13.08.2008
У листопаді, 25.11.2007, я знайшов нову Cross-Site Scripting уразливість на проекті http://www.banner.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Раніше я вже писав про уразливості на www.banner.kiev.ua.
Детальна інформація про уразливість з’явиться пізніше.
13.02.2009
XSS:
Дана уразливість досі не виправлена.
В даній добірці експлоіти в веб додатках:
У березні, 12.03.2008, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на проекті http://www.delfi.ua (онлайн ЗМІ). Про що найближчим часом сповіщу адміністрацію проекту.
Раніше я вже писав про уразливість на www.delfi.ua.
Insufficient Anti-automation:
http://www.delfi.ua/news/daily/economy/article.php?id=336761
На сторінках новин в формі коментарю немає захисту від автоматизованих запитів (капчі).
Insufficient Anti-automation:
http://www.delfi.ua/note.php?id=336761&url=1
На сторінці відправки повідомлення редакції немає капчі.
Insufficient Anti-automation + Abuse of Functionality:
http://www.delfi.ua/news/daily/economy/article.php?id=336761&s2f=1
На сторінках відправки повідомлення з лінкою на новину немає капчі. А враховуючи, що всі основні поля доступні для модифікації, даний функціонал сайта може використовуватися для масової розсилки спаму.
В своєму звіті Хакерська активність в Уанеті в 1 півріччі 2008 я навів дані про діяльність хакерів в Уанеті за період з 01.01.2008 по 30.06.2008, а в звіті Хакерська активність в Уанеті в 2 півріччі 2008 - дані за період з 01.07.2008 по 31.12.2008.
За весь 2008 рік в Уанеті була проведена 151 атака на веб сайти - 28 за перше півріччя і 123 за друге. Для порівняння, за весь 2007 рік було зафіксовано всього 17 атак на веб сайти. Це не дуже велика цифра порівняно з іншими регіонами Інтернету, але активність хакерів все більш помітна і вона продовжує стрімко зростати.
Динаміка зростання хакерської активності за минулий рік: за перше півріччя 2008 активність більша на 367% в порівнянні з аналогічним періодом 2007 року, а за друге півріччя 2008 - на 1130% більше за аналогічний період 2007 року (і на 339% більше за перше півріччя 2008 року). А в цілому в 2008 році активність зросла на 788% порівняно з 2007 роком - зростання в 8,88 рази.
В 2008 році загалом було атаковано 151 веб ресурс (як взломи, так і DDoS атаки), перелік яких ви можете знайти у відповідних звітах за перше і друге півріччя минулого року. В тому числі 2 українських державних сайти.
Також згадаю про заражені сайти в Уанеті, більшість з яких я виявив власноруч:
Ці сайти були інфіковані вірусами. І це лише ті випадки, про які я писав у новинах, реальна кількість інфікованих сайтів значно більша. Дані сайти я не враховував в статистиці похаканих сайтів (хоча якщо не всі, то більшість з них явно були похакані).
Серед головних тенденцій 2008 року в діяльності хакерів в Уанеті є те, що хакерська активність сильно зросла - на 788% порівняно з 2007 роком (збільшення динаміки у 3,28 рази). А також те, що все більше сайтів в Уанеті заражуються вірусами. Та те, що трохи зменшилася кількість DDoS атак на сайти - 7 випадків DDoS атак за рік, проти 8 випадків у 2007 році (зменшення на 12,5%). Це 4,6% від всіх атак за 2008 рік.
Підсумовуючи скажу, що активність хакерів значно зросла і вона продовжує зростати (що я й прогнозував торік). І в 2009 році ця тенденція збережеться.
В новому році очікуйте на нові звіти про хакерську активність в Уанеті.
Виявлені численні уразливості безпеки в Microsoft Internet Explorer.
Уразливі продукти: Microsoft Internet Explorer 6 та 7 на Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server.
Виявлено декілька пошкоджень пам’яті.
В даній добірці уразливості в веб додатках:
У вересні, 29.09.2008, я виявив Denial of Service уразливість в Internet Explorer 7. Уразливість подібна до DoS в браузерах Firefox, Opera та Chrome і до якої IE6 не був вразливий, але, як я перевірив, до неї вразливий IE7.
Дану атаку я назвав DoS через друк (printing DoS attack).
DoS:
При запуску експлоіта браузер блокується - він не зависає, але ним стає неможливо користуватися і його можна лише закрити (через Task Manager).
Уразлива версія Internet Explorer 7 (7.0.6000.16711) і попередні версії.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
11.08.2008
У листопаді, 21.11.2007, я знайшов Denial of Service та Cross-Site Scripting уразливості на проекті http://www.rozetka.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.
Стосовно дірок на сайтах онлайн магазинів останній раз я писав про уразливості на mister-rich.com.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
11.02.2009
Уразливості стосуються обох доменів http://www.rozetka.com.ua і http://rozetka.kiev.ua.
DoS:
В пошуку по сайту запит “1″ призводить до перенавантаження БД. І чим глибші результати пошуку, тім більше навантаження.
http://www.rozetka.com.ua/index.php?page=search&lang=ru&search_text=1
http://www.rozetka.com.ua/index.php?page=search&lang=ru&search_text=1&pno=300
http://www.rozetka.com.ua/index.php?page=search&lang=ru&search_text=1&pno=990
XSS:
Дані уразливості досі не виправлені.
В даній добірці експлоіти в веб додатках:
* 
You are currently browsing the archives for Лютий, 2009.
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.