Websecurity - Веб безпека

У листопаді, 26.11.2014, я дав інтерв’ю каналу Espreso.TV. Знявся для даного телеканалу.

Відео сюжет вийшов 04.12.2014 в новинах. В сюжеті йшлося про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Всі бажаючі, хто бачив цю передачу на Espreso.TV і хто не бачив її, можуть подивитися сюжет зі мною.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://cses.gov.ua (хакером Fatal Error) - 27.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://snigiryevka-rada.gov.ua (хакером PaWL) - 05.10.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tas.zp.ua (хакером Silo)
• http://эталонпринт.com.ua (хакером DARKWAR2) - 28.10.2014, зараз сайт вже виправлений адмінами
• http://www.tiraz.biz.ua (хакером Index Php) - 05.11.2014, зараз сайт вже виправлений адмінами

У листопаді, 20.11.2014, вийшла нова версія WordPress 4.0.1.

WordPress 4.0.1 це багфікс та секюріті випуск нової 4.0 серії. В якому розробники виправили 23 баги та 10 уразливостей. Серед виправлених уразливостей:

• виправлені 3 XSS уразливості, що можуть бути використані користувачами з правами contributor чи author.
• виправлена Cross-Site Request Forgery уразливість, що дозволяє провести атаку на користувача для зміни пароля.
• виправлена Denial of Service уразливість при перевірці паролів.
• доданий додатковий захист проти Server-Side Request Forgery.
• виправлена дуже маловірогідна колізія хешів, що дозволяла скомпрометувати акаунт користувача.
• тепер лінки в листах для зміни паролю стають недійсними, якщо користувач змінив свій емайл.
• виправлені дві уразливості при перевірці EXIF даних при завантаженні зображень, що розробники назвали “security hardening”.

У WordPress 3.9.2 та попередніх версіях виявлена Cross-Site Scripting уразливість в функції коментування. Для гілок 3.7.x, 3.8.x і 3.9.x були випущені версії 3.7.5, 3.8.5 і 3.9.3 з виправленням даної XSS уразливості.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Photo-Gallery і Formidable Forms та програма Night Lion Security PHP Stress. Для котрих з’явилися експлоіти. Утіліта PHP Stress призначенна для проведення тестування вразливості до DoS атак, Photo-Gallery - це плагін для створення фото галерей, Formidable Forms - це плагін для створення форм.

• Night Lion Security PHP Stress (деталі)
• WordPress Photo-Gallery Cross Site Request Forgery (деталі)
• WordPress Formidable Forms Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Вчора, 23.11.2014, в Києві відбулася конференція ІТ Форум UA Web Challenge.

Я прийняв участь в конференції та виступив з доповіддю “Кібервійна в Україні”. В якій розповів про кібервійну та Українські Кібер Війська, що я створив для протидії кібервійні.

Моя доповідь:

Кібервійна в Україні

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://profi-oil.com.ua - інфекція була виявлена 24.11.2014. Зараз сайт входить до переліку підозрілих.
• http://lur.ck.ua - інфекція була виявлена 30.10.2014. Зараз сайт не входить до переліку підозрілих.
• http://vsvete.com.ua - інфекція була виявлена 23.11.2014. Зараз сайт входить до переліку підозрілих.
• http://laki-kraski.com.ua - інфекція була виявлена 29.09.2014. Зараз сайт не входить до переліку підозрілих.
• http://kievmarket.com - інфекція була виявлена 15.11.2014. Зараз сайт не входить до переліку підозрілих.

У листопаді, 14.11.2014, я дав інтерв’ю каналу 2+2. Знявся для даного телеканалу.

Відео сюжет вийшов 19.11.2014 в новинах. В сюжеті йшлося про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Всі бажаючі, хто бачив цю передачу на 2+2 і хто не бачив її, можуть подивитися сюжет зі мною.

Сьогодні вийшла нова версія програми DAVOSET v.1.2.3. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Зробив список веб сайтів, що вимагають “http” для цільової адреси.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.3.rar.

В цьому році мене декілька разів запрошували виступити на конференції. Нещодавно я прийняв одне запрошення.

Найближчим часом я виступлю на конференції з доповіддю Кібервійна в Україні. Це конференція ІТ Форум UA Web Challenge.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.lbsadm.gov.ua (хакером Ali-HAwleRy) - 18.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vvadm.gov.ua (хакером panataran) - 18.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.tehnodim.lutsk.ua (хакером Solt6n)
• http://gslan.net.ua (хакером PaWL) - 05.10.2014, зараз сайт вже виправлений адмінами
• http://kyokushin.gslan.net.ua (хакером PaWL) - 05.10.2014, зараз сайт вже виправлений адмінами