Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• EMC Avamar sensitive information disclosure vulnerability (деталі)
• SQL Injection in ReOS (деталі)
• RSA, The Security Division of EMC, announces a fix for potential security vulnerability in RSA Access Manager Server (деталі)
• XSS in Podcast Generator (деталі)
• Path disclosure in Podcast Generator (деталі)
• SAP Crystal Reports 2008 - Multiple XSS (деталі)
• Symantec IM Manager Administrative Interface IMAdminSchedTask.asp Eval Code Injection Remote Code Execution Vulnerability (деталі)
• vBulletin 4.1.2 0-day Denial Of Service Exploit (деталі)
• IBM Lotus Domino Server Controller Authentication Bypass Remote Code Execution Vulnerability (деталі)
• XSRF (CSRF) in UMI.CMS (деталі)

04.11.2010

У липні, 07.07.2010, я знайшов Cross-Site Scripting та Brute Force уразливості на проекті http://www.br-ua.com. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливості з’явиться пізніше.

27.08.2011

XSS:

• alert(document.cookie)
• цікавий

Brute Force:

http://www.br-ua.com/admin/

Дані уразливості досі не виправлені.

За повідомленням hackzona.com.ua, СБУ викрила зломщиків системи ‘Укртелекому’.

Служба безпеки України викрила шахрайську схему, в рамках якої житель Чернігова незаконно отримував прибуток за рахунок компанії “Укртелеком” та її абонентів.

За допомогою мобільного телефону та комп’ютерної техніки шахрай перехоплював логіни та паролі абонентів “Укртелекому”, підключених до Інтернету через ADSL-модеми за допомогою WiFi.

За повідомленням www.3dnews.ru, Microsoft відзначає зростання кількості фішингових атак.

Microsoft обнародувала черговий звіт Security Intelligence Report (SIR), що висвітлює ситуацію з інформаційною безпекою в Інтернеті в другій половині 2010 року. Відповідно до звіту, обсяг фішинга з застосуванням соціальних мереж зріс з 8,3% від загального рівня використання фішингових атак у січні до 84,5% у грудні 2010 року.

За повідомленням www.xakep.ru, руйнівна DoS-уразливість Apache.

Фахівці з підтримки веб сервера Apache поспішають виправити серйозну уразливість, що дозволяє хакерам за допомогою одного єдиного комп’ютера цілком відключити сервер. Уперше цей баг був виявлений 54 місяці тому.

Код атаки охрестили “Apache Killer”, він використовує уразливість Apache в обробці HTTP-запитів. Яка була виявлена Майклом Залевскі в січні 2007 року.

Дуже оперативно працюють розробники Apache. Лише зараз вирішили виправити уразливість публічно оприлюднену ще в січні 2007 (понад 4,5 років тому).

В своїй презентації How to secure web applications with OWASP, Santosh Satam розповідає про забезпечення безпеки веб додатків з використанням OWASP. Він розповідає про організацію OWASP, її проекти та інструменти.

Виявлені численні уразливості безпеки в Oracle Sun Java.

Уразливі версії: Oracle Java SE 6.

• Vulnerabilities in java-1.6.0-openjdk (деталі)

29.10.2010

У липні, 06.07.2010, я знайшов SQL Injection уразливість на сайті http://kvadrat.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

26.08.2011

SQL Injection:

http://kvadrat.ua/index.php?content_id=-1%20or%20version()=5

Дана уразливість досі не виправлена.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zakarpat-ses.gov.ua (хакерами з Ashiyane Digital Security Team) - 13.07.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.city-izyum.gov.ua (хакером sLizer) - 24.07.2011 - взломаний державний сайт, зараз сайт вже виправлений адмінами
• http://www.fiatgroup.com.ua (хакерами з LatinHackTeam) - 05.07.2011, зараз сайт вже виправлений адмінами
• http://fearzone.org.ua (хакером FEnR) - 20.07.2011, зараз сайт вже виправлений адмінами
• http://skypark.org.ua (хакером iskorpitx) - 23.07.2011, зараз сайт вже виправлений адмінами

Сьогодні в мене день народження - мені виповнилося 28 років. З чим вас і себе поздоровляю .

Як завжди одним з перших мене поздоровив мій Palm. Але й деякі відповідальні люди також не забули це зробити.

В зв’язку з цією подією, дарую вам свою композицію Life Is Going On (Життя триває) з мого нового альбому Originality.

В даній добірці уразливості в веб додатках:

• HP MFP Digital Sending Software Running on Windows, Authentication Bypass (деталі)
• TinyWebGallery: XSS + Directory Traversal (деталі)
• SQL Injection in ReOS (деталі)
• Hewlett-Packard Client Automation radexecd.exe Remote Code Execution Vulnerability (деталі)
• SQL Injection in ReOS (деталі)
• HP Client Automation Enterprise (HPCA) Running on Windows, Remote Execution of Arbitrary Code (деталі)
• Local File Inclusion in Podcast Generator (деталі)
• SQL Injection in ReOS (деталі)
• nostromo nhttpd directory traversal leading to arbitrary command execution (деталі)
• Local File Inclusion in ReOS (деталі)

27.10.2010

У липні, 06.07.2010, я знайшов SQL Injection уразливість на сайті http://stella.kiev.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

25.08.2011

SQL Injection:

http://stella.kiev.ua/index.php?content_id=-1%20or%20version()=5

Дана уразливість досі не виправлена.