Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про проблеми DNS та їх вирішення, пропоную нове відео на секюріті тематику. Цього разу відео про взлом SSL через атаки на синхронізацію часу. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 23 - Breaking SSL Using Time Synchronisation Attacks

Влітку на конференції DEFCON 23 відбувся виступ Jose Selvi. В своєму виступі він розповів про синхронізацію часу в різних ОС і про проблеми безпеки пов’язані з цим. В тому числі розповів про атаки на синхронізацію часу в ОС, зокрема на SSL.

Він розповів як за допомогою таких атак взломати SSL з’єднання в цільовій системі. Рекомендую подивитися дане відео для розуміння поточного стану безпеки в Інтернет.

У жовтні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у листопаді.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-15.11.2015
DDoS на cikdnr.ru - 01-15.11.2015
DDoS на cik-lnr.info - 01-15.11.2015
DDoS на без-вести.рф - 01-15.11.2015
DDoS на ungu.org - 01-15.11.2015
DDoS на pravdatoday.info - 01-15.11.2015
DDoS на bne.su - 01-15.11.2015
DDoS на dnrpress.ru - 01-15.11.2015
DDoS на naspravdi.info - 01-15.11.2015
DDoS на europeanfront.info - 10-15.11.2015

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Cross Slide, Mobile Domain, Spider Facebook, Redirection Page, Google Doc Embedder. Для котрих з’явилися експлоіти.

• WordPress Cross Slide 2.0.5 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress Mobile Domain 1.5.2 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress Spider Facebook 1.0.10 Cross Site Scripting (деталі)
• WordPress Redirection Page 1.2 CSRF / XSS (деталі)
• WordPress Google Doc Embedder 2.5.18 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав, що Українські Кібер Війська взломали сайт Міністерства Оборони РФ.

В серпні та вересні, Українські Кібер Війська взломали багато офіційних електронних скриньок Народної Ради Донецької Народної Республіки. З електронної пошти ми захопили багато документів ДНР. Вже оприлюднив 7 частин даних.

Ось остання публикація: Українські Кібер Війська захопили нові документи ДНР. Всі файли розмістив на http://www.ex.ua/94427871.

У жовтні, 29.10.2015, вийшов PHP 5.6.15. У версії 5.6.15 виправлено 3 баги і 7 уразливостей.

Даний реліз направлений на покращення безпеки і стабільності гілки 5.6.x.

У PHP 5.6.15 виправлено:

• Виправлено 7 DoS уразливостей (segfault).

По матеріалам http://www.php.net.

В даній добірці експлоіти в веб додатках:

• Bosch Security Systems Dinion NBN-498 Web Interface - XML Injection (деталі)
• ElasticSearch 1.6.0 - Arbitrary File Download (деталі)
• AlienVault OSSIM 4.3 - CSRF Vulnerabilities (деталі)
• Zemra Botnet CnC Web Panel Remote Code Execution (деталі)
• ZHONE < S3.0.501 - Multiple Vulnerabilities (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://bv.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://conference.nbuv.gov.ua (хакерами з Blacksmith Hackers) - 29.10.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.galsillis.com.ua (українськими хакерами)
• http://robota.lviv.ua (хакером Phenomene Dz) - 21.06.2015, зараз сайт вже виправлений адмінами
• http://www.nyanyapark.lviv.ua (хакером Phenomene Dz) - 21.06.2015, зараз сайт вже виправлений адмінами

У квітні, 30.04.2013, я знайшов Cross-Site Scripting та інші уразливості на сайті https://acsk.privatbank.ua. На відміну від дірок на інших сайтах, ПБ не став оплачувати ці уразливості, бо не побачив ризику в них і проігнорував мої аргументи (що XSS та інші дірки потрібно на всіх сайтах виправляти).

Стосовно ПриватБанка я вже писав про уразливості на privatbank.ua та уразливість на partner.privatbank.ua.

Cross-Site Scripting:

Всього 6 XSS уразливостей в скрипті https://acsk.privatbank.ua/pages/index.jsp?page=2 в параметрах owner_value, inn_value, firm_value, edrpou_value, from_value, to_value. А також інші дірки.

Дані уразливості та деякі інші не були виправлені в 2013 році. Але вже в 2015 році я виявив, що банк виправив всі ці уразливості.

У листопаді, 03.11.2015, вийшов Mozilla Firefox 42. Нова версія браузера вийшла через півтора місяці після виходу Firefox 41.

Mozilla офіційно випустила реліз веб-браузера Firefox 42, а також мобільну версію Firefox 42 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 43 намічений на 15 грудня, а Firefox 44 на 26 січня.

Також був випущений Seamonkey 2.39 та були оновлені гілки із тривалим терміном підтримки Firefox 38.4 і Thunderbird 38.4.

В браузері була покращена приватність в Private Browsing з Tracking Protection через блокування елементів веб сторінок, що можуть використовуватися для спостереження за користувачами. Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 42.0 усунуто 18 уразливостей, серед яких 3 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).

• Релиз Firefox 42 (деталі)

В даній добірці уразливості в веб додатках:

• MobileIron authentication bypass vulnerability (деталі)
• SQL Injection in NuevoLabs flash player for clipshare (деталі)
• dokuwiki security update (деталі)
• XML External Entity Injection (XXE) and Reflected XSS in Scalix Web Access (деталі)
• HP Integrated Lights-Out 2, 3, and 4 (iLO2, iLO3, iLO4), IPMI 2.0 RCMP+ Authentication Remote Password Hash Vulnerability (RAKP) (деталі)