Websecurity - Веб безпека

В серпні була виявлена Cross-Site Scripting уразливість в WordPress. Вона була знайдена silentph33r, про що він написав на форумі та надав власний патч. А також він повідомив про неї розробникам, але жодних офіційних виправлень в WP зроблено не було.

Раніше я вже писав про XSS та BF уразливості в WordPress.

XSS (persistent):

Дана уразливість в post-template.php дозволяє зареєстрованому користувачу з правами Author та вище провести Persistent XSS атаку. XSS код можна розмістити в полі title і він виконається на індексній сторінці та сторінці запису.

• Wordpress 3.2.1 Core (post-template.php) Improper Sanitizing (Persistent XSS) (деталі)

Уразливі WordPress 3.2.1 та попередні версії. Враховуючи, що не було офіційних заяв розробників про виправлення даної уразливості, то версії 3.3 і 3.3.1 також можуть бути уразливими.

Пропоную ознайомитися зі звітом про хакерську активність в Уанеті в другому півріччі 2011 року.

За другу половину минулого року хакери в Уанеті вели себе дуже активно. Якщо за другу половину 2010 року в Уанеті було проведено 1399 атак на веб сайти, за першу половину 2011 року - 782 атаки, то за другу половину 2011 року - вже 637 атак на веб сайти. Але враховуючи, що я поки ще не обробив дані по всім масовим дефейсам за другу половину минулого року, то це не повні дані й взломів було набагато більше.

У даному звіті подана інформація про діяльність хакерів в Уанеті за наступні шість місяців 2011 року - за період з 01.07.2011 по 31.12.2011.

За цей час були взломані наступні сайти:

• pasisa.at.ua (невідомим хакером) - 07.2011
• www.agroprom.gov.ua (хакерами з Ashiyane Digital Security Team) - 02.07.2011 - взломаний державний сайт
• bonavi.ck.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS) - 04.07.2011
• bogolife.at.ua (хакером TH3_H4TTAB) - 05.07.2011
• www.fiatgroup.com.ua (хакерами з LatinHackTeam) - 05.07.2011
• 4 сайтів на сервері Goodnet (хакером SLYHACKER) - 07.07.2011
• www.stelya.zt.ua (хакерами з RKH) - 09.07.2011
• sev-tiande.com.ua (хакерами з RKH) - 09.07.2011
• whitehorse.net.ua (хакерами з RKH) - 09.07.2011
• 20 сайтів на сервері HostPro (хакерами з RKH) - 09-11.07.2011
• 33 сайти на сервері HostPro (хакерами з RKH) - 09-10.07.2011
• 22 сайти на сервері HostPro (хакерами з RKH) - 12-13.07.2011
• zakarpat-ses.gov.ua (хакерами з Ashiyane Digital Security Team) - 13.07.2011 - взломаний державний сайт
• uoz.sumy.ua (хакерами з RKH) - 13.07.2011
• photolives.com.ua (хакерами з RKH) - 14.07.2011
• propipe.com.ua (хакером sovok) - 20.07.2011
• fearzone.org.ua (хакером FEnR) - 20.07.2011
• scan-tools.net (хакером n93n93k) - 22.07.2011
• skypark.org.ua (хакером iskorpitx) - 23.07.2011
• www.city-izyum.gov.ua (хакером sLizer) - 24.07.2011 - взломаний державний сайт
• alyshta.net (хакерами з RKH) - 24.07.2011
• www.klyaksa-fan.com (хакерами з kosova security group) - 25.07.2011
• www.mlt.gov.ua (хакером pSyCh0) - 28.07.2011 - взломаний державний сайт
• webstudy.com.ua (хакером Silent_Hell) - 28.07.2011
• www.pokerpublic.net (хакером iskorpitx) - 28.07.2011
• uyuta.net (хакерами з OPOJA-TECHNOLOGY-HACKERS) - 29.07.2011
• lis.gov.ua (хакером ahmdosa hacker) - 29.07.2011 - взломаний державний сайт
• www.pasichnyk.dp.ua (хакерами з RKH) - 29.07.2011
• chasovrada.gov.ua (хакером Turkish Energy Team) - 30.07.2011 - взломаний державний сайт
• cr.niss.gov.ua, dn.niss.gov.ua, dp.niss.gov.ua, eng.niisp.gov.ua, kh.niss.gov.ua, lv.niss.gov.ua, od.niss.gov.ua, uz.niss.gov.ua, www.niss.gov.ua, www.nbu.gov.ua, www.niisp.gov.ua (хакерами з RKH) - 30.07.2011 - взломані державні сайти
• 212 сайти на сервері Freehost (хакерами з RKH) - 30.07-01.08.2011
• termoalt.org.ua (хакером Fake.Gen[43g]) - 31.07.2011
• galynych.com (хакерами з RKH) - 31.07.2011
• invest-melitopol.gov.ua (хакером AMIN SAFI) - 01.08.2011 - взломаний державний сайт
• online.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011
• vsevodnom.com.ua (хакером dr.timor) - 01.08.2011
• pro.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011
• au.vsevodnom.com.ua (хакером dr.timor) - 01.08.2011
• ctgt.com.ua (хакерами з RKH) - 02.08.2011
• 65 сайтів на сервері HostPro (хакерами з RKH) - 02.08.2011-03.08.2011
• vodoleyalushta.com (хакерами з RKH) - 04.08.2011
• luiza.crimea.ua (хакерами з RKH) - 04.08.2011
• motokaravan.com.ua (хакерами з RKH) - 04.08.2011
• gektar.crimea.ua (хакерами з RKH) - 04.08.2011
• kg.crimea.ua (хакерами з RKH) - 04.08.2011
• dolphin.crimea.ua (хакерами з RKH) - 04.08.2011
• burmistr.com (хакерами з RKH) - 04.08.2011
• www.ur-kraina.com.ua (хакерами з RHK) - 08.08.2011
• www.video-kiev.com.ua (хакером iskorpitx) - 09.08.2011
• krasaua.com (хакером iskorpitx) - 09.08.2011
• www.ffgn.org.ua (хакером iskorpitx) - 09.08.2011
• www.ffgn.org.ua (хакером iskorpitx) - 09.08.2011
• www.ukrprodresurs.com.ua (хакером iskorpitx) - 10.08.2011
• www.schule8.org.ua (хакером iskorpitx) - 10.08.2011
• azovdvorik.com (хакером iskorpitx) - 10.08.2011
• www.ukrprodresurs.com.ua (хакером iskorpitx) - 10.08.2011
• www.kyivobljust.gov.ua (хакерами з Ashiyane Digital Security Team) - 11.08.2011 - взломаний державний сайт
• www.sevastyanov.org.ua (хакером iskorpitx) - 11.08.2011
• webkolo.com (хакерами з RKH) - 11.08.2011
• larose.pp.ua (хакерами з RKH) - 11.08.2011
• webkolo.org.ua (хакерами з RKH) - 11.08.2011
• webkolo.com.ua (хакерами з RKH) - 11.08.2011
• torgsnab.net (хакером iskorpitx) - 12.08.2011
• torgsnab.net (хакером iskorpitx) - 12.08.2011
• www.pro-donetsk.dn.ua (хакером TekZ) - 14.08.2011
• corsars.mk.ua (хакерами з RKH) - 17.08.2011
• repin.mk.ua (хакерами з RKH) - 17.08.2011
• www.unionavto.mk.ua (хакером iskorpitx) - 17.08.2011
• 8oda.kiev.ua (хакерами з RKH) - 17.08.2011
• autofan.kharkov.ua (хакерами з RKH) - 17.08.2011
• x-dom.com.ua (хакерами з RKH) - 17.08.2011
• oeda.com.ua (хакером iskorpitx) - 17.08.2011
• vikna-ua.com (хакерами з RKH) - 17.08.2011
• penstyle.net (хакерами з RKH) - 17.08.2011
• clubtur.net (хакерами з RKH) - 17.08.2011
• zakarpattya.mns.gov.ua (хакерами з jH-Team) - 18.08.2011 - взломаний державний сайт
• odesa.mns.gov.ua (хакерами з jH-Team) - 18.08.2011 - взломаний державний сайт
• www.verba.ltd.ua (хакерами з RKH) - 18.08.2011
• glavuks.gov.ua (хакером H3rcule-32) - 18.08.2011 - взломаний державний сайт
• 28 сайтів на сервері Besthosting (хакером H3rcule-32) - 18.08.2011
• poladm.gov.ua (хакером iskorpitx) - 22.08.2011 - взломаний державний сайт
• www.ldu.mns.gov.ua (хакером ShadowNET) - 27.08.2011 - взломаний державний сайт
• posylka.com.ua (хакером CoOL BoY) - 30.08.2011
• ups-store.com.ua (хакером jago-dz) - 10.09.2011
• ubozcn.gov.ua (хакером Besiktas Carsi Grubu) - 12.09.2011
• www.dvs-vinnitsa.gov.ua (хакером S3cur1ty-T3r0r-Cr3w) - 14.09.2011
• makosad.com (хакерами з kosova security group) - 16.09.2011
• avtotreks.pp.ua (хакерами з EliTTe SquaD) - 16.09.2011
• www.sips.gov.ua (хакером Ma3sTr0-Dz) - 20.09.2011 - взломаний державний сайт
• www.sdip.gov.ua (хакером Ma3sTr0-Dz) - 20.09.2011 - взломаний державний сайт
• rada-bershad.gov.ua (хакером ho1onk) - 20.09.2011 - взломаний державний сайт
• megasiti.com.ua (хакером ho1onk) - 22.09.2011
• ssd-koda.gov.ua (хакером BLaCk_SPeCTRe) - 25.09.2011 - взломаний державний сайт
• www.varva-rada.gov.ua (хакером BLaCk_SPeCTRe) - 25.09.2011 - взломаний державний сайт
• koreiz-ps.gov.ua (хакером Wizardz) - 26.09.2011 - взломаний державний сайт
• che.gov.ua (хакерами з Cocain TeaM) - 28.09.2011 - взломаний державний сайт
• chajka.kiev.ua (хакером Serberus) - 28.09.2011
• www.cpc-ua.org (хакером XUGURX) - 29.09.2011
• mkt.od.ua (хакером FeeLCoMz) - 30.09.2011
• soundbass.if.ua (хакерами з TeaM MosTa Dz HacKeR) - 10.2011
• lyubystok.org (хакером EjRaM_KSA) - 10.2011
• rotaract.com.ua (хакерами з Tema Own3d Q8) - 01.10.2011
• office-kharkov.com.ua (хакерами з OPOJA-TECHNOLOGY-HACKERS) - 01.10.2011
• shop.vibroseparator.ua (хакером HEXB00T3R) - 03.10.2011
• vitamon.in.ua (хакером merci1994) - 06.10.2011
• ugi.edu.ua (хакерами з Tetova Hackers Team) - 07.10.2011
• izmail-rada.gov.ua (хакером MCA-CRB) - 07.10.2011
• www.uaan.gov.ua (хакерами з Ashiyane Digital Security Team) - 08.10.2011 - взломаний державний сайт
• www.idportal.org (хакером Opsisrael) - 08.10.2011
• balakliya-rda.gov.ua (хакером nO lOv3) - 09.10.2011 - взломаний державний сайт
• balrada.gov.ua (хакером nO lOv3) - 09.10.2011
• voyage.co.ua (хакером nO lOv3) - 09.10.2011
• www.spigc.com (хакерами з 1923Turk) - 09.10.2011
• balakleya.org.ua (хакером nO lOv3) - 09.10.2011
• csam.archives.gov.ua (хакером nO lOv3) - 09.10.2011 - взломаний державний сайт
• bereg-rda.gov.ua (хакером Dr-Angel) - 12.10.2011 - взломаний державний сайт
• genich-rada.gov.ua (хакером Dr-Angel) - 12.10.2011 - взломаний державний сайт
• alpha-ug.com.ua (хакером Dr-Angel) - 12.10.2011
• aishadance.com (хакером Dr-Angel) - 12.10.2011
• cartoy.com.ua (хакером Dr-Angel) - 12.10.2011
• www.aertecnica.com.ua (хакером Dr-Angel) - 12.10.2011
• festival-shopping.com (хакером Dr-Angel) - 12.10.2011
• www.holocaust-odessa.org (хакером Hmei7) - 12.10.2011
• demo.joomla.org.ua (хакером th3p0w3r) - 13.10.2011
• kalynivka-rda.gov.ua (хакерами з Cyber Warrior Invasion) - 15.10.2011 - взломаний державний сайт
• stroitel.nikopol.net (хакерами з OPOJA-TECHNOLOGY-HACKERS) - 15.10.2011
• vip.bereg-rda.gov.ua (хакером MCA-CRB) - 18.10.2011 - взломаний державний сайт
• humanities.lviv.ua (хакером AL3X 0WN5) - 19.10.2011
• www.apb.mns.gov.ua (хакером k4L0ng666) - 22.10.2011 - взломаний державний сайт
• naer.gov.ua (хакером FEnR) - 23.10.2011 - взломаний державний сайт
• www.nescafe.ua (хакерами з Jordanian Cyber Army) - 27.10.2011
• www.uyuta.net (bembenk spelenk) - 29.10.2011
• dizklz-lviv.gov.ua (хакером Z4R4THUSTR4) - 30.10.2011 - взломаний державний сайт
• mr.gov.ua (хакером Over-X) - 02.11.2011 - взломаний державний сайт
• www.bcmebli.com.ua (хакером Mr.L4iVe) - 05.11.2011
• eng.ukurier.gov.ua (хакером Lekosta) - 13.11.2011 - взломаний державний сайт
• www.dnipr.gov.ua (хакером dencowbie) - 15.11.2011 - взломаний державний сайт
• www.mykcustoms.gov.ua (хакером J0K3R R3TURN) - 16.11.2011 - взломаний державний сайт
• natorg.com.ua (хакером SonTurk) - 16.11.2011
• extracomp.com.ua (хакером SonTurk) - 16.11.2011
• natorg.com.ua (хакером SonTurk) - 16.11.2011
• www.arhioda.gov.ua (хакером DAVACI) - 17.11.2011 - взломаний державний сайт
• yabschool.com.ua (хакером Mc.Timy) - 21.11.2011
• agroptaha.com (хакером TheScream) - 21.11.2011
• www.clinic-1.gov.ua (хакерами з Red Eye Crew) - 23.11.2011 - взломаний державний сайт
• voronizh-rada.gov.ua (хакерами з Afghan Exploiters Team) - 24.11.2011 - взломаний державний сайт
• borispol-rada.gov.ua (хакерами з Ashiyane Digital Security Team) - 25.11.2011 - взломаний державний сайт
• mriya.pz.gov.ua (хакерами з Turkish Energy Team) - 28.11.2011 - взломаний державний сайт
• sovet.izmail-rada.gov.ua (хакером Dr-AnGeL) - 30.11.2011 - взломаний державний сайт
• starasinyava-rda.gov.ua (хакерами з Ashiyane Digital Security Team) - 01.12.2011 - взломаний державний сайт
• crimea.dzk.gov.ua (хакером CyberMind) - 01.12.2011 - взломаний державний сайт
• sms.gov.ua (хакером CyberMind) - 02.12.2011 - взломаний державний сайт
• messi-10.com (хакером AMIN SAFI) - 07.12.2011
• brda.gov.ua (хакерами з Turkish Energy Team) - 08.12.2011 - взломаний державний сайт
• www.bc-mvs.gov.ua (хакерами з Turkish Energy Team) - 08.12.2011 - взломаний державний сайт
• www.shevruo.da-kyiv.gov.ua (хакером Z4R4THUSTR4) - 10.12.2011 - взломаний державний сайт
• www.sumdergrybohorona.gov.ua (хакером DEATH_K1NG) - 19.12.2011 - взломаний державний сайт
• www.s-buda.gov.ua (хакером DEATH_K1NG) - 19.12.2011 - взломаний державний сайт
• www.sbuda-rada.gov.ua (хакером DEATH_K1NG) - 19.12.2011 - взломаний державний сайт
• www.putivl-rada.gov.ua (хакером DEATH_K1NG) - 19.12.2011 - взломаний державний сайт
• 88 сайтів на сервері Pavlabor (хакером DEATH_K1NG) - 19.12.2011
• ndei.me.gov.ua (хакером Ma3sTr0-Dz) - 21.12.2011 - взломаний державний сайт
• www.police.gov.ua (хакерами з KHS) - 24.12.2011 - взломаний державний сайт

З них взломано 63 державних сайтів: www.agroprom.gov.ua, zakarpat-ses.gov.ua, www.city-izyum.gov.ua, www.mlt.gov.ua, lis.gov.ua, chasovrada.gov.ua, cr.niss.gov.ua, dn.niss.gov.ua, dp.niss.gov.ua, eng.niisp.gov.ua, kh.niss.gov.ua, lv.niss.gov.ua, od.niss.gov.ua, uz.niss.gov.ua, www.niss.gov.ua, www.nbu.gov.ua, www.niisp.gov.ua, invest-melitopol.gov.ua, www.kyivobljust.gov.ua, zakarpattya.mns.gov.ua, odesa.mns.gov.ua, glavuks.gov.ua, poladm.gov.ua, www.ldu.mns.gov.ua, www.sips.gov.ua, www.sdip.gov.ua, rada-bershad.gov.ua, ssd-koda.gov.ua, www.varva-rada.gov.ua, koreiz-ps.gov.ua, che.gov.ua, www.uaan.gov.ua, balakliya-rda.gov.ua, csam.archives.gov.ua, bereg-rda.gov.ua, genich-rada.gov.ua, kalynivka-rda.gov.ua, vip.bereg-rda.gov.ua, www.apb.mns.gov.ua, naer.gov.ua, dizklz-lviv.gov.ua, mr.gov.ua, eng.ukurier.gov.ua, www.dnipr.gov.ua, www.mykcustoms.gov.ua, www.arhioda.gov.ua, www.clinic-1.gov.ua, voronizh-rada.gov.ua, borispol-rada.gov.ua, mriya.pz.gov.ua, sovet.izmail-rada.gov.ua, starasinyava-rda.gov.ua, crimea.dzk.gov.ua, sms.gov.ua, brda.gov.ua, www.bc-mvs.gov.ua, www.shevruo.da-kyiv.gov.ua, www.sumdergrybohorona.gov.ua, www.s-buda.gov.ua, www.sbuda-rada.gov.ua, www.putivl-rada.gov.ua, ndei.me.gov.ua та www.police.gov.ua.

Також були інфіковані 104 сайти, які вірогідно були похакані в минулому році. Що дещо менше ніж 142 інфікованих сайтів в другій половині 2010.

104 сайти проти 142 - це в 1,3 рази менше інфікованих сайтів ніж за аналогічний період минулого року (спад на 26%). Це явно пов’язано з тим, що я менше займався дослідженням інфікованих сайтів із-за своєї зайнятості.

Інфіковані сайти у другій половині 2011 року: ikaife.at.ua, private-design.com.ua, medianews.com.ua, vlasti.net, mot.org.ua, jasmin.biz.ua, professional-web-studio.com, novafilm.at.ua, ffz.org.ua, wm-zona.at.ua, ridnamova.com.ua, vuzlib.net, pslan.kiev.ua, svetolux.mk.ua, medtrans.com.ua, igrushkin.com.ua, chinatel.com.ua, avtostrada.net.ua, keynod32.at.ua, dvdri.at.ua, nansi.com.ua, alfa.sumy.ua, legko.in.ua, sat-tv.org.ua, tvalige.1gb.ua, ukrstat.gov.ua, rozhadm.gov.ua, ofinans.com.ua, rcf.crimea.ua, usta.rcf.crimea.ua, samsebelekar.at.ua, golden-brig.org.ua, apostille-perevod.com.ua, gribok.at.ua, cinemanet.org.ua, jasmin.biz.ua, animeshka.org.ua, fckrono-karpatu.com.ua, stabilizator.com.ua, filmx.com.ua, zarabotokplus.com.ua, radiomaster.com.ua, moloduha.at.ua, tessera.com.ua, nanoavto.com.ua, dremel.com.ua, gourelax.at.ua, kpi.ua, sporttime.com.ua, royalhouse.com.ua, tekh.com.ua, tehno-market.cn.ua, hot-girls.kiev.ua, touch-if.pp.ua, dgor.dp.ua, avtovid.com.ua, kityn.kiev.ua, link.ua, welltour.kiev.ua, kamelot.in.ua, e-apteka.com.ua, balibastra.if.ua, mirspeciy.com.ua, tovarnadom.com.ua, ool.ua, aviso.ua, vrazrabotke.com.ua, fn.ua, ukrdeftech.com.ua, archive.org.ua, orienteering.dp.ua, krizis2009.org.ua, drummer.in.ua, medinstitut.kiev.ua, fashionpeople.com.ua, vitada.org.ua, ourwork.vn.ua, ayax-print.com.ua, my-tv.com.ua, mytv.ua, bel-trans.com.ua, legionfort.com.ua, yaposhka.kh.ua, ukr-lider.com.ua, joomla-ua.com, fondigs.lg.ua, searivera.com.ua, users.i.com.ua/~gladkey, vixen.com.ua, if.gov.ua, footclub.pp.ua, doctorpharm.com.ua, poleznoe-40s.ucoz.ua, ppi.pp.ua, x3mal.com.ua, fp.ua, vse-futbolki.pp.ua, onua.com.ua, fundmarket.ua, motormusic.kiev.ua, astermius.io.ua, market-ua.org.ua, uraking.at.ua та r-p.com.ua.

З них інфіковано 3 державний сайтів: ukrstat.gov.ua, rozhadm.gov.ua та if.gov.ua.

Найближчим часом підведу підсумки активності хакерів в Уанеті за 2011 рік. А також дооброблюю дані по всім масовим дефейсам за другу половину минулого року і обновлю цей звіт.

Виявлені численні уразливості безпеки в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 3.6, Firefox 10.0, Firefox 11.0, Thunderbird 3.1, Thunderbird 10.0, Thunderbird 11.0, SeaMonkey 2.8.

Численні пошкодження пам’яті, підвищення привілеїв, міжсайтовий доступ.

• Mozilla Foundation Security Advisory 2012-12 (деталі)
• Mozilla Foundation Security Advisory 2012-13 (деталі)
• Mozilla Foundation Security Advisory 2012-14 (деталі)
• Mozilla Foundation Security Advisory 2012-15 (деталі)
• Mozilla Foundation Security Advisory 2012-16 (деталі)
• Mozilla Foundation Security Advisory 2012-17 (деталі)
• Mozilla Foundation Security Advisory 2012-18 (деталі)
• Mozilla Foundation Security Advisory 2012-19 (деталі)

В даній добірці уразливості в веб додатках:

• Barracuda Spam/Virus WAF 600 - Multiple Web Vulnerabilities (деталі)
• osCSS2 “_ID” parameter Local file inclusion (деталі)
• OrderSys <= 1.6.4 Sql Injection Vulnerabilities (деталі)
• LabStoRe <= 1.5.4 Sql Injection Vulnerabilities (деталі)
• LabWiki <= 1.1 Multiple Vulnerabilities (деталі)
• Численні уразливості безпеки в бібліотеці OpenSSL (деталі)
• Multiple Cross-Site-Scripting vulnerabilities in Dolibarr 3.1.0 (деталі)
• Multiple security vulnerabilities in AShop (деталі)
• Local file inclusion in VtigerCRM (деталі)
• Infoblox NetMRI 6.2.1 Multiple Cross-Site Scripting (XSS) vulnerabilities (деталі)

Продовжуючи розпочату традицію, після попереднього відео про Address Bar Spoofing в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаку через ActiveX в Internet Explorer. Рекомендую подивитися всім хто цікавиться цією темою.

Internet Explorer Vulnerability

В ролику демонструється сюжет з ТБ, в якому розповідається про одну уразливість в Microsoft Internet Explorer, що пов’язана з ActiveX. До якої були вразливі всі версії IE на той час. Про що Microsoft попередила своїх користувачів. А також надаються поради, щодо відключення підтримки ActiveX компонентів в браузері.

Атака відбувається при відвідуванні в Internet Explorer спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

За повідомленням www.xakep.ru, Verisign конфіскувала домен .COM в іноземного реєстратора по запиту американського суду.

Власник реєстру доменів .com, американська компанія Verisign вилучила домен bodog.com у гемблінгового сайта Bodog. Це було зроблено за рішенням суду штату Меріленд, у якому заборонені азартні ігри в Інтернеті, а вищезгаданий сайт незаконно надавав такі послуги для громадян штату Меріленд.

Зазначу, що крім того, що Bodog - канадська компанія і її власники - громадяни Канади, але і сам сайт був зареєстрований через канадського реєстратора Domainclip (з Ванкуверу). Таким чином усі сайти в доменній зоні .com (навіть не з США) знаходяться під ризиком конфіскації домену, якщо їхні сайти стануть неугодними американській владі.

За повідомленням www.xakep.ru, банківський троян Cridex/Dapatoo поширюється через WordPress-сайти.

Наприкінці січня фахівці з безпеки з M86 Security Labs знайшли масове зараження сотень сайтів на движку WordPress 3.2.1. Тоді повідомлялося, що використовуючи відому уразливість застарілої версії WordPress і вже опубліковані експлоіти для нього, зловмисники впроваджують жертві в папку uploads файл HTML з редиректом на сторінку з набором експлоітів Phoenix Exploit Kit.

Зловмисники використовують їх просто в якості красивих URL, щоб лінка викликала довіру в жертв (і щоб простіше обійти спам-фільтри), і розсилають спам, що містить лінку на вищезгадану сторінку. Але як стало відомо пізніше, в результаті виконання екплоіту на комп’ютери жертв завантажується банківський троян Cridex/Dapatoo.

За повідомленням www.xakep.ru, як хакери стають богатими. Продаж експлоітів державним спецслужбам.

Журнал Forbes опублікував докладне досьє на компанію Vupen, що займається відкритим продажем експлоітів розвідувальним агентствам і державним спецслужбам. Французька фірма потрапила в поле зору публіки два тижні тому після перемоги на останньому конкурсі Pwn2Own, коли показала експлоіт для Chrome і відмовилася передавати його в Google, щоб “зберегти для своїх клієнтів”. Тобто компанія добровільно відмовилася від нагороди $60000, що пропонувала компанія Google.

16.02.2012

Виявлені численні уразливості безпеки в Microsoft Internet Explorer.

Уразливі продукти: Microsoft Internet Explorer 6, 7, 8 та 9 під Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server, Windows 7.

Витік інформації, виконання коду.

• Microsoft Security Bulletin MS12-010 - Critical Cumulative Security Update for Internet Explorer (2647516) (деталі)

24.03.2012

Додаткова інформація.

• Microsoft Internet Explorer VML CDispScroller Remote Code Execution Vulnerability (деталі)
• Microsoft Internet Explorer CDispNode t:MEDIA Remote Code Execution Vulnerability (деталі)

В WordPress є ще чимало уразливостей, в тому числі тих, які не виправлені до сих пір. І зараз я розповім про три уризливості, дві з яких вже виправлені, а одна має місце навіть в останній версії движка. Це Cross-Site Scripting та Brute Force уразливості WP.

Раніше я вже писав про Brute Force уразливість в WordPress. Нищенаведена BF уразливість є п’ятою Brute Force в WP.

XSS:

В 2007 році я писав про редиректори в WordPress, для яких я випустив патч в MustLive Security Pack v.1.0.5 (і цей патч також захищає від XSS). Тоді дослідники, які знайшли редиректори, не дослідили їх на XSS, тому я вирішив зробити це самостійно.

Через дані редиректори можливі XSS атаки (через data URI):

http://site/wp-login.php?redirect_to=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&action=logout
http://site/wp-pass.php?_wp_http_referer=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location. Розробники виправили редиректори в WP 2.3 (і зробили це приховано, що є типовим для них з 2007 року). Тому Redirector і XSS атаки можливі лише в попередніх версіях.

Brute Force:

Окрім BF через XML-RPC функціонал, також можна підбирати паролі через APP функціонал. На що я звернув увагу, коли 19.03.2012 вирішив оприлюднити BF через XML-RPC і дослідив APP функціонал.

http://site/wp-app.php

Уразливі WordPress 2.3 - 3.3.1.

Починаючи з версії WP 2.3 в движку з’явилася підтримка Atom Publishing Protocol. В даному функціоналі немає захису від BF атак (використовується Basic Authentication). APP функціонал за замовчуванням відключений з версії 2.6, як і XML-RPC.

Розробники WP відключили його разом з XML-RPC (коли відключали останній), тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак. І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати APP, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.

Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через APP та від раніше згаданих атак через XML-RPC та на запаролені записи і сторінки.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Secure input and output handling
• Attack surface
• Hacker (computer security)
• Vulnerability management
• Information assurance

В даній добірці уразливості в веб додатках:

• Apache mod_authnz_external: SQL injection (деталі)
• Authorization bypass vulnerability in OneOrZero AIMS (деталі)
• simplesamlphp security update (деталі)
• phpLDAPadmin <= 1.2.1.1 (query_engine) Remote PHP Code Injection Exploit (деталі)
• jara 1.6 sql injection vulnerability (деталі)
• Cisco IP Video Phone E20 Default Root Account (деталі)
• Multiple vulnerabilities in Efront (деталі)
• man2html security update (деталі)
• moodle security update (деталі)
• Multiple Vulnerabilities in Merethis Centreon (деталі)