Websecurity - Веб безпека

Сьогодні вийшла нова версія програми DAVOSET v.1.2.3. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Зробив список веб сайтів, що вимагають “http” для цільової адреси.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.3.rar.

В цьому році мене декілька разів запрошували виступити на конференції. Нещодавно я прийняв одне запрошення.

Найближчим часом я виступлю на конференції з доповіддю Кібервійна в Україні. Це конференція ІТ Форум UA Web Challenge.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.lbsadm.gov.ua (хакером Ali-HAwleRy) - 18.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.vvadm.gov.ua (хакером panataran) - 18.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.tehnodim.lutsk.ua (хакером Solt6n)
• http://gslan.net.ua (хакером PaWL) - 05.10.2014, зараз сайт вже виправлений адмінами
• http://kyokushin.gslan.net.ua (хакером PaWL) - 05.10.2014, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Work The Flow File Upload, iMember360is та WP-Affiliate Platform. Для котрих з’явилися експлоіти. Work The Flow File Upload - це плагін для завантаження файлів, iMember360is - це плагін для створення сайту з підпискою на його вміст, WP-Affiliate Platform - це плагін для створення та управління філіалами.

• WordPress Work-The-Flow 1.2.1 Shell Upload (деталі)
• WordPress iMember360is 3.9.001 XSS / Disclosure / Code Execution (деталі)
• WordPress WP-Affiliate Platform Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://nbshop.in.ua - інфекція була виявлена 11.11.2014. Зараз сайт входить до переліку підозрілих.
• http://allindustry.com.ua - інфекція була виявлена 01.11.2014. Зараз сайт не входить до переліку підозрілих.
• http://altaris.in.ua - інфекція була виявлена 10.11.2014. Зараз сайт входить до переліку підозрілих.
• http://ukspar.com - інфекція була виявлена 24.08.2014. Зараз сайт не входить до переліку підозрілих.
• http://ukspar.ua - інфекція була виявлена 24.08.2014. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах LineNity, JS External Link Info та Echelon. Для котрих з’явилися експлоіти. LineNity - це тема движка, JS External Link Info - це плагін для перетворення зовнішніх лінок на інформаційні сторінки, Echelon - це тема движка.

• WordPress LineNity Local File Inclusion (деталі)
• WordPress JS External Link Info Cross Site Scripting (деталі)
• WordPress Echelon Theme Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У жовтні, 31.10.2014, вийшла нова версія програми DAVOSET v.1.2.2. В новій версії:

• Додав підтримку https адрес для цільових сайтів.
• Змінив налаштування по замовчуванню.
• Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.2.rar.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.dobrrda.gov.ua (хакером panataran) - 16.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.lbmadm.gov.ua (хакером Romantic) - 18.09.2014 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.cvu.org.ua (невідомими хакерами) - 26.10.2014, зараз сайт вже виправлений адмінами
• http://klew.dp.ua (хакерами з novorossian Cyber Army)
• http://gslan.net.ua (хакером PaWL) - 05.10.2014, зараз сайт вже виправлений адмінами

Сьогодні Українські Кібер Війська взломали сайт ЦВК Луганської Народної Республіки та відмінили так звані вибори в ЛНР і ДНР.

Після взлому сайта Міністерства Оборони РФ та взлому державного сервера РФ у серпні. Та інших взломів УКВ.

Хакери Українських Кібер Військ взломали веб сайт cik-lnr.info і повідомили на ньому про відміну виборів.

Додав свою програму BWA в репозиторій на https://github.com/MustLive. Тепер в мене на GitHub три програми з числа секюріті додатків, що я розробив за 2005-2014 роки:

• Backdoored Web Application (BWA).
• DDoS attacks via other sites execution tool (DAVOSET).
• Custom Flash Player for VideoJS (video-js-swf) - версія плеєра з виправленою XSS уразливістю, про яку я повідомив розробникам в 2013 році.

Потім додам на GitHub інші програми. Як свої програми на тему безпеки, так і веб додатки в яких я виправив уразливості.