Архів за Червень, 2013

XSS уразливості в WordPress

23:52 29.06.2013

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема XSS при редагуванні медіа. Вони віднесли це не до дірок, а до “посилення безпеки”, але я вважаю це уразливостями. Хоча з опису це виглядає як одна XSS, але як я сьогодні вияснив, в формі редагування медіа є дві XSS уразливості (причому persistent XSS).

Раніше я вже писав про DoS уразливість в WordPress.

Cross-Site Scripting (WASC-08):

Це persistent XSS уразливості на сторінці http://site/wp-admin/post.php?post=1&action=edit в параметрах excerpt та content. Для атаки потрібно обійти захист від CSRF (отримати токен _wpnonce, що можна зробити з використанням reflected XSS).

WordPress 3.5.1 XSS-1.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки.

WordPress 3.5.1 XSS-2.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки або сторінки http://site/page_name/attachment/1/.

Уразливі версії WordPress 3.5.1 та попередні версії.

Новини: сертифікат Opera, МВС України та оновлений OWASP Top 10

22:46 29.06.2013

За повідомленням www.xakep.ru, в Opera украли сертифікат.

Opera Software повідомила, що 19 червня 2013 року виявлена цільова атака з проникненням у внутрішню мережу компанії. Зловмисникам удалося одержати “як мінімум один старий і прострочений сертифікат Opera для підпису коду”.

Таким чином, зловмисники змогли поширювати шкідливі програми за підписом Opera Software. Інцидент аналогічний крадіжці сертифіката Adobe у вересні 2012 року. Шкідлива програма була поміщена в автоапдейт браузера. По оцінці експертів, проблема торкнулася всього кілька тисяч користувачів по усьому світі.

За повідомленням ain.ua, МВС України оголосило війну кіберзлочинності.

Рівень кіберзлочинності в Україні неухильно зростає, чого не скажеш про статистику розкриття комп’ютерних злочинів.

Управління МВС по боротьбі з кіберзлочинністю повідомляє, що з 1 по 30 червня в більшості областей України буде проведена планова операція під умовною назвою “Трікстер” (від англійського trickster - ошуканець, ловкач). Ціль операції - активізація заходів щодо розкриття фактів шахрайства в мережі Інтернет.

Особливої користі від цього “кіберпідрозділу” для України не було. Але подивимося на результати їх нової операції ;-) .

За повідомленням www.xakep.ru, оновився список топ-10 уразливостей від OWASP.

Учасники проекту Open Web Application Security Project (OWASP) уже десять років складають список Топ-10 самих небезпечних уразливостей у веб додатках, намагаючись привернути увагу усіх веб розробників. На сайті OWASP кожна з уразливостей розбирається докладно.

OWASP Top 10 2013:

A1 Впровадження коду.
A2 Некоректна аутентифікація і керування сесією.
A3 Міжсайтовий скриптінг (XSS).
A4 Небезпечні прямі посилання на об’єкти.
A5 Небезпечна конфігурація.
A6 Витік чуттєвих даних.
A7 Відсутність контролю доступу до функціонального рівня.
A8 Підробка міжсайтових запитів (CSRF).
A9 Використання компонентів з відомими уразливостями.
A10 Невалідовані редіректи.

Вийшов PHP 5.5.0

19:04 29.06.2013

У червні, 20.06.2013, вийшов PHP 5.5.0. Вихід нової гілки PHP є значним покращенням 5.x серії, який включає багато нових функцій та виправлень багів.

Серед головних нововведень наступні: додані генератори та сопрограми, ключове слово finally, спрощене API для хешування паролів та багато інших нововведень в мові програмування.

В PHP 5.5.0 також додане розширення Zend OPcache, оновлена бібліотека GD до версії 2.1 та зроблено багато інших покращень і виправлень багів. Також починаючи з цієї версії зупинена підтримка Windows XP і 2003.

По матеріалам http://www.php.net.

Добірка експлоітів

16:27 29.06.2013

В даній добірці експлоіти в веб додатках:

  • Oracle WebCenter Sites Satellite Server - HTTP Header Injection (деталі)
  • Apache Rave 0.11 - 0.20 - User Information Disclosure Vulnerability (деталі)
  • Havalite CMS Arbitary File Upload Exploit (деталі)
  • HP System Management Homepage JustGetSNMPQueue Command Injection (деталі)
  • ZPanel 10.0.0.2 htpasswd Module Username Command Execution (деталі)

DoS уразливість в WordPress

23:57 28.06.2013

Нещодавно, Krzysztof опублікував Denial of Service уразливість в WordPress 3.5.1. Після того як він знайшов уразливість та проінформував розробників WP про неї, які проігнорували її, 07.06.2013 він оприлюднив деталі.

В WordPress була виявлена DoS уразливість. Що дозволяє проводити DoS атаки через кукіси до паролів постів і сторінок (якщо на сайті є хоча б один пост чи сторінка захищена паролем). Вже після оприлюднення деталей уразливості, розробники движка виправили її в версії WP 3.5.2.

Раніше я вже писав про Content Spoofing в TinyMCE та WordPress.

Denial of Service (WASC-10):

Уразливість наявна в class-phpass.php. Для паролів в постах і сторінках в останніх версіях WP розробники вирішили використати криптографію (зовнішній додаток PHPass). І при цьому допустили можливість передачі довільних значень в якості паролю, що може призвести до значного навантаження на сервер. В своєму адвізорі автор пропонує експлоіт та патч проти цієї уразливості.

Уразливі версії WordPress 3.4 - 3.5.1.

P.S.

Враховуючи проблеми в роботі оригінального PoC, я розробив власний експлоіт для цієї DoS уразливості:

wordpress-dos.py

DDoS attacks via other sites execution tool

22:48 28.06.2013

Сьогодні вийшла нова версія програми DAVOSET v.1.0.8. В новій версії:

  • Додав підтримку POST запитів.
  • Додав новий сервіс в обидва списки зомбі.
  • Виправив баг з введенням URL сайта.

З доданням підтримки POST запитів до уразливих сайтів, також був змінений формат файлів зі списками зомбі-сервісів. Новий формат файла зворотно сумісний з попереднім форматом.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.0.8.rar.

Добірка уразливостей

20:11 28.06.2013

В даній добірці уразливості в веб додатках:

  • Multiple Vulnerabilities in Linksys WRT160Nv2 (деталі)
  • Multiple Vulnerabilities in Linksys WAG200G (деталі)
  • Multiple Vulnerabilities in Linksys E1500/E2500 (деталі)
  • Sony Playstation Vita Browser - firmware 2.05 - Adressbar spoofing (деталі)
  • RSA Archer GRC Multiple Vulnerabilities (деталі)

Похакані сайти №231

17:25 28.06.2013

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://security.af.gov.ua (хакером LaMiN3 DK) - 09.02.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://www.af.gov.ua (хакером ghost-dz) - 09.02.2013 - похаканий державний сайт
  • http://www.red-scorpio.com (хакером Hmei7) - 25.01.2013, зараз сайт вже виправлений адмінами
  • http://kreditnalichnimi.com.ua (хакерами з IndonesianCoder Team) - 31.01.2013, зараз сайт вже виправлений адмінами
  • http://chip.ua (хакерами UmiT і Spaut) - 21.06.2013, зараз сайт вже виправлений адмінами

DoS проти pymongo

23:54 27.06.2013

Виявлена можливість проведення DoS атаки проти pymongo - бібліотеки Python для роботи з MongoDB.

Уразливі версії: pymongo 2.5.

Звертання по нульовому вказівнику.

Уразливості в плагінах для WordPress №109

22:44 27.06.2013

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-SendSMS, NextGEN Gallery та Ultimate WordPress Auction. Для котрих з’явилися експлоіти. WP-SendSMS - це плагін для відправки смс-повідомлень, NextGEN Gallery - це плагін для створення галерей зображень, Ultimate WordPress Auction - це плагін для створення аукціону.

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.