22:48 15.11.2014
Сьогодні вийшла нова версія програми DAVOSET v.1.2.3. В новій версії:
- Додав нові сервіси в повний список зомбі.
- Зробив список веб сайтів, що вимагають “http” для цільової адреси.
- Прибрав неробочі сервіси з повного списку зомбі.
Всього в списку міститься 170 зомбі-сервісів, які готові нанести удар проти диктатури.
DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.
Скачати: DAVOSET_v.1.2.3.rar.
Опубліковано в Новини сайту, Програми | Без Коментарів »
20:16 15.11.2014
Продовжуючи розпочату традицію, після попереднього відео про RFID хакінг, пропоную нове відео на секюріті тематику. Цього разу відео про протидію шпигунству. Рекомендую подивитися всім хто цікавиться цією темою.
DEF CON 22 - Am I Being Spied On?
Влітку на конференції DEFCON 22 відбувся виступ Dr. Philip Polstra. В своєму виступі він розповів про шпигунство. Про визначення, що за вами стежать (через комп’ютери та мобільні пристрої) та як протидіями цьому.
Він продемонстрував як за допомогою низько-технологічних засобів визначати і протидіяти навіть високо-технологічному стеженню. Рекомендую подивитися дане відео для розуміння шпигунства і щоб навчитися визначати чи за вами стежать.
Опубліковано в Статті | Без Коментарів »
17:22 15.11.2014
11.07.2014
Сьогодні я виявив уразливості в D-Link DCS-2103 (веб камера). Зокрема Directory Traversal та Full path disclosure уразливості. Це перша частина дірок в DCS-2103.
Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP 1150 та D-Link DAP-1360.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
15.11.2014
Directory Traversal (Arbitrary File Download) (WASC-33):
http://site/cgi-bin/sddownload.cgi?file=/../../etc/passwd
Full path disclosure (WASC-13):
http://site/cgi-bin/sddownload.cgi?file=/
Уразлива версія D-Link DCS-2103, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.
Опубліковано в Уразливості | Без Коментарів »
23:54 14.11.2014
В цьому році мене декілька разів запрошували виступити на конференції. Нещодавно я прийняв одне запрошення.
Найближчим часом я виступлю на конференції з доповіддю Кібервійна в Україні. Це конференція ІТ Форум UA Web Challenge.
Опубліковано в Новини сайту | Без Коментарів »
22:49 14.11.2014
Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив три відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.
Ось 5 нових відео, що зроблені в рамках розвідувальної операції:
Українські Кібер Війська: відео з Луганська - УКВ записали відео про життя Луганська окупованого терористами.
Українські Кібер Війська: військова техніка терористів в Донецьку - УКВ записали переміщення військової техніки терористів в Донецьку.
Українські Кібер Війська: колона техніки терористів в Донецьку - УКВ записали переміщення колони військової техніки терористів в Донецьку.
Українські Кібер Війська: сафарі терористів в Донецьку - УКВ багато разів записали переміщення військової техніки терористів в Донецьку.
Українські Кібер Війська: колона техніки терористів в Донецьку - УКВ записали переміщення колони військової техніки терористів в Донецьку (10 вантажівок).
Опубліковано в Статті | Без Коментарів »
20:01 14.11.2014
Виявлена можливість виконання коду в Apache Struts і commons-beanutils.
Уразливі продукти: Apache Struts 1.3.10, commons-beanutils 1.9.1.
Необмежений доступ до параметра class в об’єкті ActionForm.
- commons-beanutils: ‘class’ property is exposed, potentially leading to RCE (деталі)
Опубліковано в Новини, Помилки | Без Коментарів »
17:26 14.11.2014
В даній добірці експлоіти в веб додатках:
- Fonality Trixbox CE 2.8.0.4 Command Execution Vulnerability (деталі)
- NETIS DL4322D Multiple Vulnerabilities (деталі)
- Yokogawa CS3000 BKFSim_vhfd.exe Buffer Overflow Exploit (деталі)
- D-Link DIR-505 HNAP Request Remote Buffer Overflow Exploit (деталі)
- D-Link DIR-300 / DIR-645 Unauthenticated UPnP M-SEARCH Multicast Command Injection (деталі)
Опубліковано в Експлоіти | Без Коментарів »
23:56 13.11.2014
У листопаді, 05.11.2014, я виявив Abuse of Functionality, Brute Force та Cross-Site Request Forgery уразливості в D-Link DCS-930L (веб камера). Це перша частина дірок в DCS-930L.
Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DCS-2103.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
Опубліковано в Уразливості | Без Коментарів »
22:41 13.11.2014
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
- http://www.lbsadm.gov.ua (хакером Ali-HAwleRy) - 18.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
- http://www.vvadm.gov.ua (хакером panataran) - 18.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
- http://www.tehnodim.lutsk.ua (хакером Solt6n)
- http://gslan.net.ua (хакером PaWL) - 05.10.2014, зараз сайт вже виправлений адмінами
- http://kyokushin.gslan.net.ua (хакером PaWL) - 05.10.2014, зараз сайт вже виправлений адмінами
Опубліковано в Новини сайту, Дослідження | Без Коментарів »
20:03 13.11.2014
25.10.2014
Виявлені численні уразливості безпеки в продуктах Oracle, Sun, PeopleSoft і MySQL.
Уразливі продукти: Oracle 11g, Oracle 12c, MySQL 5.5 і 5.6, Oracle Java SE 5, 6, 7 і 8, Solaris 11, WebLogic Server 12.1, E-Business Suite 12i, JRockit 28.3, Application Express 4.2 та інші продукти Oracle.
138 уразливостей у різних додатках виправлено в щоквартальному оновленні.
- Breaking Oracle Database through Java exploits (details) (деталі)
- Potential Cross-Site Scripting in ADF Faces (деталі)
- Oracle Critical Patch Update Advisory - October 2014 (деталі)
13.11.2014
Додаткова інформація.
- Missing patches / inaccurate information regarding Oracle Oct CPU (деталі)
Опубліковано в Новини, Помилки | Без Коментарів »
