В даній добірці експлоіти в веб додатках:
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах FAdvertisement, Share-On-Diaspora, WpJobBoard, Ads Pro, Gym Management System. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
У липні, 08.07.2020, вийшов Mozilla Firefox 78.0.2. Нова версія браузера вийшла через тиждень після виходу Firefox 78.
Це секюріті випуск, де виправлена уразливість CVE-2020-15648: X-Frame-Options bypass using object or embed tags.
Продовжуючи розпочату традицію, після попереднього відео про атаки на IoT спікери, пропоную нове відео на секюріті тематику. Цього разу відео про експлуатацію IoT хабів. Рекомендую подивитися всім хто цікавиться цією темою.
DEFCON 26 IoT VILLAGE - Exploiting the IoT hub What happened to my home
Раніше я багато розповідав про уразливості в мережевих пристроях і взлом IoT пристроїв, як то IP камер, розумних будинків і smart пристроїв. Цього разу мова йде про захоплення IoT хабів для атаки на розумний будинок.
Торік в серпні на конференції DEFCON 26 відбувся виступ Lee та Park. В своєму виступі вони розповіли про атаки на IoT хаби з метою отримання доступу до всіх пристроїв підключених до них. Про захоплення хабів та використання різних уразливостей в них. Отримання контролю над розумним будинком зокрема можливе через атаку на IoT хаб.
Вони розповіли про проблеми з безпекою в таких пристроях як IoT хаби. Про можливість захоплення всіх мережевих пристроїв та компонентів розумного будинку, що підключені до цих хабів. Рекомендую подивитися дане відео для розуміння поточного стану безпеки IoT пристроїв.
В своєму звіті про атаки на державні сайти України за 18 років, я навів статистику атак на державні сайти України за останні 18 років, а зараз наведу статистику за останні 19 років.
За 2001 - 2019 роки всього було атаковано 1219 українських державних сайтів (включаючи взломи сайтів та DDoS атаки). Це без врахування інфікованих gov.ua сайтів, яких було виявлено чимало за час моїх досліджень інфікованих сайтів в Уанеті.
Статистика від 2 атакованих веб сайтів в 2001, 2 сайтів в 2002 році, 1 сайту в 2003 році до 100 атакованих веб сайтів в 2019 році.
Виявлені численні уразливості безпеки в Mozilla Firefox і Thunderbird.
Уразливі продукти: Mozilla Firefox 76, Firefox ESR 68.8, Thunderbird ESR 68.8.
Пошкодження пам’яті, виконання коду, обхід обмежень, витік інформації, підробка адресного рядка.
В даній добірці експлоіти в веб додатках:
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в темах Salutation Responsive, GamePlan Event And Gym Fitness і в плагінах Easy Modal, Podlove Podcast Publisher, PressForward. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
У листопаді, 26.11.2020, вийшли PHP 7.3.25 і PHP 7.4.13. У версії 7.3.25 виправлено багато багів і уразливостей, у версії 7.4.13 виправлено багато багів і уразливостей.
Дані релізи направлені на покращення безпеки і стабільності гілок 7.3.x і 7.4.x.
У PHP 7.3.25 і 7.4.13 виправлено:
По матеріалам https://www.php.net.
Як я наголошую з минулого року, 970 сайтів навчальних закладів були хакнуті за 15 років (до минулого літа). Щодня атакують не лише державні сайти, але й приватні, навчальні, банки та e-commerce. За останній рік додалося ще 518 сайтів, тобто вже хакнули 1488 сайтів навчальних закладів України.
Щомісяця публікую скріншот зі зламаними навчальними сайтами. На скріншоті в жовтні навів 1488 сайтів. Це лише ті сайти, що мають домени в зоні edu.ua та лише дефейси, що потрапили в цей архів - інші взломи тут не показані. Тому всього їх може бути в рази більше.
І при такому низькому рівні безпеки - я знаходив дірки на сайтах КПІ та свого університету ще в 2005 - торік влада перевела роботу навчальних закладів в онлайн. Через карантин, але без належної безпеки онлайн ресурсів. У своїх дослідженнях безпеки українських сайтів я знаходив щороку тисячі хакнутих та інфікованих сайтів, серед яких не лише gov.ua ресурси, але також різні освітні сайти.
Тисячі gov.ua сайтів були хакнуті чи інфіковані за 20 років. Але жоден випадок досі не розслідували і жодного чиновника не притягнули до відповідальності за це.
За цей час я писав про взлом сайту ГУР МО, Медіа РНБО, сайтів міністерств та сотень інших державних сайтів. Всі дані про атаки на українські державні сайти з 2001 року в моїх дослідженнях Уанету і про атаки та інфікування приватних сайтів з 2006 року.
* 
You are currently browsing the archives.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.