Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://kprda.gov.ua (хакером Error 7rB) - 13.01.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pustomyty-rada.gov.ua (хакером moroccanwolf) - 27.01.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://plg.com.ua (хакером d3b~X) - 13.01.2015, зараз сайт вже виправлений адмінами
• http://mebel-german.com (хакером the_warri0r) - 25.03.2015, зараз сайт вже виправлений адмінами
• http://tvmeasurements.org (хакером w4l3XzY3) - 20.03.2015, зараз сайт вже виправлений адмінами

Виявлена можливість DoS атаки проти Apache Xerces-C.

Уразливі версії: Apache Xerces-C 3.1.

Пошкодження пам’яті при розборі XML.

• Xerces-C Security Advisory [CVE-2015-0252] (деталі)

В даній добірці уразливості в веб додатках:

• RSA Archer GRC Multiple Cross-Site Scripting Vulnerabilities (деталі)
• Multiple vulnerabilities in Readsoft Invoice Processing and Process Director (деталі)
• Pro Chat Rooms v8.2.0 - Multiple Vulnerabilities (деталі)
• reportbug security update (деталі)
• Open-Xchange Security Advisory 2014-01-06 (деталі)

У серпні, 07.08.2014, я знайшов та SQL Injection, Cross-Site Scripting та Full Path Disclosure уразливості в Nodes Studio CMS.

Це російська комерційна CMS, що я виявив на одному сайті російських терористів і пропагандистів.

SQL Injection (WASC-19):

http://site/news/%22%20or%20benchmark(10000000,md5(now()))%3E0%23

В системі наявна фільтрація ключових слів (таких як from) для протидії SQLi атакам. Але це можна обійти за допомогою спеціальної техніки, або можна провести DoS атаку через SQLi.

Cross-Site Scripting (WASC-08):

http://site/news/%22%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E

Full Path Disclosure (WASC-13):

http://site/news/%22%201

Уразливі всі версії системи.

У квітні, 03.04.2015, вийшов Mozilla Firefox 37.0.1. Нова версія браузера вийшла через 3 дні після виходу Firefox 37.

Це секюріті випуск в якому усунуті дві уразливості. А також вимкнена підтримка HTTP/2 AltSvc та виправлене вибивання при запуску браузера з деякими графічними драйверами та програми інших виробників. Мозіла не зарахувала цей crash до уразливостей, а до багів, як вона це дуже часто робить.

Виправлені уразливості з витоком інформації в Reader mode та обходом перевірки сертифікату через HTTP/2 Alt-Svc заголовок.

• Mozilla Foundation Security Advisory 2015-43 Loading privileged content through Reader mode
• Mozilla Foundation Security Advisory 2015-44 Certificate verification bypass through the HTTP/2 Alt-Svc header
• DoS уразливість при роботі з деякими графічними драйверами

Виявлені численні уразливості безпеки в Apache Subversion.

Уразливі версії: Apache Subversion 1.8.

Вичерпання ресурсів, DoS, підміна інформації.

• Vulnerabilities in Apache Subversion (деталі)

В даній добірці експлоіти в веб додатках:

• D-Link DSL-2640B Unauthenticated Remote DNS Changer Vulnerability (деталі)
• CrushFTP 7.2.0 Cross Site Request Forgery / Cross Site Scripting Vulnerabilities (деталі)
• PHPMemcachedAdmin 1.2.2 Remote Code Execution Vulnerability (деталі)
• ManageEngine Password Manager Pro SQL Injection Exploit (деталі)
• MS14-064 Microsoft Windows OLE Package Manager Code Execution Exploit (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WPSS, GB Gallery Slideshow та CK-And-SyntaxHighLighter. Для котрих з’явилися експлоіти. WordPress Spreadsheet (WPSS) - це плагін для розміщення таблиць, GB Gallery Slideshow - це плагін для створення галереї та слайдшоу, CK-And-SyntaxHighLighter - це плагін для підсвітки синтаксису.

• WordPress WPSS 0.62 Cross Site Scripting (деталі)
• WordPress GB Gallery Slideshow 1.5 SQL Injection (деталі)
• WordPress CK-And-SyntaxHighLighter Arbitrary File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні я опублікував відео про мою систему Web Virus Detection System (Web VDS). Це система виявлення вірусів на веб сайтах.

Більш детально про Web Virus Detection System ви можете прочитати в розділі мого сайту.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://georg.kiev.ua - інфекція була виявлена 28.03.2015. Зараз сайт входить до переліку підозрілих.
• http://vsvete.com.ua - інфекція була виявлена 03.02.2015. Зараз сайт не входить до переліку підозрілих.
• http://osvita-nv.kh.ua - інфекція була виявлена 26.03.2015. Зараз сайт входить до переліку підозрілих.
• http://screenshot.com.ua - інфекція була виявлена 13.04.2015. Зараз сайт не входить до переліку підозрілих.
• http://staroverovka.ucoz.ua - інфекція була виявлена 22.01.2015. Зараз сайт не входить до переліку підозрілих.