Уразливості на bonus.privatbank.ua

22:57 31.12.2023

Раніше, 18.03.2013, я знайшов Full path disclosure, Information Leakage та інші уразливості на сайті bonus.privatbank.ua. В той час я вислав ці уразливості банку.

Full path disclosure (WASC-13):

http://bonus.privatbank.ua/news/list/-1
http://bonus.privatbank.ua/stock/list/-1

Information Leakage (WASC-13):

SQL DB Structure Extraction на обох цих сторінках.

Full path disclosure (WASC-13):

http://bonus.privatbank.ua/stock/

Abuse of Functionality (WASC-42):

Також можна було на сторінці сайту (лише за IP адресою) підбирати LDAP-логіни керівників департаментів. Бо різні відповіді при коректному і некоректному логіні.

http://217.117.65.248/s3/monitoring/report/create

Insufficient Authentication (WASC-01):

Доступ до цього розділу заборонений по домену, але доступний на 217.117.65.248 (по IP).

ПриватБанк тоді прийняв ці уразливості в свою програму, не оплатив і через багато років приховано виправив. Таким чином банк кинув мене, як це було з дірками на цьому та інших сайтах ПБ.

Вийшли PHP 8.0.29, 8.1.20 і 8.2.7

19:35 31.12.2023

У червні, 08.06.2023, вийшли PHP 8.0.29, PHP 8.1.20 і PHP 8.2.7. У PHP 8.0.29 виправлена одна уразливість, у всіх інших версіях виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x, 8.1.x і 8.2.x.

У PHP 8.0.29, 8.1.20 і 8.2.7 виправлено:

  • Недостатня ентропія байтів у HTTP Digest authentication для SOAP (лише ця в усіх версіях).
  • Численні вибивання.
  • Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Діяльність Українських Кібер Військ

16:22 31.12.2023

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022, дані за 05.09.2022-11.09.2022, дані за 12.09.2022-18.09.2022, дані за 19.09.2022-25.09.2022, дані за 26.09.2022-02.10.2022, дані за 03.10.2022-09.10.2022, дані за 10.10.2022-16.10.2022, дані за 17.10.2022-23.10.2022, дані за 24.10.2022-30.10.2022, дані за 31.10.2022-06.11.2022, дані за 07.11.2022-13.11.2022, дані за 14.11.2022-20.11.2022 та за 21.11.2022-27.11.2022, дані за 28.11.2022-04.12.2022, дані за 05.12.2022-11.12.2022, дані за 12.12.2022-18.12.2022 та за 19.12.2022-25.12.2022. Це нові дані.

У грудні:

П’ятий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3WIEVLd.
Українські Кібер Війська виявили нові супутникові дані аеродрому в Саратові https://bit.ly/3hQjTf5.
Відео-розвідка: УКВ виявили, як російський окупант висилає додому награбоване поштою в м. Клинці https://bit.ly/3Vr5weE.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3WPxx0M.
Українські Кібер Війська щодня виявляють російські гради в Донецьку https://bit.ly/3vuTfv7.
Ось як будуть святкувати Новий Рік в Росії. Поки українці без електрики через їхні ракетні удари https://bit.ly/3WwNgCd.
Українські Кібер Війська заблокували 315 сайтів терористів https://bit.ly/3CbllPM.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку і Криму https://bit.ly/3G5rjD9.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3Q7p2f7.
Вітаю українців з Новим Роком! А росіянам в подарунок вимкнення кондиціонерів і навіть електрики https://bit.ly/3VD9q48.
Українські Кібер Війська записали відео як окупанти святкували в Луганську http://on.fb.me/17jACgP.

Уразливості в плагінах для WordPress №358

23:58 30.12.2023

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Question Answer, Arforms, Media File Manager, WP User Manager, PeepSo. Для котрих з’явилися експлоіти.

  • WordPress Question Answer 1.2.30 Cross Site Scripting (деталі)
  • WordPress Arforms 3.5.1 Arbitrary File Delete (деталі)
  • WordPress Media File Manager 1.4.2 Directory Traversal (деталі)
  • WordPress WP User Manager 2.0.8 SQL Injection (деталі)
  • WordPress PeepSo 1.11.2 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Добірка експлоітів

19:35 30.12.2023

В даній добірці експлоіти в веб додатках:

  • AD Manager Plus 7122 - Remote Code Execution (RCE) (деталі)
  • D-Link DIR-846 - Remote Command Execution (RCE) vulnerability (деталі)
  • PostgreSQL 9.6.1 - Remote Code Execution (RCE) (Authenticated) (деталі)
  • Dell EMC Networking PC5500 firmware versions 4.1.0.22 and Cisco Sx / SMB - Information Disclosure (деталі)
  • SOUND4 LinkAndShare Transmitter 1.1.2 - Format String Stack Buffer Overflow (деталі)

Діяльність Українських Кібер Військ

16:21 30.12.2023

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022, дані за 05.09.2022-11.09.2022, дані за 12.09.2022-18.09.2022, дані за 19.09.2022-25.09.2022, дані за 26.09.2022-02.10.2022, дані за 03.10.2022-09.10.2022, дані за 10.10.2022-16.10.2022, дані за 17.10.2022-23.10.2022, дані за 24.10.2022-30.10.2022, дані за 31.10.2022-06.11.2022, дані за 07.11.2022-13.11.2022, дані за 14.11.2022-20.11.2022 та за 21.11.2022-27.11.2022, дані за 28.11.2022-04.12.2022, дані за 05.12.2022-11.12.2022 та за 12.12.2022-18.12.2022. Це нові дані.

У грудні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3hES0q6.
Українські Кібер Війська щодня виявляють російські гради в Донецьку https://bit.ly/3HSFaPA.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3GcXWAb.
Відео-розвідка: УКВ виявили стан з харчами в Росії https://bit.ly/3WEAPUp.
Українські Кібер Війська щодня виявляють російську військову техніку у Донецьку https://bit.ly/3FUGA9I.
Українські Кібер Війська заблокували 315 сайтів терористів https://bit.ly/3vgqKBs.
Українські Кібер Війська виявили сто терористів з МНС ДНР https://bit.ly/3YOR0k4.
Мої подарунки на Різдво https://bit.ly/3hSj9pu.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3WnEnL5.
Українські Кібер Війська записали колону військової техніки в Керчі https://bit.ly/3FVAvKk.

Вийшли PHP 8.1.19 і 8.2.6

23:57 29.12.2023

У травні, 11.05.2023, вийшли PHP 8.1.19 і PHP 8.2.6. У версії PHP 8.1.19 виправлено багато багів і уразливостей, у версії PHP 8.2.6 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x і 8.2.x.

У PHP 8.1.19 і 8.2.6 виправлено:

  • Численні вибивання.
  • Пошкодження пам’яті.
  • Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Похакані сайти №403

18:35 29.12.2023

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://vtz.asv.gov.ua (хакером KatiB) - 10.11.2023 - похаканий державний сайт
  • http://journals.dnpb.gov.ua (хакером KatiB) - 10.11.2023 - похаканий державний сайт
  • http://journal.sops.gov.ua (хакером KatiB) - 10.11.2023 - похаканий державний сайт
  • http://npstudies.dnpb.gov.ua (хакером KatiB) - 10.11.2023 - похаканий державний сайт
  • https://raisa.gadalka.s-host.net (росіянами) - 15.03.2022
  • https://rushana.com.ua (росіянами) - 15.03.2022
  • KatiB хакнув 288 сайтів, окрім раніше згаданих п’яти державних - 10.11.2023

Діяльність Українських Кібер Військ

16:27 29.12.2023

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022, дані за 05.09.2022-11.09.2022, дані за 12.09.2022-18.09.2022, дані за 19.09.2022-25.09.2022, дані за 26.09.2022-02.10.2022, дані за 03.10.2022-09.10.2022, дані за 10.10.2022-16.10.2022, дані за 17.10.2022-23.10.2022, дані за 24.10.2022-30.10.2022, дані за 31.10.2022-06.11.2022, дані за 07.11.2022-13.11.2022, дані за 14.11.2022-20.11.2022 та за 21.11.2022-27.11.2022, дані за 28.11.2022-04.12.2022 та за 05.12.2022-11.12.2022. Це нові дані.

У грудні:

Третій тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3uKhFAu.
Українські Кібер Війська щодня виявляють російські БМД у Донецьку https://bit.ly/3iXR9Bh.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3Hvxm6n.
Відео-розвідка: УКВ виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3uW9yBc.
Українські Кібер Війська заблокували 315 сайтів терористів https://bit.ly/3PvPlLK.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку https://bit.ly/3HJytiI.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3uWzb4I.
Відео-розвідка: російський окупант отримав бронежилет поштою в Бєлгороді https://bit.ly/3HLMnBg.
Українські Кібер Війська закрили сайт терористів dninews .com https://bit.ly/3W8dMBD.

Добірка експлоітів

22:50 28.12.2023

В даній добірці експлоіти в веб додатках:

  • Hashicorp Consul v1.0 - Remote Command Execution (RCE) (деталі)
  • X-Skipper-Proxy v0.13.237 - Server Side Request Forgery (SSRF) (деталі)
  • Hughes Satellite Router HX200 v8.3.1.14 - Remote File Inclusion (деталі)
  • TP-Link TL-WR902AC firmware 210730 (V3) - Remote Code Execution (RCE) (Authenticated) (деталі)
  • Nexxt Router Firmware 42.103.1.5095 - Remote Code Execution (RCE) (Authenticated) (деталі)