Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• Zikula Application Framework 1.3.6 Multiple PHP Object Injection Vulnerabilities (деталі)
• Prolink PRN2001 - Multiple Vulnerabilities (деталі)
• ManageEngine Eventlog Analyzer Arbitrary File Upload Exploit (деталі)
• Railo 4.2.1 Remote File Inclusion Exploit (деталі)
• Internet Explorer 11 Remote Code Execution 0day Exploit (деталі)

У грудні, 03.12.2014, я дав інтерв’ю виданню “Укрінформ”. І сьогодні воно було оприлюднене на сайті.

В інтерв’ю розповідається про мою діяльність і про кібер війну Росії проти України. Та про мою громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014.

Я доброволець, який воює на кіберфронті - Євген Докукін

Я доброволец, воюющий на киберфронте - Евгений Докукин

Так що кому буде цікаво прочитати інформацію про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю на Global Voices та інших журналах чи дивився прямий ефір на Радіо Свобода, так і всім іншим, можете прочитати це інтерв’ю.

А 19.01.2015 EuromaidanPR опублікував переклад мого інтерв’ю на англійську мову:

I am a volunteer fighting on the Cyberfront

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах електронних платіжних систем, банків та e-commerce сайтів України:

• LiqPAY для Android та iOS
• Проблеми з витоками персональних даних в Україні
• privatbank.ua

Також згадував про взломані онлайн магазини в Уанеті:

• umoks.com.ua
• mebeldonetsk.dn.ua
• textile-plus.com.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• myhobby.vn.ua
• megasuperomatic.com
• insel.kiev.ua
• vip-povar.kiev.ua
• kovroline.com.ua
• cosmetique.com.ua

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

У грудні, 18.12.2014, вийшли PHP 5.4.36, PHP 5.5.20 і PHP 5.6.4. У версії 5.4.36 виправлено 2 уразливості, у версіях 5.5.20 і 5.6.4 виправлено декілька багів і 1 уразливість.

Дані релізи направлені на покращення безпеки і стабільності гілок 5.4.x, 5.5.x і 5.6.x.

У PHP 5.4.36, 5.5.20 і 5.6.4 виправлено:

• Уразливість NULL pointer dereference в unserialize().
• Уразливість Use after free в unserialize().
• Також оновлена бібліотека crypt_blowfish до версії 1.3 (в PHP 5.4.36).

По матеріалам http://www.php.net.

Виявлена ін’єкція заголовків (CRLF injection) в cURL і libcurl.

Уразливі продукти: cURL 7.39, libcurl 7.39.

Ін’єкція заголовків через URL.

• CRLF injection vulnerability in curl (деталі)

В даній добірці уразливості в веб додатках:

• RSA Data Protection Manager Appliance Multiple Vulnerabilities (деталі)
• Drupal Flag 7.x-3.5 Module Vulnerability report: Arbitrary code execution due to improper input handling in flag importer (деталі)
• Pyplate multiple vulnerabilities (деталі)
• Zenoss Open Source monitoring System - Open Redirect & Stored XSS Vulnerabilities (деталі)
• Unauthorized console access on Satechi travel router v1.5 (деталі)

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 7 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: військова техніка терористів в Донецьку за 18.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: покупка золота в Луганську - УКВ записали покупку золота в магазині Луганська.

Українські Кібер Війська: військова техніка терористів та гуманітарка в Донецьку за 19.12.2014 - УКВ записали переміщення військової техніки терористів та гуманітарки Ахметова в Донецьку.

Українські Кібер Війська: переправа в Керчі за 20-21.12.2014 - УКВ записали військову техніку в Керчі.

Українські Кібер Війська: військова техніка в Донецьку та Криму за 21.12.2014 - УКВ записали військову техніку в Донецьку та Криму.

Українські Кібер Війська: військова техніка терористів в Донецьку за 22.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка в Донецьку та Криму за 23.12.2014 - УКВ записали військову техніку в Донецьку та Криму.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://invika.com.ua - інфекція була виявлена 03.01.2015. Зараз сайт входить до переліку підозрілих.
• http://i.kiev.ua - інфекція була виявлена 12.01.2015. Зараз сайт не входить до переліку підозрілих.
• http://users.i.kiev.ua - інфекція була виявлена 12.01.2015. Зараз сайт не входить до переліку підозрілих.
• http://polomok.net - інфекція була виявлена 16.11.2014. Зараз сайт не входить до переліку підозрілих.
• http://imperya.biz.ua - інфекція була виявлена 12.01.2015. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в OpenSSL.

Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.

DoS, недостатня перевірка фінгерпринтів, недостатня перевірка сертифіката, downgrade-атаки, обхід аутентифікації.

• OpenSSL vulnerabilities (деталі)

В даній добірці експлоіти в веб додатках:

• Device42 DCIM Appliance Manager Ping Command Injection Exploit (деталі)
• Device42 DCIM Appliance Manager Traceroute Command Injection Exploit (деталі)
• ALCASAR 2.8 Remote Root Code Execution Exploit (деталі)
• GDB Server Remote Payload Execution Exploit (деталі)
• SolarWinds Storage Manager Authentication Bypass Exploit (деталі)