Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://olevsk-gromada.gov.ua (хакером b44t) - 08.01.2022 - похаканий державний сайт
• http://luglis.gov.ua (хакером b44t) - 09.01.2022 - похаканий державний сайт
• http://immanuel.org.ua (росіянами) - 15.03.2022
• http://idktd.nltu.edu.ua (хакером Mr. BDKR28) - 14.06.2023
• http://bgd.kname.edu.ua (хакером Imam) - 17.07.2023

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Chained Quiz, Tagregator, Gift Voucher, Plainview Activity Monitor, Quizlord. Для котрих з’явилися експлоіти.

• WordPress Chained Quiz 1.0.8 SQL Injection (деталі)
• WordPress Tagregator 0.6 Cross Site Scripting (деталі)
• WordPress Gift Voucher 1.0.5 SQL Injection (деталі)
• WordPress Plainview Activity Monitor 20161228 Command Injection (деталі)
• WordPress Quizlord 2.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Від початку роботи сайту в 2006 році я розмістив на ньому різні свої веб додатки на технології Flash і деякі відео з моїми інтерв’ю через флеш плеєр.

Це як два моїх онлайн тестування, так і численні доповіді на конференціях та деякі інші додатки.

У зв’язку з тим, що в 2021 році Adobe повністю відмовилася від підтримки Flash і заблокувала її в усіх браузерах, переглядати флешки на сайтах більше ніхто не може. Окрім як власники старих браузерів зі старими версіями Флеш, де не було зроблено блокування на цю дату. Ті ж відео люди дивляться через підтримку HTML5 усіма сучасними браузерами і відео включені з YoyTube надалі працюють, але не ті, що я тримав на самому сайті. Бо не мав в коді сайту сумісності з HTML5 (лише флеш плеєр), але я переведу всі відео на нього.

То у випадку моїх Flash додатків можна лише викачувати swf-файли і запускати їх локально на комп’ютері. Це не зручно для людей. Тому я зроблю для них exe-файли, зокрема для двох тестувань.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zahidmgu.gov.ua (з xNot_RespondinGx) - 25.11.2021 - похаканий державний сайт
• https://extrasens.gadalka.s-host.net (росіянами) - 15.03.2022
• https://fedorova.gadalka.s-host.net (росіянами) - 15.03.2022
• https://gips.zt.ua (росіянами) - 15.03.2022
• http://vzhuh.lviv.ua (хакерами з xNot_RespondinGx) - 29.04.2022
• DDoS атака на сайт ДТЕК dtek.com - 06.2022
• DDoS атака на archives.gov.ua - 07.2022 - атакований державний сайт
• DDoS атака на energoatom.com.ua - 16.08.2022

Ці та згадані раніше DDoS атаки були проведені росіянами. Також 13.05.2022 російські хакери атакували системи Львівської міської ради. Звідки вкрали та оприлюднили файли.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Gwolle Guestbook, Responsive Thumbnail Slider, Export Users To CSV, Ninja Forms і темах Dreamsmiths. Для котрих з’явилися експлоіти.

• WordPress Gwolle Guestbook 2.5.3 Cross Site Scripting (деталі)
• WordPress Responsive Thumbnail Slider Arbitrary File Upload (деталі)
• WordPress Export Users To CSV 1.1.1 CSV Injection (деталі)
• WordPress Dreamsmiths Themes 0.0.1 Arbitrary File Download (деталі)
• WordPress Ninja Forms 3.3.13 CSV Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://iod.gov.ua (хакером Moshkela Hacker) - 23.09.2021 - похаканий державний сайт
• http://lvivvet.gov.ua (хакерами з xNot_RespondinGx) - 25.11.2021 - похаканий державний сайт
• http://techned.org.ua (хакером Al Catraz) - 21.01.2021
• http://druk.pp.ua (росіянами) - 15.03.2022
• http://forum.writer-works.net (росіянами) - 15.03.2022

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Job Manager, All In One Favicon, LimoLabs, Snazzy Maps, Strong Testimonials. Для котрих з’явилися експлоіти.

• WordPress Job Manager 4.1.0 Cross Site Scripting (деталі)
• WordPress All In One Favicon 4.6 Cross Site Scripting (деталі)
• WordPress LimoLabs 1.0.0 Remote Password Disclosure (деталі)
• WordPress Snazzy Maps 1.1.3 Cross Site Scripting (деталі)
• WordPress Strong Testimonials 2.31.4 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://opishne-museum.gov.ua (хакерами з Family Attack Cyber) - 28.07.2021 - похаканий державний сайт
• http://poshyvailo-potters.gov.ua (хакерами з Family Attack Cyber) - 28.07.2021 - похаканий державний сайт
• http://old.pokrovsk-rada.gov.ua (хакером z3ran gaza hack3er) - 30.07.2021 - похаканий державний сайт
• https://bulbsandroots.com.ua (росіянами) - 15.03.2022
• http://sociostudios.vnu.edu.ua (хакером Simsimi) - 18.04.2023

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Redirection, Comments Import And Export, iThemes Security, Advanced Order Export For WooCommerce та в самому WordPress. Для котрих з’явилися експлоіти.

• WordPress Redirection 2.7.1 Deserialization Code Execution (деталі)
• WordPress Comments Import And Export CSV Injection (деталі)
• WordPress iThemes Security SQL Injection (деталі)
• WordPress Advanced Order Export For WooCommerce CSV Injection (деталі)
• WordPress 4.9.6 Arbitrary File Deletion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://selyuchenko-potters.gov.ua (хакерами з Family Attack Cyber) - 28.07.2021 - похаканий державний сайт
• http://ceramological-defect.com.ua (хакерами з Family Attack Cyber) - 28.07.2021
• https://anna-a.gadalka.s-host.net (росіянами) - 15.03.2022
• https://bogorad-arch.com.ua (росіянами) - 15.03.2022
• http://ugi.edu.ua (хакером Cee) - 22.12.2022