Websecurity - Веб безпека

Продовжуючи тему технологій захисту від Cross-Site Scripting атак, після статей про HttpOnly, метод захисту з JavaScript та X-XSS-Protection, розповім про технологію захисту від XSS атак, що передбачає використання браузерів з XSS Auditor. Дані технології слід застосовувати разом з аудитом безпеки веб сайтів.

Це продовження попередньої статті. Бо технологія XSS Auditor працює в парі саме з заголовком X-XSS-Protection. Який встановлюється на сервері до всіх веб сторінок, які треба захистити від XSS атак на стороні клієнта.

В попередній статті я писав про два режими, але ще є третій режим report, що працює лише в Google Chrome. Це стандартний режим (що не вказується), block (режим блокування відображення сторінки) та report (в цьому випадку сторінка буде відфільтрована для захисту від XSS з повідомленням на вказану адресу).

Веб додаток повинен у своїй відповіді вказати відповідний серверний заголовок:

X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=http:/site/page

Якщо вказати “0″, то захист буде виключено, якщо вказати “1″, то браузер з підтримкою цього заголовка, включить захист від XSS на даній сторінці. Режим захисту може бути стандартний (фільтрація потенційного XSS коду), блокування (що задається параметром mode=block) або фільтрація з рапортом (що задається параметром mode=report).

Даний заголовок був розроблений Microsoft і вперше його підтримка була додана в Internet Explorer 8 в березні 2009. Пізніше Google додала його підтримку в свій браузер Chrome та Apple в свій браузер Safari. В 2010 році була виявлена уразливість в XSS Filter в IE8, що дозволяла виконувати атаки на веб сторінки, що навіть не мали XSS уразливостей (а в наступні роки були виявлені подібні уразливості, що також працювали в Chrome та Safari).

Особливості даної технології:

1. Використання заголовка захищає лише від reflected XSS.

2. Захист працює лише в браузерах, що підтримують заголовок.

3. Можливі методи обходу даної технології, або ж використання її для проведення XSS атак на довільні сайти, як це було виявлено неодноразово.

X-XSS-Protection підтримують наступні браузери:

• Internet Explorer 8+
• Google Chrome 8+
• Google Chrome Mobile
• Apple Safari 5+
• Safari Mobile

Дана технологія захисту від XSS атак має свої достоїнства та недоліки. Як я вже казав, жодна з цих допоміжних технологій не може дати 100% гарантію захисту від XSS атак і вирішує лише частину проблеми, тільки виявлення та виправлення всіх XSS уразливостей дасть надійних захист. Але ці технології можна використати в парі з проведенням аудиту безпеки своїх сайтів, як додатковий елемент безпеки.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WooCommerce Amazon Affiliates, Exquisite Ultimate Newspaper, TheCartPress, Ultimate Product Catalogue і XSS уразливість в WordPress. Для котрих з’явилися експлоіти.

• WordPress WooCommerce Amazon Affiliates 7.0 Shell Upload / File Disclosure (деталі)
• WordPress 4.2 Cross Site Scripting (деталі)
• WordPress Exquisite Ultimate Newspaper 1.3.3 Cross Site Scripting (деталі)
• WordPress TheCartPress 1.3.9 XSS / Local File Inclusion (деталі)
• WordPress Ultimate Product Catalogue 3.1.2 XSS / CSRF / File Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Цього року відбувся новий масовий взлом сайтів на сервері Ukraine. Він відбувся з 03.04.2015 по 27.05.2016. П’ятий масовий взлом сайтів на сервері Ukraine відбувся раніше.

Був взломаний сервер української компанії Ukraine. Взлом складався з двох масових дефейсів та декількох окремих дефейсів.

Всього було взломано 50 сайтів на сервері хостера Ukraine (IP 185.68.16.118). Перелік сайтів можете подивитися на www.zone-h.org. Серед них державний сайт kuibrda.gov.ua.

З зазначених 50 сайтів 24 сайти були взломані хакерами з TeaM_CC, 9 сайтів хакером Mr.Ferksh, 5 сайтів хакером Matrix Dz, 4 сайти хакером Moh Ooasiic, 3 сайти хакером Dr.ViP, 2 сайти хакером TheWayEnd та по одному хакерами RootDeveloper, Karahan, HolaKo.

Масові дефейси хакерами з TeaM_CC і Mr.Ferksh явно були зроблені через взлом серверу хостінг провайдера. У випадку окремих дефейсів по одному або декілька сайтів, всі вони явно були зроблені при взломах окремих сайтів. Але також можлива атака на інші сайти на даному сервері через взлом одного сайту та використання уразливостей в програмному забезпеченні самого сервера.

Виявлена Information Disclosure уразливість в Microsoft .NET Framework та Microsoft Windows.

Уразливі продукти: Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1.

Витік інформації в TLS/SSL протоколі, що імплементований в компоненті шифрування .NET Framework. При використанні уразливості нападник може дешифрувати зашифрований трафік через MITM-атаку.

• Microsoft Security Bulletin MS16-065 - Important Security Update for .NET Framework (3156757) (деталі)

В даній добірці експлоіти в веб додатках:

• Manage Engine Network Configuration Manager Build 11000 - CSRF (деталі)
• Viprinet Multichannel VPN Router 300 - Stored XSS Vulnerabilities (деталі)
• NETGEAR ProSafe Network Management System NMS300 - Multiple Vulnerabilities (деталі)
• Rejetto HTTP File Server (HFS) 2.3.x - Remote Command Execution (деталі)
• TrendMicro node.js HTTP Server Listening on localhost Can Execute Commands (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://res.com.ua - інфекція була виявлена 17.05.2016. Зараз сайт входить до переліку підозрілих.
• http://kipt.kharkov.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://7sky.net.ua - інфекція була виявлена 24.05.2016. Зараз сайт входить до переліку підозрілих.
• http://fpd.tntu.edu.ua - інфекція була виявлена 17.05.2016. Зараз сайт не входить до переліку підозрілих.
• http://kondi.kiev.ua - інфекція була виявлена 24.05.2016. Зараз сайт не входить до переліку підозрілих.

Виявлена уразливість безпеки в Microsoft IIS.

Уразливі продукти: Microsoft Internet Information Services для Windows Vista та Windows Server 2008.

Виконання коду при доступі до файлової системи через завантаження DDL.

• Microsoft Security Bulletin MS16-058 - Important Security Update for Windows IIS (3141083) (деталі)

У квітні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у травні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.05.2016
DDoS на cikdnr.ru - 01-15.05.2016
DDoS на cik-lnr.info - 01-15.05.2016
DDoS на без-вести.рф - 01-15.05.2016
DDoS на ungu.org - 01-15.05.2016
DDoS на bne.su - 01-15.05.2016
DDoS на dnrpress.ru - 01-15.05.2016
DDoS на europeanfront.info - 01-15.05.2016
DDoS на batalyonmoskva.ru - 01-15.05.2016
DDoS на icp.su - 01-15.05.2016

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В даній добірці уразливості в веб додатках:

• HP H-series Fibre Channel Switches, Remote Disclosure of Information (деталі)
• 0-day administrator account creation in Desktop Central (деталі)
• Osclass <= 3.4.2 (Search::setJsonAlert) SQL Injection Vulnerability (деталі)
• Osclass <= 3.4.2 (ajax.php) Local File Inclusion Vulnerability (деталі)
• RSA NetWitness and RSA Security Analytics Authentication Bypass Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Add Link To Facebook, Premium SEO Pack, InBoundio Marketing, WPshop eCommerce і темі QAEngine. Для котрих з’явилися експлоіти.

• WordPress Add Link To Facebook 1.215 Cross Site Scripting (деталі)
• WordPress Premium SEO Pack 1.8.0 Shell Upload / File Disclosure (деталі)
• WordPress QAEngine Theme 1.4 Privilege Escalation (деталі)
• WordPress InBoundio Marketing 2.0 Shell Upload (деталі)
• WordPress WPshop eCommerce 1.3.9.5 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.