Websecurity - Веб безпека

Раніше, 24.03.2013, я знайшов Information Leakage, Insufficient Authentication та Full path disclosure уразливості на сайті idea.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s3/monitoring/report/list
http://217.117.65.248/s3/monitoring/report/list.html

Витік інформації про звіти банку, що призначені не для всіх.

Insufficient Authentication (WASC-01):

Доступ до цього розділу на https://idea.privatbank.ua заборонений, але доступний на http://217.117.65.248 - якщо зайти на сайт по IP.

А також це стосується інших ресурсів, які на idea.privatbank.ua вимагають аутентифікації.

Full path disclosure (WASC-13):

http://217.117.65.248/s3/monitoring/report/list
http://217.117.65.248/s3/monitoring/report/list.html

Тут є витік повного шляху на сервері (чотирьох скриптів) та адреси в LAN, а також наявні ще інші дірки, про які напишу окремо.

ПриватБанк тоді проігнорував їх та не оплатив. Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.

У жовтні, 24.10.2024, вийшли PHP 8.2.25 і PHP 8.3.13. У версії PHP 8.2.25 виправлено багато багів і уразливостей, у версії PHP 8.3.13 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.2.x і 8.3.x.

У PHP 8.2.25 і 8.3.13 виправлено:

• Численні вибивання.
• Декілька витоків пам’яті.
• Численні пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Мене іноді запитують стосовно відсутності SSL/TLS сертифікату на сайті. До безпеки моїх читачів SSL сертифікат прямого відношення не має. Саме тому не встановив його з 2006 року.

Хакають сайти через дірки, а не через наявність чи відсутність сертифікату. Який лише шифрує дані між браузером та сайтом. І як ви можете бачити по спискам зламаних сайтів за останні 30 років на західних архівах дефейсів чи в моїх публікаціях за всі ці роки - раніше хакали переважно http, бо мало хто ставив сертифікати на сайти, в останні роки майже всі хакнуті з https (як раз активно почали встановлювати з 2014 року). Тобто ніякої безпеки ресурсам це не додало, як би реклама не нав’язувала сертифікати.

Але тотальна пропаганда https впливає на людей, бо всі постійно чують про SSL сертифікати і знають “популярні правила”, що треба лише на https ходити. І для деяких сайтів це правильно, зокрема банки та всі сайти, де є фінансові дані чи будь-які облікові дані. Проте варто розуміти де насправді це потрібно.

Впливає також на власників сайтів і вони купують сертифікати. Продавці заробляють на цьому. Для деяких сайтів це важливо, але для просто інформаційних ні. Вони як не були потрібні в 1991 році, коли з’явився перший сайт і не було ще SSL, так і зараз не потрібні для багатьох сайтів, як от мій.

Також чимало стикався з випадками ще з 2005, коли люди відмовлялися виправляти дірки на своїх сайтах, про які їм повідомляв. Бо в них SSL сертифікат на сайті, тому вважають “все безпечним” і по факту забивають на безпеку. Ні секюріті аудитів не проводять, ні дірки не виправляють.

Сам звернув увагу, що багато власників сайтів почали купувати сертифікати в 2014 і поголовно в 2015, кожен сайт терористів ДНР, ЛНР та інші вороги перейшли на SSL. За рік тоді всі перейшли.

А продавці сертифікатів за 2014-25 роки багато грошей заробили на росіянах та досі підтримують агресію проти України, про це я щодня нагадую багато років. Перелік компаній, що роками видають SSL сертифікати сайтам російських терористів. Серед них компанії з Англії, США, Бельгії та інших країн https://bit.ly/3ccqDRi. Тому не варто їх фінансово підтримувати, слід боротися з цими компаніями.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://archbor.gov.ua (хакером 0×1998) - 27.07.2024 - похаканий державний сайт
• https://lingvostud.vnu.edu.ua (хакером KingSkrupellos) - 20.04.2024
• https://volyntext.vnu.edu.ua (хакером KingSkrupellos) - 20.04.2024
• https://e-forum.lntu.edu.ua (хакером KingSkrupellos) - 01.05.2024
• https://bestrestoran.com.ua (хакером Rayzky) - 22.11.2024

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023 та за 24.07.2023-30.07.2023. Це нові дані.

У серпні:

Перший тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3rOiXwe.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/3DFaQVk.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3qfvV5M.
Це документ російських терористів https://bit.ly/3OkPCRN.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/3OnkAbI.
Українські Кібер Війська виявили російських солдатів і поліцейських в Криму https://bit.ly/47i3cxO.
Відео-розвідка: УКВ записали колону військової техніки в Керчі https://bit.ly/3QkwSEy.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3YpyH5d.
Українські Кібер Війська виявили супутниковий знімок підбитого російського десантного корабля в Новоросійську https://bit.ly/3OKfo3k.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/47eXWLv.
База російських терористів у Луганську, яку я виявив ще в 2015 році https://bit.ly/3Os8UVr.

В даній добірці експлоіти в веб додатках:

• TELSAT marKoni FM Transmitter 1.9.5 - Insecure Access Control Change Password (деталі)
• HNAS SMU 14.8.7825 - Information Disclosure (деталі)
• LBT-T300-mini1 - Remote Buffer Overflow (деталі)
• Asterisk AMI - Partial File Content & Path Disclosure (Authenticated) (деталі)
• Siklu MultiHaul TG series < 2.0.0 - unauthenticated credential disclosure (деталі)

У вересні, 26.09.2024, вийшли PHP 8.1.30, PHP 8.2.24 і PHP 8.3.12. У версії PHP 8.1.30 виправлено чотири уразливості, у версії PHP 8.2.24 виправлено багато багів і уразливостей, у версії PHP 8.3.12 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x, 8.2.x і 8.3.x.

У PHP 8.1.30, 8.2.24 і 8.3.12 виправлено:

• Обхід cgi.force_redirect налаштувань.
• Parameter Injection уразливість.
• Перезапис логів з дочірніх процесів.
• Помилки при обробці даних з multipart form.
• Численні вибивання в PHP 8.2.24 і 8.3.12.
• Пошкодження пам’яті в PHP 8.2.24 і 8.3.12.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023 та за 17.07.2023-23.07.2023. Це нові дані.

В липні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3q60s5V.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/3qcw3mm.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/44DgLpV.
Це документ російських терористів https://bit.ly/3rSMiFC.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/474GF7C.
Українські Кібер Війська ще з минулого року виявляють допомогу російській армії з Китаю https://bit.ly/3O9sntG.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3KjVglI.
Відео-розвідка: російські окупанти отримали бронежилет й інше поштою в Шебекіно https://bit.ly/3Qi8IdM.
Українські Кібер Війська виявили російських солдатів і поліцейських в Криму https://bit.ly/43ON042.
Українські Кібер Війська заблокували 345 сайтів терористів https://bit.ly/44JitpG.
Ще з 2014 року я виявляю дані про викрадення наших дітей https://bit.ly/3rKBMQN.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах adivaha Travel, Forminator, Elementor, Masterstudy LMS. Для котрих з’явилися експлоіти.

• WordPress adivaha Travel Plugin 2.3 - SQL Injection (деталі)
• WordPress adivaha Travel Plugin 2.3 - Reflected XSS (деталі)
• WordPress Plugin Forminator 1.24.6 - Unauthenticated Remote Command Execution (деталі)
• Wordpress Plugin Elementor 3.5.5 - Iframe Injection (деталі)
• Wordpress Plugin Masterstudy LMS - 3.0.17 - Unauthenticated Instructor Account Creation (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці експлоіти в веб додатках:

• Viessmann Vitogate 300 2.1.3.0 - Remote Code Execution (RCE) (деталі)
• Ruijie Switch PSG-5124 26293 - Remote Code Execution (RCE) (деталі)
• TELSAT marKoni FM Transmitter 1.9.5 - Root Command Injection (деталі)
• TELSAT marKoni FM Transmitter 1.9.5 - Backdoor Account Information Disclosure (деталі)
• minaliC 2.0.0 - Denied of Service (деталі)