XSS уразливість на w3schools.com

23:55 22.04.2017

У лютому, 15.02.2017, я знайшов Cross-Site Scripting уразливість на сайті http://w3schools.com. Ця уразливість працює й досі. Про що найближчим часом сповіщу адміністрацію сайта.

Це онлайновий інтерпретатор HTML і JavaScript. Подібний до мого інтерпретатору MustLive Perl Pascal Programs Interpreter, що я розробив в 2006 році. Раніше я писав про уразливості в онлайн інтерпретаторах, зокрема про Cross-Site Scripting в моєму Perl Pas Interpreter і в CodeIDE, а також DoS в Perl Pas Interpreter і TryRuby. Про що можете почитати в статтях Міжмовний XSS - Cross-Language Scripting та DoS в онлайн інтерпретаторах.

XSS (Strictly social XSS):

https://www.w3schools.com/code/tryit.asp?filename=FCQSXD7SFDNW

Код спрацює при кліку по кнопці Run, що можна автоматизувати з використанням ClickJacking, тому що на сайті немає захисту від таких атак.

XSS:

POST запит до https://tryit.w3schools.com/tryit_view.php
code=%3Cw3scrw3ipttag%3Ealert(document.cookie)%3C%2Fw3scrw3ipttag%3E

Це два варіанти запуску тієї самої уразливості. Враховуючи, що XSS в онлайн інтерпретаторі, то це Cross-Language Scripting.

Похакані сайти №335

21:12 22.04.2017

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://compet.kh.gov.ua (хакером jok3r) - 26.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://vn.dsp.gov.ua (хакером RxR) - 08.11.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://sadyukrainy.com.ua (хакером dump3cz) - 18.03.2017. Спочатку сайт був хакнутий іншими хакерами, потім 18.03.2017 хакером dump3cz, 27.03.2017 хакерами darkshadow-tn і fallag gassrini, 30.03.2017 хакером GeNErAL, зараз сайт закритий адмінами
  • http://ufc.dp.ua (хакером TheWayEnd) - 25.02.2017, зараз сайт вже виправлений адмінами
  • http://kinematica.com.ua (хакером GeNErAL) - 01.04.2017, зараз сайт вже виправлений адмінами

Численні уразливості в Mozilla Firefox і Thunderbird

20:07 22.04.2017

Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.

Уразливі продукти: Mozilla Firefox 52, Firefox ESR 45.8, Thunderbird 45.8.

Пошкодження пам’яті, переповнення буферу, виконання коду, обхід обмежень, XSS, вибивання, витік інформації, читання та запис довільних файлів на комп’ютері, підробка адресного рядку, включення HTML у вбудований RSS Reader.

Добірка експлоітів

17:28 22.04.2017

В даній добірці експлоіти в веб додатках:

  • Hitron CGNV4 Modem/Router 4.3.9.9-SIP-UPC - Multiple Vulnerabilities (деталі)
  • Iris ID IrisAccess ICU 7000-2 - Multiple Vulnerabilities (деталі)
  • Iris ID IrisAccess ICU 7000-2 - Remote Command Execution (деталі)
  • FreePBX 13 / 14 - Remote Command Execution / Privilege Escalation (деталі)
  • Samsung Smart Home Camera SNH-P-6410 - Command Injection (деталі)

Уразливості в плагінах для WordPress №249

23:57 21.04.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Private Only, Navis DocumentCloud, Responsive Thumbnail Slider, Captain Slider, sourceAFRICA. Для котрих з’явилися експлоіти.

  • WordPress Private Only 3.5.1 CSRF / Cross Site Scripting (деталі)
  • WordPress Navis DocumentCloud 0.1 Cross Site Scripting (деталі)
  • WordPress Responsive Thumbnail Slider 1.0 Shell Upload (деталі)
  • WordPress Captain Slider 1.0.6 Cross Site Scripting (деталі)
  • WordPress sourceAFRICA 0.1.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

DDoS attacks via other sites execution tool

21:14 21.04.2017

В квітні, 20.04.2017, вийшла нова версія програми DAVOSET v.1.3.2. В новій версії:

  • Додав підтримку XXE уразливості в CyberPower Systems PowerPanel.
  • Додав нові сервіси в повний список зомбі.
  • Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 200 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.2.rar.

Уразливості в Apple Safari і Webkit

20:01 21.04.2017

Виявлені уразливості безпеки в Apple Safari і Webkit.

Уразливі продукти: Apple Safari 8.0, Safari 9.1, Safari 10.0.

Універсальний XSS в функції Reader браузера, пошкодження пам’яті, виконання коду, витік інформації.

Добірка уразливостей

17:20 21.04.2017

В даній добірці уразливості в веб додатках:

  • SAP BusinessObjects Persistent Cross Site Scripting (деталі)
  • Reflected Cross-Site Scripting vulnerability in asdoc generated documentation (деталі)
  • XSS vuln in phpTrafficA (деталі)
  • Multiple vulnerabilities in MediaWiki (деталі)
  • SAP Business Objects Information Disclosure (деталі)

Вийшов WordPress 4.7.3

23:57 20.04.2017

У березні, 06.03.2017, вийшла нова версія WordPress 4.7.3.

WordPress 4.7.3 це багфікс та секюріті випуск нової 4.7 серії. В якому розробники виправили 39 багів та 6 уразливостей. Це 3 XSS уразливості, URL Redirector Abuse, видалення недозволених файлів в адмінці та CSRF уразливість.

Також в цей день вийшли WordPress 4.0.16, 4.1.16, 4.2.13, 4.3.8, 4.4.8, 4.5.7 і 4.6.4. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.

Уразливості в Microsoft XML Core Services

22:46 20.04.2017

Виявлена уразливість в Microsoft Windows у компоненті XML Core Services. Атака відбувається через Internet Explorer.

Уразливі продукти: Microsoft Windows Vista, Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows RT 8.1, Windows 10, Windows Server 2016.

Витік інформації через визначення наявності файлів на диску.

  • Microsoft Security Bulletin MS17-022 - Important Security Update for Microsoft XML Core Services (4010321) (деталі)