Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://gtea.snigurivka-rda.gov.ua (хакером HambaAllah) - 27.12.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://policier.snigurivka-rda.gov.ua (хакером HambaAllah) - 27.12.2013 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.media-plus.com.ua (хакером SuL6an Hacker)
• http://ptv.com.ua (хакером HasTurk) - 07.01.2014, зараз сайт вже виправлений адмінами
• http://excom.crimea.ua (хакером HasTurk) - 09.01.2014, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Curvo, WP-Checkout та Think Responsive. Для котрих з’явилися експлоіти. Curvo - це тема движка, WP-Checkout - це плагін для створення онлайн-магазину, Think Responsive - це тема движка.

• WordPress Curvo Shell Upload (деталі)
• WordPress WP-Checkout Cross Site Scripting / Shell Upload (деталі)
• WordPress Think Responsive 1.0 Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Сьогодні вийшла нова версія програми DAVOSET v.1.1.6. Це революційний випуск - Revolution Edition. В новій версії:

• Додав нові сервіси в повний список зомбі.
• Додав підтримку завершального слеша в адресі для translate.yandex.net.
• Покращив алгоритм роботи з відкритими файлами.

Всього в списку міститься 141 зомбі-сервіс, які готові нанести удар по сайтам злочинного режиму.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.6.rar.

Офіційна заява з приводу вчорашнього блокування мого веб проекту. Робота двох моїх сайтів була відновлена майже опівночі.

Минулого тижня Верховна Рада прийняла нові закони, які люди назвали “диктаторськими”, а на наступний день президент підписав їх. Учора, 22.01.2014, дані закони вступили в силу.

І вчора після 16:00 два моїх сайти websecurity.com.ua і mlfun.org.ua були заблоковані. Тому що були відключені два домени провайдером в зв’язку з рішенням СБУ. Представники спецслужб заставили провайдера відключити мої домени через порушення нового законодавства. А саме через розміщення відео файлу про Віктора Януковича (на mlfun.org.ua) та розміщення лінки на нього (на websecurity.com.ua) - лінки на сайт президента, на якому я розмістив дане відео через Content Spoofing уразливість.

Це “диктаторські закони” в дії. Зокрема закон стосовно наклепу (в СБУ вважали “невідповідним закону” дане відео), що дозволяє без рішення суду закривати будь-які сайти на українських хостингах чи з українськими доменами. Через те, що будь-які матеріали на сайтах правоохоронці можуть вважати наклепом.

Після відновлення роботи своїх ресурсів, я прибрав відео файл і лінку на нього. Щоб не порушувати нові закони і щоб не було претензій до мене від правоохоронців. Поки діють дані скандальні закони. За останніми подіями в Україні, в тому числі подіями пов’язаними з моїми сайтами, ви можете слідкувати в мене в твіттері.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://ifds.org.ua - інфекція була виявлена 23.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://djuice.ua - інфекція була виявлена 07.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://didjeridu.org.ua - інфекція була виявлена 05.12.2013. Зараз сайт не входить до переліку підозрілих.
• http://kyivstar.ua - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.
• http://kyivstar.net - інфекція була виявлена 24.10.2013. Зараз сайт не входить до переліку підозрілих.

Завтра чергове віче на Євромайдані в Києві. Перше після прийняття парламентом в четвер скандальних законів та підписання їх в п’ятницю президентом. Дане зібрання може бути визнане екстремістським і незаконним відповідно до нових законів, що значно звужують свободу слова і права людей в Україні.

Мої відео з Євромайдану можете подивися в моєму акаунті на YouTube. Останні повідомлення читайте в моєму Твіттері.

До речі, виявив на president.gov.ua Cross-Site Scripting та Content Spoofing уразливості. Стосовно державних сайтів в останнє я писав про уразливості на www.bank.gov.ua.

XSS:

• alert(document.cookie)
• alert(document.cookie)

Content Spoofing:

http://president.gov.ua/js/jw/player.swf?file=http://site/1.flv
http://president.gov.ua/js/jw/player.swf?config=http://site/1.xml
http://president.gov.ua/js/jw/player.swf?abouttext=Player&aboutlink=http://websecurity.com.ua

P.S.

Прибрав з сайту інформацію про Януковича в зв’язку зі вступом в дію нових законів.

І розмістив лінку на відео з Януковичем у Twitter. А пізніше, коли виявив, що на сайті президента додали блокуючі фільтри, то розмістив нову лінку в Facebook.

Наближається 2014 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати мою нову композицію Look into the future:

У грудні, 31.12.2013, вийшла нова версія програми DAVOSET v.1.1.5. Це новорічний випуск . В новій версії:

• Додав обробник помилок в GetCookie().
• Додав нові сервіси в списки зомбі.
• Прибрав непрацюючі сервіси зі списків зомбі.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.5.rar.

У грудні, 03.12.2013, вийшла нова версія програми DAVOSET v.1.1.4. В новій версії:

• Додав новий сервіс в повний список зомбі.
• Прибрав непрацюючі сервіси зі списків зомбі.
• Виправив баг з портом в двох функціях.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.1.4.rar.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах MobileChief, Curvo та MoneyTheme. Для котрих з’явилися експлоіти. MobileChief - це плагін для створення мобільного сайта, Curvo - це тема движка, MoneyTheme - це тема движка.

• WordPress MobileChief Cross Site Scripting (деталі)
• WordPress Curvo Cross Site Request Forgery (деталі)
• WordPress MoneyTheme Cross Site Scripting / Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.