Websecurity - Веб безпека

У вересні, 15.09.2015, вийшла нова версія WordPress 4.3.1.

WordPress 4.3.1 це багфікс та секюріті випуск нової 4.3 серії. В якому розробники виправили 26 багів та 3 уразливості. Це дві Cross-Site Scripting і одна Privilege Escalation уразливості. XSS дірки в шорткод тегах і в списку користувачів, а PE дірка дозволяла користувачам без достатніх прав публікувати приватні пости і закріплювати їх.

Також в цей день вийшли WordPress 4.0.8, 4.1.8 і 4.2.5. Версії 4.0.8, 4.1.8 і 4.2.5 це секюріті випуски 4.0, 4.1 і 4.2 серії, в яких виправлені дані уразливості й баги.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simplelife, WP Limit Posts Automatically, TweetScribe, Twitter LiveBlog, WP Unique Article Header Image. Для котрих з’явилися експлоіти.

• WordPress Simplelife 1.2 CSRF / XSS (деталі)
• WordPress WP Limit Posts Automatically 0.7 CSRF / XSS (деталі)
• WordPress TweetScribe 1.1 CSRF / XSS (деталі)
• WordPress Twitter LiveBlog 1.1.2 CSRF / XSS (деталі)
• WordPress WP Unique Article Header Image 1.0 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://gp.gov.ua - інфікований державний сайт - інфекція була виявлена 16.09.2015. Зараз сайт не входить до переліку підозрілих.
• http://inmak.ua - інфекція була виявлена 28.07.2015. Зараз сайт не входить до переліку підозрілих.
• http://iac4×4.com.ua - інфекція була виявлена 08.08.2015. Зараз сайт входить до переліку підозрілих.
• http://4-links.net - інфекція була виявлена 28.09.2015. Зараз сайт не входить до переліку підозрілих.
• http://bilavezha.kiev.ua - інфекція була виявлена 03.08.2015. Зараз сайт не входить до переліку підозрілих.

У серпні, 18.08.2015, вийшла нова версія WordPress 4.3.

WordPress 4.3 це перший випуск нової 4.3 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити налаштування меню, скорочення форматування, редактор іконок сайта, покращена процедура генерування безпечних паролів та деякі покращення в адмінці.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.busk-rada.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.stryirairada.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://higashishop.com (хакером BrazilObscure) - 19.05.2015, зараз сайт закритий
• http://aikikai.com.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт вже не працює
• http://www.arktur.com.ua (хакером Phenomene Dz) - 21.06.2015, зараз сайт закритий

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Twitter, PWG Random, gSlideShow, SimpleFlickr, twimp-wp. Для котрих з’явилися експлоіти.

• WordPress Twitter 0.7 CSRF / XSS (деталі)
• WordPress PWG Random 1.11 CSRF / XSS (деталі)
• WordPress gSlideShow 0.1 CSRF / XSS (деталі)
• WordPress SimpleFlickr 3.0.3 CSRF / XSS (деталі)
• WordPress twimp-wp Cross Site Request Forgery / Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://5tasks.com - інфекція була виявлена 20.09.2015. Зараз сайт входить до переліку підозрілих.
• http://rbc.ua - інфекція була виявлена 04.08.2015. Зараз сайт не входить до переліку підозрілих.
• http://psi.com.ua - інфекція була виявлена 10.07.2015. Зараз сайт не входить до переліку підозрілих.
• http://lana.com.ua - інфекція була виявлена 03.08.2015. Зараз сайт не входить до переліку підозрілих.
• http://truboprovod.in.net - інфекція була виявлена 07.09.2015. Зараз сайт не входить до переліку підозрілих.

У вересні, 16.09.2015, я дав інтерв’ю каналу Обоз LIVE. Виступив на даному телеканалі.

Ефір вийшов 16.09.2015 на Обоз LIVE. В сюжеті йшлося про війну і кібервійну в України, про участь хакерів в цих процесах, про Українські Кібер Війська, нашу роботу та проведення мною анти-терористичної операції в Інтернеті. Всі бажаючі можуть його подивитися.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в темі Echelon та в плагінах Bird Feeder, iTwitter, gSlideShow, PictoBrowser. Для котрих з’явилися експлоіти.

• WordPress Theme Echelon Arbitrary File Download (деталі)
• WordPress Bird Feeder 1.2.3 CSRF / XSS (деталі)
• WordPress iTwitter 0.04 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress gSlideShow 0.1 CSRF / XSS (деталі)
• WordPress PictoBrowser 0.3.1 CSRF / XSS (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://dszn-zoda.gov.ua (хакером Phenomene Dz) - 19.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.ekuzt.gov.ua (хакером Phenomene Dz) - 20.06.2015 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.domdesigner.com.ua (хакером Red hell sofyan)
• http://uindigo.com (хакером El Moujahidin) - 11.06.2015, зараз сайт вже виправлений адмінами
• http://aikido.if.ua (хакерами з SecurityCrewz) - 03.06.2015, зараз сайт закритий провайдером