Архів за Травень, 2012

Інфікованість Уанета за останні роки

22:40 28.05.2012

Після минулорічного звіту про інфікованість Уанета, наведу нову порівняльну статистику інфікованості Уанета за останні роки.

Статистика буде за 2009 - 2011 роки. Статистичні дані базуються на моїх дослідженнях хакерської активності в Уанеті в 2009, 2010 і 2011 роках.

За весь 2009 рік в Уанеті було інфіковано 67 веб сайтів.

За весь 2010 рік в Уанеті було інфіковано 264 веб сайтів.

За весь 2011 рік в Уанеті було інфіковано 233 веб сайтів.

Інфіковані сайти в Уанеті

Велика кількість заражених сайтів свідчить про зростання кримінальних взломів сайтів (коли на взломаних сайтах розміщуються віруси). Деяке зменшення кількості інфікованих сайтів в 2011 році явно пов’язане з тим, що торік я менше займався дослідженням інфікованих сайтів із-за своєї зайнятості.

Динаміка зараження сайтів в Уанеті.

В 2009 році активність зросла на 1575% порівняно з 2008 роком (зростання в 16,75 рази).

В 2010 році активність зросла на 294% порівняно з 2009 роком (зростання в 3,94 рази). В порівнянні з 2008 роком активність зросла на 6500% (в 66 разів).

В 2011 році активність зменшилась на 11% порівняно з 2010 роком (спад в 1,1 рази). В порівнянні з 2008 роком активність зросла на 5725% (в 58,25 разів).

Динаміка зараження сайтів в Уанеті

Як видно зі статистики, кількість інфікованих сайтів в Уанеті в останні роки стабільно велика.

Bypassing web antiviruses в журналі Web App Pentesting

20:02 28.05.2012

В цьому місяці в журналі “Web App Pentesting” була опублікована моя стаття. В травневому номері журналу Web App Pentesting 05/2012, що вийшов 22.05.2012, опублікована стаття “Обхід веб антивірусів” (Bypassing web antiviruses).

В ній розповідається про такий метод обходу веб антивірусів, як клоакінг (який відомий ще з 90-х і використовувався для SEO цілей). Просунуте використання клоакінгу передбачає аналіз таких параметрів відвідувачів сайтів як User-Agent, IP та DNS, для виявлення веб антивірусів та приховання від них. Тому всі розробники систем пошуку вірусів на веб сайтах повинні враховувати це для протистояння malware.

Дана стаття базується на двох моїх попередніх статтях: Обхід систем для пошуку вірусів на веб сайтах та Ефективне використання клоакінгу проти веб антивірусів. Вона вміщує як матеріали цих статей, так і нову інформацію. Й детально описує методи, які malware може використати для приховання від веб антивірусів.

P.S.

Виклав на сайті повну версію статті Bypassing Web Antiviruses.

XSS уразливість в Yandex.Server

15:18 28.05.2012

У травні, 18.05.2012, під час пентесту, я виявив нову Cross-Site Scripting уразливість в Yandex.Server (Яндекс.Сервер). Причому в версії Яндекс.Сервер Enterprise, але Free Edition також повинна бути уразливою.

Раніше я вже писав про уразливості в пошуці Яndex.Server.

XSS:

http://site/search/?text=%27);alert(document.cookie)//

Уразливі Yandex.Server 2010 9.0 Enterprise та попередні версії.

Новини: відеокамери відкриті для хакерів, закон ЄС стосовно cookies та уразливість в PHP

22:47 19.05.2012

За повідомленням www.xakep.ru, відеокамери спостереження відкриті для хакерів.

Американська компанія Gotham Digital Science разом з розробниками Metasploit з команди Rapid7 випустили новий модуль cctv_dvr_login для взлому, тобто тестування на проникнення, відеокамер зовнішнього спостереження (CCTV).

Використання дефолтних чи простих паролів є поширеним у веб інтерфейсах як веб камер, так і CCTV камер.

За повідомленням ain.ua, з 26 травня вводяться нові правила ЄС стосовно використання cookies на сайтах.

Закон Євросоюзу про нову політику ресурсів стосовно використання cookies був прийнятий у 2011 році, але в ICO (Information Commissioner’s Office) прийняли рішення відстрочити вступ закону в силу на 1 рік. І з 26 травня 2012 року сайти, що не відповідають вимогам нового європейського законодавства про онлайн конфіденційність, можуть бути оштрафовані на суму 500000 євро. Якщо коротко, то новий закон вимагає, щоб веб сайт одержував дозвіл від відвідувачів перш, ніж записувати cookies на їх ПК.

Окрім підвищення приватності користувачів та створення додаткової мороки з кукісами для власників сайтів в ЄС, також це призведе до штрафів для сайтів, що не відповідають новому законодавству. В тому числі ці штрафи можуть бути спровоковані через дірки на сайтах, про що я напишу окрему статтю.

За повідомленням bugtraq.ru, CGI-уразливість в PHP: другий підхід до снаряда.

The PHP Group із другої спроби все-таки закрила уразливість, що дозволяє на деяких конфігураціях переглядати вихідні коди скриптів, виконувати віддалений код і т.п. Крім того, PHP 5.4.3 і PHP 5.3.13 закривають ще одне переповнення буфера у функції apache_request_headers.

Треба сказати, що cgi-уразливість не залишилася без уваги зломщиків - так, хостінг-провайдер Dreamhost за час, що пройшов з моменту її обнародування, зафіксував 234076 спроб її використання на 151275 окремих доменах.

Похакані сайти №189

20:17 19.05.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://www.lr-pl.gov.ua (хакером Mr.XHat) - 19.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://balta.odessa.gov.ua (хакерами з LatinHackTeam) - 07.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.villavaleria.in.ua (хакером iskorpitx) - 03.06.2011, зараз сайт вже виправлений адмінами
  • http://www.business-academy.com.ua (хакером KiLLerMiNd) - 07.06.2011, зараз сайт вже виправлений адмінами
  • http://www.boxers.com.ua (хакером urbanr00ts) - 05.2012, зараз сайт вже виправлений адмінами

URL Bar Spoofing в Google Chrome

17:25 19.05.2012

Продовжуючи розпочату традицію, після попереднього відео про експлоіт для Firefox та IE, пропоную нове відео на веб секюріті тематику. Цього разу відео про URL Bar Spoofing в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

Google Chrome Webkit URL Bar Spoof

В ролику демонструється URL Bar Spoofing уразливість в браузері Google Chrome (та інших браузерах на Webkit, таких як Safari). Дана уразливість дозволяє підробити URL в адресному рядку браузера (що може бути використано для проведення фішинг атак). Спочатку в адресному рядку відображається одна адреса, а потім, після короткотривалого повідомлення про помилку, у вікні відображується інша адреса (при збереженні сторінки попереднього сайта).

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Інфіковані сайти №121

22:46 18.05.2012

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://ppu.gov.ua - інфікований державний сайт, інфекція була виявлена 11.04.2012. Зараз сайт входить до переліку підозрілих.
  • http://karier.crimea.ua - інфекція була виявлена 22.04.2012. Зараз сайт не входить до переліку підозрілих.
  • http://tuib.com.ua - інфекція була виявлена 22.04.2012. Зараз сайт не входить до переліку підозрілих.
  • http://orienteering.dp.ua - інфекція була виявлена 14.05.2012. Зараз сайт не входить до переліку підозрілих.
  • http://5fg4.pp.ua - інфекція була виявлена 28.03.2012. Зараз сайт не входить до переліку підозрілих.

Вийшли PHP 5.3.12 та PHP 5.4.2

20:08 18.05.2012

У травні, 03.05.2012, вийшли PHP 5.3.12 та PHP 5.4.2. В яких виправлена критична уразливість. Дані релізи направлені на покращення безпеки гілок 5.3.x і 5.4.x.

Cеред секюріті виправлень в PHP 5.3.12 та PHP 5.4.2:

  • Виправлена можливість відправки довільних команд PHP інтерпретатору.

До цієї атаки уразливі деякі CGI-орієнтовані інсталяції (Apache+mod_php і nginx+php-fpm не є вразливими). Команди передаються PHP інтерпретатору через спеціальні GET або HEAD запити. Зокрема за допомогою команди (ключа) “-s” можна читати вихідні коди скриптів.

Для перевірки на наявність даної уразливості в PHP на сервері потрібно відправити наступний запит:
http://site_on_php/?-s

Окрім патча, розробники PHP також запроновували метод захисту від цієї атаки за допомогою правил mod_rewrite. Але ці правила виявилися неефективними й їх можна було легко обійти, тому вже через три дні вони випустили новий варіант правил mod_rewrite для захисту від цієї атаки.

По матеріалам http://www.php.net.

Добірка уразливостей

16:24 18.05.2012

В даній добірці уразливості в веб додатках:

  • Cisco Firewall Services Module Crafted Protocol Independent Multicast Message Denial of Service Vulnerability (деталі)
  • Tufin SecureTrack Cross Site Script (деталі)
  • Hotel Booking Portal SQL Injection (деталі)
  • phpPaleo Local File Inclusion (деталі)
  • e-ticketing SQL Injection (деталі)
  • Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances and Cisco Catalyst 6500 Series ASA Services Module (деталі)
  • Multiple vulnerabilities in osCmax (деталі)
  • Astaro Command Center v2.x - Multiple Web Vulnerabilities (деталі)
  • Vulnerabilities in phpMyAdmin (деталі)
  • typo3-src security update (деталі)

Похакані сайти №188

22:49 17.05.2012

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://vetlabresearch.gov.ua (хакером F.L.H) - 02.03.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://artemivsk-rada.gov.ua (хакером AL.MaX HaCkEr) - 04.04.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://dostavkasushi.kiev.ua (хакером s4udi-h4ck) - 04.06.2011, зараз сайт вже виправлений адмінами
  • http://nabat.mk.ua (хакером xrootx) - 18.05.2012, зараз сайт вже виправлений адмінами
  • http://iardi.org (хакером ghost-dz) - 14.05.2012, зараз сайт вже виправлений адмінами