Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP Service Manager WebTier and Windows Client, Cross-Site Scripting (XSS), Execution of Arbitrary Code and other Vulnerabilities (деталі)
• multiple Vulnerability in WahmShoppes eStore (деталі)
• NeginGroup CMS Multiple Vulnerability (деталі)
• SpiceWorks Cross-site scripting (деталі)
• denyhosts security update (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WhyDoWork AdSense, MyBand та Gmedia Gallery. Для котрих з’явилися експлоіти. WhyDoWork AdSense - це плагін для розміщення реклами AdSense, MyBand - це тема движка, Gmedia Gallery - це плагін для створення медіа галереї.

• WordPress WhyDoWork AdSense 1.2 XSS / CSRF (деталі)
• WordPress MyBand Theme Cross Site Scripting (деталі)
• WordPress Gmedia Gallery 1.2.1 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В своєму звіті про атаки на державні сайти України в 2001-2013 роках, я навів статистику та графік атак на державні сайти України за останні 13 років.

За 2001 - 2013 роки всього було атаковано 568 українських державних сайтів, включаючи взломи сайтів та DDoS атаки. А враховуючи інфіковані gov.ua сайти, виявлених за час моїх досліджень інфікованих сайтів в Уанеті, ця кількість ще більше.

Було інфіковано наступну кількість gov.ua сайтів, що без сумніву були взломані для розміщення шкідливого коду:

2009 рік - 5 сайтів
2010 рік - 13 сайтів
2011 рік - 9 сайтів
2012 рік - 16 сайтів
2013 рік - 11 сайтів

Всього 54 інфікованих gov.ua сайтів за 5 років. Разом з атаками за 13 років всього 622 державних сайти.

Статистика від 2 атакованих та інфікованих веб сайтів в 2001 році до 160 веб сайтів в 2013 році.

Виявлені численні уразливості безпеки в PHP.

Уразливі версії: PHP 5.5, PHP 5.6.

Вичерпання ресурсів, пошкодження пам’яті.

• php5 security update (деталі)
• PHP vulnerabilities (деталі)

В даній добірці експлоіти в веб додатках:

• FortiAuthenticator v300 build 0007 Multiple Vulnerabilities (деталі)
• ManageEngine Desktop Central 9 Build 90087 - CSRF Vulnerability (деталі)
• Centreon SQL / Command Injection Exploit (деталі)
• CUPS Filter Bash Environment Variable Code Injection Exploit (деталі)
• Konke Smart Plug K - Authentication Bypass Vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://pride.in.ua - інфекція була виявлена 19.03.2015. Зараз сайт входить до переліку підозрілих.
• http://infocombiz.com.ua - інфекція була виявлена 18.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://pr-ukraine.kiev.ua - інфекція була виявлена 19.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://serfak.pp.ua - інфекція була виявлена 31.01.2015. Зараз сайт не входить до переліку підозрілих.
• http://perekrestok.in.ua - інфекція була виявлена 05.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://dzerkalo-zakarpattya.com - інфекція була виявлена 21.02.2015. Зараз сайт не входить до переліку підозрілих.
• http://tvbest.com.ua - інфекція була виявлена 30.01.2015. Зараз сайт не входить до переліку підозрілих.
• http://loads.com.ua - інфекція була виявлена 24.03.2015. Зараз сайт не входить до переліку підозрілих.
• http://market.ucoz.ua - інфекція була виявлена 24.02.2015. Зараз сайт не входить до переліку підозрілих.
• http://law-office.com.ua - інфекція була виявлена 06.03.2015. Зараз сайт не входить до переліку підозрілих.

В даній добірці уразливості в веб додатках:

• HP Data Protector, Remote Increase of Privilege, Denial of Service (DoS), Execution of Arbitrary Code (деталі)
• python-django security update (деталі)
• python-bottle security update (деталі)
• Directory Traversal in DevExpress ASP.NET File Manager (деталі)
• HP Autonomy Ultraseek, Cross-Site Scripting (XSS) (деталі)

У лютому, 25.02.2015, я дав інтерв’ю виданню Dennik N. І 02.03.2015 воно було оприлюднене на сайті.

В інтерв’ю розповідається про мою діяльність і про кібер війну Росії проти України. Та про мою громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014.

Ukrajinec zanechal pracu a vedie sukromnu kybervojnu proti Rusku

Так що кому буде цікаво прочитати інформацію про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю в The Daily Beast та інших журналах чи дивився прямий ефір на Радіо Свобода, так і всім іншим, можете прочитати це інтерв’ю.

У січні, 28.01.2015, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-G32. Це перша частина дірок в RT-G32.

Раніше я писав про уразливості в Asus O!Play.

Cross-Site Scripting (WASC-08):

http://site/start_apply.htm?next_page=%27%2balert(document.cookie)%2b%27
http://site/start_apply.htm?group_id=%27%2balert(document.cookie)%2b%27
http://site/start_apply.htm?action_script=%27%2balert%28document.cookie%29%2b%27
http://site/start_apply.htm?flag=%27%2balert%28document.cookie%29%2b%27

Дані уразливості працюють як через GET, так і через POST.

ASUS RT-G32 XSS-1.html

Cross-Site Request Forgery (WASC-09):

Зміна паролю пристрою:

ASUS RT-G32 CSRF-1.html

Уразливі всі версії ASUS RT-G32. Перевірялося в ASUS RT-G32 з прошивками версій 2.0.2.6 і 2.0.3.2.

Інформую вас про останні оновлення на сайті, що були зроблені в лютому.

Торік я випустив нові версії своїх секюріті програм DAVOSET (інструмент для використання AoF та XXE уразливостей на одних сайтах для проведення DoS і DDoS атак на інші сайти) та Backdoored Web Application (еталонний тест сканерів бекдорів). А цього року я зайнявся оновленням тестів.

Сьогодні я оновив перше тестування, в якому ви можете перевірити рівень своїх знань в галузі веб безпеки. В новій версії додав 5 нових запитань. А в другому тестуванні можете перевірити рівень своїх хакерських знань.