Архів для категорії 'Новини сайту'

Уразливості в плагінах для WordPress №246

23:55 04.03.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Recent Backups, WPTF Image Gallery, Avenir-Soft Direct Download, Bookmarkify та в WordPress. Для котрих з’явилися експлоіти.

  • WordPress Recent Backups 0.7 File Download (деталі)
  • WordPress WPTF Image Gallery 1.03 File Download (деталі)
  • WordPress 3.8.1 / 3.8.2 / 4.2.2 Cross Site Request Forgery (деталі)
  • WordPress Avenir-Soft Direct Download 1.0 XSS / CSRF (деталі)
  • WordPress Bookmarkify 2.9.2 Cross Site Request Forgery / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

DDoS attacks via other sites execution tool

22:46 04.03.2017

В березні, 09.03.2017, вийшла нова версія програми DAVOSET v.1.3. В новій версії:

  • Розширив підтримку SSRF і додав підтримку XXE уразливості в SAP NetWeaver AS.
  • Додав нові сервіси в повний список зомбі.
  • Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.rar.

Вийшов WordPress 4.7.2

20:04 02.03.2017

У січні, 26.01.2017, вийшла нова версія WordPress 4.7.1.

WordPress 4.7.2 це секюріті випуск нової 4.7 серії. В якому розробники виправили 4 уразливості. Це SQL injection уразливість, до якої сам WP не вразливий, але атака може відбуватися через плагіни і теми, тому розробники виправили її для надійності. А також можливість додавати терміни таксономії користувачам без відповідних прав, XSS, підняття привілеїв в REST API.

Також в цей день вийшли WordPress 4.0.15, 4.1.15, 4.2.12, 4.3.7, 4.4.7, 4.5.6 і 4.6.3. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.

Похакані сайти №333

23:56 01.03.2017

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://pershrada.gov.ua (хакером RxR) - 24.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://dsesu.gov.ua (хакером MuhmadEmad) - 31.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://pereyaslav-rda.gov.ua (хакером KkK1337) - 11.09.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://disgvol.gov.ua (хакером NeT.Defacer) - 12.09.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://mediarnbo.org (хакером GeNErAL) - 08.02.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://ernst.vald.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
  • http://smart-english.pp.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
  • http://timbuktu.pp.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
  • http://www.me-pro.com.ua (хакером aDriv4) - 22.12.2016, зараз сайт вже виправлений адмінами
  • http://www.lokdc.lviv.ua (хакером Alarg53) - 07.02.2017, зараз сайт вже виправлений адмінами

Уразливості в плагінах для WordPress №246

23:50 28.02.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах qTranslate, Job Manager, Filedownload, Candidate Application Form, Simple Image Manipulator. Для котрих з’явилися експлоіти.

  • WordPress qTranslate 2.5.39 Cross Site Scripting (деталі)
  • WordPress Job Manager 0.7.22 Cross Site Scripting (деталі)
  • WordPress Filedownload 1.4 Open Proxy (деталі)
  • WordPress Candidate Application Form 1.0 File Download (деталі)
  • WordPress Simple Image Manipulator 1.0 File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Інфіковані сайти №267

23:52 27.02.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://mr.gov.ua - інфікований державний сайт - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://talmix.com.ua - інфекція була виявлена 27.02.2017. Зараз сайт входить до переліку підозрілих.
  • http://gayrayrada.gov.ua - інфікований державний сайт - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://procurement.in.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://vasha-mebel.kiev.ua - інфекція була виявлена 27.02.2017. Зараз сайт входить до переліку підозрілих.
  • http://biosalon.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://sch-logistics.com - інфекція була виявлена 27.02.2017. Зараз сайт входить до переліку підозрілих.
  • http://stena.uz.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
  • http://silentkeylogger.com - інфекція була виявлена 27.02.2017. Зараз сайт входить до переліку підозрілих.
  • http://mediapoltava.com.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.

Вийшла SecurityAlert 1.3.3

23:55 04.02.2017

В січні, 23.01.2017, вийшла версія SecurityAlert 1.3.3. Моя система SecurityAlert - це система для інформування про інциденти з безпекою на веб сайтах.

В жовтні я випустив версію 1.3, в якій реалізував визначення попередніх версій движка на сайті, що буде дуже корисною функцією. В наступних версіях ще більше покращив систему. Можете подивитися на визначення версій веб додатків (WordPress, в т.ч. попередню версію, та плагіни) на тестовому сайті.

SecurityAlert

Похакані сайти №332

23:59 03.02.2017

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://conference.sops.gov.ua (хакером RxR) - 08.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://donmolod.gov.ua (хакерами з Fallaga Team) - 17.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://finpl.gov.ua (хакером RxR) - 23.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
  • http://looklike.com.ua (хакерами з Tunisian Electronic Resistance) - 18.07.2016, зараз сайт вже виправлений адмінами
  • http://ukrniira.com.ua (хакером aDriv4) - 22.12.2016, зараз сайт вже виправлений адмінами

Вийшов WordPress 4.7.1

22:41 03.02.2017

У січні, 11.01.2017, вийшла нова версія WordPress 4.7.1.

WordPress 4.7.1 це багфікс та секюріті випуск нової 4.7 серії. В якому розробники виправили 62 баги і 8 уразливостей (з них одна в зовнішній бібліотеці). Це RCE уразливість в бібліотеці PHPMailer, що постачається з веб додатком - сам WP не вразливий, але розробники оновили версію бібліотеки для надійності. А також Information Leakage, 2 XSS, 2 CSRF, небезпечні налаштування роботи з поштою (ця особливість відома з перших версій WP) та слабка криптографія для multisite activation key.

Також в цей день вийшли WordPress 4.0.14, 4.1.14, 4.2.11, 4.3.6, 4.4.6, 4.5.5 і 4.6.2. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.

Мій виступ на каналі 24

17:24 03.02.2017

У січні, 27.01.2017, я знявся для сюжету на каналі 24.

Сюжет на тему фішинга вийшов 03.02.2017 в ефірі телеканалу 24. Як не потрапити на гачок інтернет-шахраїв - поради від мене та інших фахівців.