Websecurity - Веб безпека

У грудні, 18.12.2014, вийшла нова версія WordPress 4.1.

WordPress 4.1 це перший випуск нової 4.1 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити нову тему по замовчуванню, покращене візуальне редагування, що не відволікає, підтримка багатьох локалізацій і зміна мови в налаштуваннях сайту, в адмінці можна зробити повний логаут (щоб вихід був зроблений для всіх пристроїв, з яких заходили в акаунт), підтримка включення відео з Vine та рекомендації плагінів в інсталяторі плагінів.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.alchevsk-pfu.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.agrofond.gov.ua (хакером DrSHA67) - 22.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://alexandriya-mebel.com.ua (хакером Firebox)
• http://stankoplast.com.ua (хакером POW3R G3n3r@70R)
• http://positum-psy.zhitomir.ua (хакерами з ayyildiz team) - 30.11.2014, зараз сайт закритий

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Participants Database, Elegance і Featured Comments. Для котрих з’явилися експлоіти. Participants Database - це плагін для створення списків учасників, Elegance - це тема движка, Featured Comments - це плагін для виділення важливих коментарів.

• WordPress Participants Database 1.5.4.8 SQL Injection (деталі)
• WordPress Elegance Local File Disclosure (деталі)
• WordPress Featured Comments 1.2.1 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У листопаді, 19.11.2014, я дав інтерв’ю каналу 24. Знявся для даного телеканалу.

Перший відео сюжет вийшов 20.11.2014 в новинах, а другий відео сюжет вийшов 25.11.2014 в новинах. В сюжетах йшлося про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Всі бажаючі, хто бачив трансляцію на каналі 24 і хто не бачив, можуть подивитися сюжети зі мною. Це наступні два відео:

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vrazrabotke.com.ua - інфекція була виявлена 23.12.2014. Зараз сайт входить до переліку підозрілих.
• http://xua.com.ua - інфекція була виявлена 24.11.2014. Зараз сайт не входить до переліку підозрілих.
• http://georg.kiev.ua - інфекція була виявлена 14.12.2014. Зараз сайт входить до переліку підозрілих.
• http://aromamania.com.ua - інфекція була виявлена 19.11.2014. Зараз сайт не входить до переліку підозрілих.
• http://bagagnik.kharkov.ua - інфекція була виявлена 23.11.2014. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах TimThumb Finder, Popup Images і Infocus. Для котрих з’явилися експлоіти. TimThumb Finder - це програма для пошуку TimThumb в плагінах і темах для WP, Popup Images - це плагін для створення попапів, Infocus - це тема движка.

• WordPress TimThumb Finder 1.0 Beta (деталі)
• WordPress Popup Images Cross Site Scripting (деталі)
• WordPress Infocus Local File Disclosure (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://bioenergy.gov.ua (хакером DrSHA67) - 07.12.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.archives.gov.ua (хакером d3b~X) - 03.11.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://photo-shkola.odessa.ua (хакером Criminal BD)
• http://www.elay.com.ua (хакером ahor4)
• http://blogs.ukrinform.gov.ua (хакером Sh4d0w-26) - 16.11.2014, хакнутий один з блогів, зараз він вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Booking System, bib2html і Conversion Ninja. Для котрих з’явилися експлоіти. Booking System - це плагін для замовлення білетів, bib2html - це плагін для розміщення bibtex елементів як HTML на сайті, Conversion Ninja - це плагін для спілкування.

• WordPress Booking System SQL Injection (деталі)
• WordPress bib2html 0.9.3 Cross Site Scripting (деталі)
• WordPress Conversion Ninja Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://rdi.com.ua - інфекція була виявлена 06.12.2014. Зараз сайт входить до переліку підозрілих.
• http://zolota-gora.com - інфекція була виявлена 10.12.2014. Зараз сайт не входить до переліку підозрілих.
• http://dendropark.km.ua - інфекція була виявлена 08.12.2014. Зараз сайт входить до переліку підозрілих.
• http://angliavilla.com - інфекція була виявлена 12.11.2014. Зараз сайт не входить до переліку підозрілих.
• http://rest.uzhgorod.ua - інфекція була виявлена 10.12.2014. Зараз сайт не входить до переліку підозрілих.

Як я писав, у серпні Українські Кібер Війська взломали сайт Міністерства Оборони РФ.

Тоді я розмістив детальні відомості про зарплату російських солдатів, зокрема десантника, якого затримали під Донецьком. Сьогодні я розмістив нову інформацію з сайту МО РФ. Про техніка взводу, затриманого в під Луганськом.

Оприлюднив інформацію про зарплату іншого солдата Російської Федерації - pdf файли з розрахунковими листками за серпень і листопад 2014 року - та проаналізував її. Це прапорщик, якого послали воювати в Україну.