Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.alchevsk-pfu.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.agrofond.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://alexandriya-mebel.com.ua (хакером Firebox)
• http://stankoplast.com.ua (хакером POW3R G3n3r@70R)
• http://positum-psy.zhitomir.ua (хакерами з ayyildiz team) - 30.11.2014, зараз сайт закритий

В даній добірці експлоіти в веб додатках:

• PHP 5.x - Bypass Disable Functions Vulnerability (деталі)
• ZTE ZXHN H108L Access Bypass Vulnerability (деталі)
• NRPE 2.15 - Remote Code Execution Vulnerability (деталі)
• vBulletin 4.0.x => 4.1.2 Automatic SQL Injection exploit (деталі)
• LeapFTP 3.1.0 URL Handling Buffer Overflow Exploit (деталі)

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 7 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: військова техніка терористів в Донецьку за 03.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів та гумконвой в Донецьку за 04.12.2014 - УКВ записали переміщення військової техніки терористів та російського гумконвою в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 05.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 06.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 07.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 08.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів в Донецьку за 09.12.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

У листопаді вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у грудні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-14.12.2014
DDoS на ispomodnr.ru - 01-14.12.2014
DDoS на 2news.com.ua - 01-14.12.2014
DDoS на bne.su - 01-14.12.2014
DDoS на ungu.org - 01-14.12.2014
DDoS на pravdatoday.info - 01-14.12.2014
DDoS на lvs-global.ru - 01-14.12.2014
DDoS на slemtt.myjino.ru - 01-14.12.2014
DDoS на odessa-antimaydan.com - 01-14.12.2014
DDoS на cik-lnr.info - 01-14.12.2014
DDoS на molotpravdu.com - 06-14.12.2014
DDoS на kievskayarus.com.ua - 06-14.12.2014

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В даній добірці уразливості в веб додатках:

• Vivotek IP Cameras RTSP Authentication Bypass (деталі)
• Cross-Site Scripting (XSS) in Offiria (деталі)
• Сross-Site Request Forgery (CSRF) in TAO (деталі)
• Metadata Information Disclosure in OrbiTeam BSCW (деталі)
• XSS on Juniper JUNOS 11.4 Embedthis Appweb 3.2.3 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Participants Database, Elegance і Featured Comments. Для котрих з’явилися експлоіти. Participants Database - це плагін для створення списків учасників, Elegance - це тема движка, Featured Comments - це плагін для виділення важливих коментарів.

• WordPress Participants Database 1.5.4.8 SQL Injection (деталі)
• WordPress Elegance Local File Disclosure (деталі)
• WordPress Featured Comments 1.2.1 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У листопаді, 19.11.2014, я дав інтерв’ю каналу 24. Знявся для даного телеканалу.

Перший відео сюжет вийшов 20.11.2014 в новинах, а другий відео сюжет вийшов 25.11.2014 в новинах. В сюжетах йшлося про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Всі бажаючі, хто бачив трансляцію на каналі 24 і хто не бачив, можуть подивитися сюжети зі мною. Це наступні два відео:

Виявлені уразливості безпеки в PHP.

Уразливі версії: PHP 5.6.

Пошкодження пам’яті та використання пам’яті після звільнення в unserialize().

• Vulnerabilities in PHP (деталі)

В даній добірці експлоіти в веб додатках:

• ZTE 831CII Multiple Vulnerablities (деталі)
• F5 BIG-IP 10.1.0 - Directory Traversal Vulnerability (деталі)
• Dragonfly 1.0.5 Remote Code Execution Exploit (деталі)
• Firefox WebIDL Privileged Javascript Injection Exploit (деталі)
• Wing FTP Server Authenticated Command Execution Exploit (деталі)

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео та аудіо Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 7 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: переправа в Керчі за 26.11.2014 - УКВ записали переміщення російської військової техніки в Криму.

Українські Кібер Війська: військова техніка терористів в Донецьку за 25.11.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів з БТР в Донецьку за 26.11.2014 - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: військова техніка терористів та гумконвой в Донецьку за 27.11.2014 - УКВ записали переміщення військової техніки терористів та російського гумконвою в Донецьку.

Українські Кібер Війська: військова техніка терористів та гумконвой в Донецьку за 28.11.2014 - УКВ записали переміщення військової техніки терористів та російського гумконвою в Донецьку.

Українські Кібер Війська: військова техніка терористів та гумконвой в Донецьку за 29.11.2014 - УКВ записали переміщення військової техніки терористів та російського гумконвою в Донецьку.

Українські Кібер Війська: військова техніка терористів та гумконвой в Донецьку за 02.12.2014 - УКВ записали переміщення військової техніки терористів та російського гумконвою в Донецьку.