Websecurity - Веб безпека

В травні, 20.05.2017, вийшла нова версія програми DAVOSET v.1.3.3. В новій версії:

• Додав підтримку Tor в якості проксі. Базуючись на підтримці Socks з версії 1.2 від 26.04.2014.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 210 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.3.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-Shop, ALO EasyMail Newsletter, Vertical Image Slider, Appointment Booking Calendar. Для котрих з’явилися експлоіти.

• WordPress WP-Shop 3.4.3.18 Cross Site Scripting (деталі)
• WordPress ALO EasyMail Newsletter 2.6 CSRF / Cross Site Scripting (деталі)
• WordPress Vertical Image Slider 1.0 CSRF / XSS (деталі)
• WordPress Appointment Booking Calendar 1.1.7 XSS (деталі)
• WordPress Appointment Booking Calendar 1.1.7 SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• DDoS на http://etp.agrex.gov.ua (невідомими хакерами) - 13-14.03.2017 - атакований державний сайт
• http://cloud.adm-hrebinka.gov.ua (хакерами з Yunkers Crew) - 16.04.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://agrotalks.com (хакером Shade) - 21.10.2016 - повідомлення хакера все ще розміщено на сайті
• http://autoenterprise.com.ua (хакером Shade)
• http://rodyna.ugcc.org.ua (хакером GeNErAL) - 06.02.2017 хакером GeNErAL, 28.02.2017 хакером XwoLfTn, 01.04.2017 хакером Medo, зараз сайт вже виправлений адмінами

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://orangetravel.com.ua - інфекція була виявлена 26.04.2017. Зараз сайт входить до переліку підозрілих.
• http://asp-exclusive.com.ua - інфекція була виявлена 26.04.2017. Зараз сайт не входить до переліку підозрілих.
• http://prostata.pp.ua - інфекція була виявлена 26.04.2017. Зараз сайт входить до переліку підозрілих.
• http://3d-orange.com.ua - інфекція була виявлена 26.04.2017. Зараз сайт не входить до переліку підозрілих.
• http://keramhome.com.ua - інфекція була виявлена 26.04.2017. Зараз сайт закритий.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Testimonial Slider, Contact Form Generator, eShop, Easy Media Gallery, xPinner Lite. Для котрих з’явилися експлоіти.

• WordPress Testimonial Slider 1.2.1 Cross Site Scripting (деталі)
• WordPress Contact Form Generator 2.0.1 CSRF (деталі)
• WordPress eShop 6.3.13 Cross Site Scripting (деталі)
• WordPress Easy Media Gallery 1.3.47 Cross Site Scripting (деталі)
• WordPress xPinner Lite 2.2 Cross Site Request Forgery / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У березні я знявся для сюжету на каналі ZIK.

Сюжет на тему фішинга вийшов 07.04.2017 в ефірі телеканалу ZIK. Як не попасти на гроші в Інтернеті - про кіберзлочинність та різновиди Інтернет шахрайства, про якість роботи кіберполіції та поради від фахівців.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://compet.kh.gov.ua (хакером jok3r) - 26.10.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://vn.dsp.gov.ua (хакером RxR) - 08.11.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sadyukrainy.com.ua (хакером dump3cz) - 18.03.2017. Спочатку сайт був хакнутий іншими хакерами, потім 18.03.2017 хакером dump3cz, 27.03.2017 хакерами darkshadow-tn і fallag gassrini, 30.03.2017 хакером GeNErAL, зараз сайт закритий адмінами
• http://ufc.dp.ua (хакером TheWayEnd) - 25.02.2017, зараз сайт вже виправлений адмінами
• http://kinematica.com.ua (хакером GeNErAL) - 01.04.2017, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Private Only, Navis DocumentCloud, Responsive Thumbnail Slider, Captain Slider, sourceAFRICA. Для котрих з’явилися експлоіти.

• WordPress Private Only 3.5.1 CSRF / Cross Site Scripting (деталі)
• WordPress Navis DocumentCloud 0.1 Cross Site Scripting (деталі)
• WordPress Responsive Thumbnail Slider 1.0 Shell Upload (деталі)
• WordPress Captain Slider 1.0.6 Cross Site Scripting (деталі)
• WordPress sourceAFRICA 0.1.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В квітні, 20.04.2017, вийшла нова версія програми DAVOSET v.1.3.2. В новій версії:

• Додав підтримку XXE уразливості в CyberPower Systems PowerPanel.
• Додав нові сервіси в повний список зомбі.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 200 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.2.rar.

У березні, 06.03.2017, вийшла нова версія WordPress 4.7.3.

WordPress 4.7.3 це багфікс та секюріті випуск нової 4.7 серії. В якому розробники виправили 39 багів та 6 уразливостей. Це 3 XSS уразливості, URL Redirector Abuse, видалення недозволених файлів в адмінці та CSRF уразливість.

Також в цей день вийшли WordPress 4.0.16, 4.1.16, 4.2.13, 4.3.9, 4.4.8, 4.5.7 і 4.6.4. Вказані версії це секюріті випуски 4.0, 4.1, 4.2, 4.3, 4.4, 4.5 і 4.6 серії, в яких виправлені дані уразливості.