Вчора вийшла нова версія програми DAVOSET v.1.0.9. В новій версії:
DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.
Скачати: DAVOSET_v.1.0.9.rar.
У червні, 25.06.2013, вийшов Mozilla Firefox 22. Нова версія браузера вийшла через півтора місяця після виходу Firefox 21.
Mozilla офіційно випустила реліз веб-браузера Firefox 22, а також мобільну версію Firefox 22 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 23 намічений на 6 серпня, а Firefox 24 на 17 вересня. Також був випущений Seamonkey 2.19.
Одночасно з Firefox 22 випущені коригувальні релізи гілок із тривалим терміном підтримки - Firefox 17.0.7 і Thunderbird 17.0.7.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 22.0 усунуто 14 уразливостей, серед яких 4 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).
У червні, 20.06.2013, вийшов PHP 5.5.0. Вихід нової гілки PHP є значним покращенням 5.x серії, який включає багато нових функцій та виправлень багів.
Серед головних нововведень наступні: додані генератори та сопрограми, ключове слово finally, спрощене API для хешування паролів та багато інших нововведень в мові програмування.
В PHP 5.5.0 також додане розширення Zend OPcache, оновлена бібліотека GD до версії 2.1 та зроблено багато інших покращень і виправлень багів. Також починаючи з цієї версії зупинена підтримка Windows XP і 2003.
По матеріалам http://www.php.net.
Сьогодні вийшла нова версія програми DAVOSET v.1.0.8. В новій версії:
З доданням підтримки POST запитів до уразливих сайтів, також був змінений формат файлів зі списками зомбі-сервісів. Новий формат файла зворотно сумісний з попереднім форматом.
DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.
Скачати: DAVOSET_v.1.0.8.rar.
У червні, 06.06.2013, вийшли PHP 5.3.26 та PHP 5.4.16. В яких виправлено біля 15 багів. Дані релізи направлені на покращення безпеки та стабільності гілок 5.3.x і 5.4.x.
Серед секюріті виправлень в PHP 5.3.26 та PHP 5.4.16:
По матеріалам http://www.php.net.
У червні, 21.06.2013, вийшла нова версія WordPress 3.5.2.
WordPress 3.5.2 це секюріті та багфікс випуск 3.5 серії. В якому розробники виправили 12 багів та 7 уразливостей, і зробили 3 “посилення безпеки”. Зазначу, що їх також слід було віднести до виправлених дірок, а не применшувати їх важливість (та загальну кількість) шляхом віднесення до “security hardening”.
Стосовно покращення безпеки, то були виправлені наступні уразливості: Server-Side Request Forgery (SSRF) через HTTP API, Privilege Escalation (користувачі з правами Contributor можуть публікувати пости та всі користувачі можуть переназначити авторство), Cross-Site Scripting (XSS) в SWFUpload, DoS через кукіси до паролів постів, Content Spoofing через флешку в TinyMCE Media Plugin, XSS при завантаженні медіа та FPD при завантаженні файлів.
Зазначу, що в 2011 році я вже писав про CS і XSS уразливості в TinyMCE (що також використовується в WordPress), а в 2012 році писав про XSS уразливість в SWFUpload в WordPress. Так що це нові дірки в даних флешках, що постачаються з WP. А DoS уразливість через кукіси - це атака подібна до атаки з використанням Insufficient Authorization уразливості, про яку я писав в 2010 році.
Посилення безпеки стосуються наступних уразливостей (які розробники вважають низького ризику): XSS при редагуванні медіа, XSS при інсталяції/оновленні плагінів/тем, XML External Entity Injection (XXE) через oEmbed.
Додам, що при детальному дослідженні вияснилося, що виправлено декілька SSRF, XSS при редагуванні медіа є дві, XSS при інсталяції/оновленні плагінів/тем є дві (по одній для плагінів і для шаблонів), а Privilege Escalation також дві (як видно з опису). Тому виправлено уразливостей не 10, а значно більше.
Сьогодні вийшла нова версія програми DAVOSET v.1.0.7. В новій версії:
DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.
Скачати: DAVOSET_v.1.0.7.rar.
Сьогодні вийшла нова версія програми DAVOSET v.1.0.6. В новій версії:
DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.
У версії 1.0.6 я додав list_full.txt, що окрім 20 сервісів з основного списку, має також 10 додаткових сервісів з AoF уразливостями.
Скачати: DAVOSET_v.1.0.6.rar.
Розмістив на сайті DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality уразливостей на одних сайтах, для проведення атак на інші сайти (зокрема DoS і DDoS атак). Мій інструмент стане в нагоді при тестуванні Abuse of Functionality уразливостей і для доведення Інтернет спільноті небезпеки цих дірок. Що я намагався робити в своїх статтях в 2010 році та в описах уразливостей (починаючи з 2007 року), коли звертав увагу на подібні уразливості.
У липні 2010 року я розробив першу версію DAVOSET, а 18.07.2010 випустив версію 1.0.5, яку сьогодні й розмістив на сайті. Це остання версія мого інструменту DAVOSET. Після того я вже не займався його розробкою. Але зараз я планую продовжити розробку програми і випустити нові версії.
Три роки я тримав цей інструмент приватно, але зараз публікую його у відкритий доступ. Щоб всі бажаючи могли протестувати Abuse of Functionality уразливості на численних сайтах.
Так як в більшості випадків власники сайтів та веб розробники ігнорують і не виправляють їх. Що може бути використано для DoS атак як на інші сайти, так і на самі сайти з AoF уразливостями, про що я писав у статті Використання сайтів для атак на інші сайти.
У версії 1.0.5 присутній список list.txt з 20 уразливими сервісами на різних сайтах (про які я писав в новинах). Також існує більший список уразливих сервісів, до якого увійшли сайти, про які я писав в новинах вже після виходу цієї версії DAVOSET, і який я планую оприлюднити в наступній версії програми.
Скачати: DAVOSET_v.1.0.5.rar.
Окрім IP Location Finder та Whois Lookup та інших сервісів, про які я писав раніше, viewdns.info пропонує інші онлайн сервіси. Зокрема це Is My Site Down - сервіс для перевірки доступності сайта, та Google Pagerank Checker - сервіс перевірки PR.
За допомогою онлайнового сервісу Is My Site Down можна перевірити доступність сайта. Під час перевірки робиться резолвінг DNS, пінг, сканування 80 і 433 портів та запит до головної сторінки веб сайта.
Враховуючи Abuse of Functionality та Insufficient Anti-automation уразливості в цьому функціоналі, його можна буде використати для проведення DoS атак на інші сайти.
Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.
Abuse of Functionality / Insufficient Anti-automation:
http://www.viewdns.info/ismysitedown/?domain=google.com
За допомогою онлайнового сервісу Google Pagerank Checker можна визначити PR сайта. Що знадобиться при SEO веб сайтів.
Так само як і раніше згадані сервіси, дані онлайн інструменти від viewdns.info є безкоштовними.
* 
You are currently browsing the archives for the Програми category.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.