Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Analytics Counter Tracker, MailChimp, Quiz And Survey Master, 404, Private Messages. Для котрих з’явилися експлоіти.

• WordPress Google Analytics Counter Tracker 3.1.5 PHP Object Injection (деталі)
• WordPress MailChimp 3.1.5 / 4.0.10 Cross Site Scripting (деталі)
• WordPress Quiz And Survey Master 4.7.8 / 4.5.4 XSS / CSRF (деталі)
• WordPress 404 1.0 SQL Injection (деталі)
• WordPress Private Messages 1.0.1 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В серпні, 02.08.2018, вийшла версія WordPress 4.9.8. А в грудні, 13.12.2018, вийшла версія WordPress 4.9.9.

WordPress 4.9.8 і 4.9.9 це секюріті та багфікс випуски нової 4.9 серії. В яких розробники виправили 46 багів у першій з них та ще інші в другій версії. У тому числі покращили функції приватності. Та оновили базову тему Twenty Seventeen.

Також в цих версіях зробили звичайні виправлення в движку.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://hrytsivrada.gov.ua (хакером Fighter Kamrul) - 15.02.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://finpl.gov.ua (хакером Imam) - 24.03.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sportforall.gov.ua (хакером MouseSec) - 25.04.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://rajvosevlush.gov.ua (хакером Syed Fida) - 26.04.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://nv-osvita.gov.ua (хакером X-Kokoro_Dz) - 28.05.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://investora.club (хакером Fighter Kamrul) - 25.12.2018 - зараз сайт вже виправлений адмінами
• http://credits24.top (хакером VrCy) - 26.12.2018 - зараз сайт вже виправлений адмінами
• http://fav.com.ua (хакером VrCy) - 26.12.2018 - зараз сайт вже виправлений адмінами
• http://quest-game.org (хакером Fighter Kamrul) - 19.03.2019 - зараз сайт вже виправлений адмінами
• http://novovolynsk.com.ua (хакером X-Kokoro_Dz) - 28.05.2019 - зараз сайт вже виправлений адмінами

Вчора в мене був день народження - мені виповнилося 36 років. З чим вас і себе поздоровляю .

Приготував вам подарунки на цю подію і на свята:

Подарунки на День Незалежності України.

Подарунки на мій день народження.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://fantastika.in.ua - інфекція була виявлена 08.11.2018. Зараз сайт не входить до переліку підозрілих
• http://homesystems.com.ua - інфекція була виявлена 12.11.2018. Зараз сайт не входить до переліку підозрілих
• http://samson-automation.info - інфекція була виявлена 18.03.2019. На сайті криптомайнер
• http://mankenberg.com.ua - інфекція була виявлена 22.03.2019. На сайті криптомайнер
• http://endress.org.ua - інфекція була виявлена 22.03.2019. На сайті криптомайнер
• http://happysoap.com.ua - інфекція була виявлена 23.04.2019. На сайті криптомайнер
• http://health-safety.com.ua - інфекція була виявлена 23.04.2019. На сайті криптомайнер
• http://test.upa24.com - інфекція була виявлена 31.05.2019. Зараз сайт не входить до переліку підозрілих
• http://retejo.net - інфекція була виявлена 18.06.2019. Зараз сайт не входить до переліку підозрілих
• http://paskuda.at.ua - інфекція була виявлена 21.07.2019. Зараз сайт не входить до переліку підозрілих

Тринадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що в липні виповнилося 13 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені DAVOSET, SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Image Gallery, Insert Html Snippet, WP Vault, Single Personal Message, Multisite Post Duplicator. Для котрих з’явилися експлоіти.

• WordPress Image Gallery 1.9.65 Cross Site Scripting (деталі)
• WordPress Insert Html Snippet 1.2 Cross Site Request Forgery (деталі)
• WordPress WP Vault 0.8.6.6 Local File Inclusion (деталі)
• WordPress Single Personal Message 1.0.3 SQL Injection (деталі)
• WordPress Multisite Post Duplicator 0.9.5.1 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zaksoc.gov.ua (хакером nofawkX-al) - 18.02.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ukravtodor.gov.ua (українським хакером) - 30.04.2019 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://allkherson.com.ua (хакером MR.GREEN) - 16.04.2019 - зараз сайт вже виправлений адмінами
• http://aleksandr-savchuk.com (хакером MouseSec) - 25.04.2019 - зараз сайт вже виправлений адмінами
• http://mockup-angels.com (хакером MouseSec) - 25.04.2019 - зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Huge IT Portfolio Gallery, Instagram Feed, Canvas Shortcodes, Easy Facebook Like Box, Olimometer. Для котрих з’явилися експлоіти.

• WordPress Huge IT Portfolio Gallery 2.0.77 Cross Site Scripting (деталі)
• WordPress Instagram Feed 1.4.6.2 Cross Site Scripting / Cross Site Request Forgery (деталі)
• WordPress Canvas - Shortcodes 1.92 Cross Site Scripting (деталі)
• WordPress Easy Facebook Like Box 4.3.0 CSRF / XSS (деталі)
• WordPress Olimometer 2.56 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Українські Кібер Війська працюють з червня 2014 року. Нещодавно, 09.06.2019, їм виповнилося 5 років.

Прочитайте про підсумки діяльності Українських Кібер Військ за п’ять років.

А також на англійській мові: About work of Ukrainian Cyber Forces for 60 months. The five years aniversary.

Про всі досягнення і здобутки УКВ йдеться в мене на Facebook.