. Зараз сайт не входить до переліку підозрілих.
• http://gift-shop.com.ua - інфекція була виявлена 01.02.2011. Зараз сайт входить до переліку підозрілих.
• http://xshop.com.ua - інфекція була виявлена 08.01.2011. Зараз сайт не входить до переліку підозрілих.
• http://bizneswm.com - інфекція була виявлена 06.02.2011. Зараз сайт входить до переліку підозрілих.
• http://marketgid.com - інфекція була виявлена 07.02.2011. Зараз сайт не входить до переліку підозрілих.

27.12.2010

У вересні, 19.09.2010, я знайшов Cross-Site Scripting та Remote HTML Include уразливості в PHPXref. Які я виявив на одному сайті, що використовує даний веб додаток. Про що найближчим часом повідомлю розробникам.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатку.

08.02.2011

XSS (RXI):

http://site/nav.html?javascript:alert(document.cookie)

RHI:

http://site/nav.html?http://websecurity.com.ua

Уразливі PHPXref 0.7 та попередні версії. У версії PHPXref 0.7.1 розробник виправив дані уразливості.

Існує декілька варіантів розміщення шелів (як і будь-яких бекдорів) на сайтах. Перші два варіанти є відомими, а третій варіант - це новий, який я розробив минулого року, коли виявив RCE уразливість в CMS WebManager-Pro. Подібні уразливості можуть бути й в інших веб додактах.

Шели можуть бути розміщенні на сайті:

1. У вигляді окремих файлів.
2. Включені в існуючі скрипти.
3. Включені в Базу Даних.

У першому випадку це можуть бути як php та інші скрипти, що можуть виконуватися на сервері, так і файли з іншими розширеннями (такими як txt та іншими), код в яких виконається через різні уразливості на сайті (у веб додатках чи у веб сервері).

У другому випадку це можуть бути будь-які існуючі php та інші скрипти на веб сайті, в код яких додається код шела. Тобто робиться бекдор в існуючому коді.

У третьому випадку це можуть бути записи в БД, коли веб додаток виконує код (наприклад, PHP код), що знаходиться у даному записі. Як це може бути у випадку CMS WebManager-Pro.

Перші два випадки стосуються файлів у файловій системі сервера. А третій випадок стосується записів в СУБД. І якщо для перших двох потрібно мати права на запис до файлової системи, то у третьому випадку ці права не потрібні - потрібно лише записати дані в БД. Тобто з використанням третього методу розміщення шелів (там де він придатний), можна обійти це обмеження, а також більш приховано розмістити шел .

І раз дані методи розміщення шелів мають суттєві відмінності, то відповідно і захист від них повинен бути різний. Тобто існують відмінності при пошуку даних шелів та протидії подібним атакам.

Для пошуку перших двох типів шелів можна скористатися спеціалізованими програмами. Зокрема для WordPress можна скористатися Сканером експлоітів в WordPress та плагіном Belavir, про які я вже розповідав (але враховуючи ранішезгадані уразливості в Belavir, варто враховувати безпеку подібних плагінів при їх використанні). Про інші подібні додатки я ще розповім. А для третього типу шелів потрібні зовсім інші додатки, що вміють виявляти шели в базах даних.

Після масового взлому сайтів на сервері HostPro, де на протязі 16 і 17 січня було взломано 25 сайтів, хакер Stupid провів масовий взлом сайтів на сервері Hvosting.

Під час досліджень взломаних сайтів в Уанеті, після попереднього масового взлому, мною був виявлений новий масовий взлом сайтів - цього разу на сервері Hvosting. Про один з цих сайтів я вже писав в добірці похаканих сайтів.

Всього було взломано 17 сайтів на сервері української хостингової компанії Hvosting (IP 91.200.40.39). Це наступні сайти: omegask.net.ua, lntc.biz, lts.in.ua, myopinion.net.ua, selyuchenko-potters.gov.ua, vpusot.org.ua, woodbook.net, vipcanvas.com, ceramology-inst.gov.ua, sobiralkin.com, una-unso.cv.ua, pfg.com.ua, virgo-tour.com.ua, print911.com.ua, sinenko.org.ua, opishne-museum.org.ua, masterholod.com.ua. Серед них два українських державних сайти: selyuchenko-potters.gov.ua і ceramology-inst.gov.ua.

Усі зазначені сайти були взломані 29 січня 2011 року. Всі дефейси були проведені хакером Stupid. Дані сайти використовують різні веб додатки (зокрема WordPress та Joomla).

Враховуючи факт використання різних движків, велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

24.06.2010

У листопаді, 20.11.2009, я знайшов Insufficient Anti-automation та Brute Force уразливості на проекті http://www.vrschange.com, що також доступний за адресою http://www.vrsmoney.kiev.ua (обмінник веб грошей). Про що найближчим часом сповіщу адміністрацію проекту.

Останній раз стосовно обмінників веб грошей я писав про уразливості на n-change.net.

Детальна інформація про уразливості з’явиться пізніше.

07.02.2011

Insufficient Anti-automation:

http://www.vrschange.com/guestbook/
http://www.vrsmoney.kiev.ua/guestbook/

Використовувалася уразлива капча.

Brute Force:

http://www.vrschange.com/guestbook/admin/
http://www.vrsmoney.kiev.ua/guestbook/admin/

За рахунок зміни движка (а також проект змінив домен на http://xobmen.com) дані уразливості вже виправлені.

Під час останніх досліджень взломаних сайтів в Уанеті мною був виявлений масовий взлом сайтів на сервері HostPro. Про деякі з цих сайтів я вже писав в добірках похаканих сайтів.

Всього був взломаний 25 сайт на сервері української хостингової компанії HostPro (IP 77.222.131.24). Це наступні сайти: www.vhodv.com, btg.com.ua, webin.com.ua, ukrremeslo.com, golgofakiev.com, oilblog.com.ua, danishevskaya.com, crimeavhodv.com, kyzmi4i.com, css3sites.com, www.4polus.com, taekwondo.dn.ua, sc2pro.net, kulikovart.com, activelife.dp.ua, skalubo.com, autoverge.com, notebooksandnetbooks.com, www.alsufiev.com, www.cx-7.com.ua, www.cultufa.com.ua, supermarketguru.com.ua, crea.com.ua, holos.com.ua, www.alfalom.com.

Дані сайти були взломані на протязі 16 і 17 січня 2011 року. Всі дефейси були проведені хакером Stupid. Дані сайти використовують різні веб додатки (WordPress, Joomla та інші).

Враховуючи факт використання різних движків, велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.

Також на даному сервері були взломано (іншими хакерами) ще 4 сайти в 2010 році - abraziv.kiev.ua (15.02.2010), www.sharikifonariki.com.ua (29.09.2010), buket.dn.ua (11.12.2010) і clearplex.com.ua (13.12.2010). А також ще 9 сайтів в 2009 році.

За повідомленням www.xakep.ru, хмарні обчислення створюють умови для кіберзлочинів.

Narus Inc. опублікувала Топ-10 основних напрямків кіберзагроз на 2011 рік, попереджаючи, зокрема, про те, що популярність розподіленої (чи “хмарної”) обробки даних привела до появи безлічі нових шляхів для кіберзлочинів.

До десятки найбільших кіберзагроз на 2011 рік увійшли:

1. Атаки через USB-пристрої.
2. Великі і спрямовані атаки ботнетів.
3. Атаки типу “відмова в обслуговуванні” (DDoS).
4. Збільшення кількості атак у соціальних мережах.
5. “Викрадення кликів” і міжсайтовий скриптінг.
6. Фішинг-атаки.
7. Онлайн-шахрайство і відмивання грошей.
8. Проблеми з cloud computing.
9. Витік даних і внутрішні загрози.
10. Атаки мобільних пристроїв і бездротових мереж.

За повідомленням hackzona.com.ua, хакери стягнули кредитки покупців косметики.

Британський сайт косметичної компанії Lush припинив свою роботу: зробити такий крок його власників змусили хакерські атаки, в результаті яких стався витік даних про кредитні картки клієнтів. Компанія найближчим часом відкриє тимчасовий сайт для онлайн-замовлень, причому спочатку оплата буде прийматися виключно через PayPal.

Після взлому сайту ChronoPay, що займається процесінгом платіжних карт (власники якого заявляють, що це було захоплення домену), це ще один випадок атаки пов’язаної з кредитними картами. А, як я вже неодноразово зазначав, подібні сайти погано слідкують за безпекою.

За повідомленням www.xakep.ru, у Німеччині відкриється центр захисту від кібер-атак.

Уряд ФРН збирається відкрити в 2011 році Національний центр захисту від кібер-атак. У задачі Центра захисту від кібер-атак буде входити також боротьба з електронним шпигунством і створення системи забезпечення електронної безпеки.