В даній добірці уразливості в веб додатках:
В статті Партнерки, що платять за розміщення вірусів я писав про партнерські програми, які виплачують винагороду власникам сайтів за розміщення шкідливого коду на своїх сайтах і зараження користувачів. В тому числі серед них є українські сайти.
До таких партнерок відноситься iframepay.com. Як я писав два роки тому, malware з цього сайту тоді було розміщено на 891 сайті, в тому числі я виявив один український сайт.
За станом на сьогодні за інформацією від Safe Browsing для iframepay.com цей сайт був інфікований останній раз 05.12.2013. Також він інфікував 169 сайтів (це та кількість учасників цієї партнерки, що була виявлена Гуглом).
Серед них наступні сайти в Уанеті:
У січні місяці Microsoft випустила 7 патчів. Що менше ніж і у грудні.
У січневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 7 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Два патчі закривають критичні уразливості та п’ять патчів закривають важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows XP, 2003, Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1 та RT 8.1. А також Microsoft Office, SharePoint та Dynamics AX.
Зазначу, що наприкінці грудня 2013 року компанія випустила позачерговий патч для Internet Explorer (бо уразливість в браузері активно використовувалася для атак на користувачів в Інтернеті). Тому немає патча для IE безпосередньо у “вівторку патчів”.
У січні, 23.01.2014, вийшла нова версія WordPress 3.8.1.
WordPress 3.8.1 це багфікс випуск нової 3.8 серії. В якому розробники виправили 31 баг.
Офіційно жодних уразливостей не виправлено, лише баги. Але треба враховувати, що розробники WP полюбляють виправляти дірки приховано. Лише в минулому році я виявив десятки приховано виправлених уразливостей в WP, про що я писав раніше.
09.10.2013
У вересні, 17.09.2013, я виявив нові уразливості в плагіні Contact Form 7 для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.
Раніше я вже писав про Code Execution в Contact Form 7 для WordPress.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.
28.01.2014
Code Execution (WASC-31):
Атака відбувається через аплоадер. Для виконання коду треба використати обхідні методи для IIS і Apache. Можна використати “;” в імені файла (1.asp;.txt) на IIS або подвійні розширення (1.php.txt) на Apache.
В контактній формі потрібно, щоб був тег аплоадера.
[file file-423]
Файли завантажуються в папку:
http://site/wp-content/uploads/wpcf7_uploads/
При створенні цієї папки створюється файл .htaccess (Deny from all).
Це можна обійти або при використанні інших веб серверів окрім Apache (де .htaccess ігнорується), або на Апачі можна використати уразливості в WP для видалення файлів, або через LFI уразливість включити файл з цієї папки.
Уразливі Contact Form 7 3.5.3 та попередні версії. В версії 3.5.3 розробник виправив попередню CE уразливість, але не ці дві. Тому що атаки можливі на більш ранніх версіях WordPress, а в останніх версіях код самого WP блокує атаки через “крапку з комою” та подвійні розширення, тому розробник не хоче реалізовувати захист в своєму плагіні й радить використовувати останні версії движка.
Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.
Виявлені численні уразливості безпеки в OpenSSL.
Уразливі версії: OpenSSL 0.9, OpenSSL 1.0.
Переповнення буфера, звертання по нульовому вказівнику, DoS.
В даній добірці уразливості в веб додатках:
За повідомленням tyzhden.ua, СБУ затримала хакера, підозрюваного у викраденні з банків понад $9 млн.
Служба безпеки України встановила особу киянина, причетного до викрадення коштів з рахунків клієнтів іноземних та вітчизняних фінансових установ. Хакер був відомий в Мережі під псевдонімами “4х4″ і “Stalin”.
СБУ стверджує, що киянин був причетний до несанкціонованого втручання в роботу комп’ютерних систем однієї з іноземних банківських установ, в результаті чого в 2008 році було викрадено понад 9 мільйонів доларів.
За повідомленням www.xakep.ru, Snapchat передбачувано взломали.
24 грудня австралійські хакери з компанії Gibson Security опублікували у відкритому доступі інформацію про недокументовані виклики API в програмі Snapchat, а також код двох експлоітів. Усі ці відомості хакери ще в серпні передали в компанію Snapchat, але “імовірно, вона була занадто зайнята, щоб відхиляти неадекватно великі пропозиції про покупку з боку Facebook і Google, щоб відповісти на наш лист”, - говорять вони.
Не дивно, що деякі зловмисники негайно скористалися цими експлоітами. Прямо на Новий рік відкрився сайт SnapchatDB.info, на якому викладена інформація про 4,6 млн. користувачів.
Це звісно менше ніж 130 млн. паролів користувачів Adobe, але теж значний витік персональних даних.
За інформацією МВС, статистика шахрайства, зробленого за допомогою інформаційних технологій, має наступний вигляд:
| 2012 р. | 1663 випадків | 1 п. 2013 р. | 986 випадків |
Статистика по кіберзлочинам, що були виявлені МВС:
| 2012 р. | 1 п. 2013 р. | |
| Злочини по ст. 361 | 74 | 286 |
| Злочини по ст. 362 | 40 | 133 |
Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Internet Explorer, пропоную нове відео на веб секюріті тематику. Цього разу відео про цікаву уразливість в Mozilla Firefox. Рекомендую подивитися всім хто цікавиться цією темою.
Mozilla Firefox theme installation vulnerability / spoofing vulnerability
В даному відео ролику демонструється використання уразливості в Mozilla Firefox. Що дозволяє проводити встановлення теми в браузери. Для локального виконання коду і для проведення XSS та Content Spoofing атак.
Атака відбувається при відвідуванні в Firefox спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.
* 
You are currently browsing the archives.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.