Архів за Липень, 2012

Добірка уразливостей

17:20 26.07.2012

В даній добірці уразливості в веб додатках:

  • SQL injection in python-sqlalchemy (деталі)
  • GuestBook Scripts PHP v1.5 - Multiple Web Vulnerabilites (деталі)
  • CLscript CMS v3.0 - Multiple Web Vulnerabilities (деталі)
  • 7sepehr SQL Injection Vulnerability (деталі)
  • HP Performance Manager Running on HP-UX, Linux, Solaris and Windows, Remote Execution of Arbitrary Code, Denial of Service (DoS) (деталі)
  • 7sepehr SQL Injection Vulnerability (деталі)
  • 7sepehr SQL Injection Vulnerability (деталі)
  • Blind SQL Injection in Webmatic (деталі)
  • Microsoft Security Bulletin MS12-039 - Important Vulnerabilities in Lync Could Allow Remote Code Execution (2707956) (деталі)
  • PHP NUKE ALL VERSION MULTI VULNERABILITY (деталі)

Вийшов Mozilla Firefox 14

20:06 25.07.2012

У липні, 17.07.2012, вийшов Mozilla Firefox 14. Нова версія браузера вийшла через півтора місяця після виходу Firefox 13 і майже через місяць після Firefox 13.0.1.

Mozilla офіційно представила реліз веб-браузера Firefox 14. Крім того, випущений коригувальний реліз гілки з тривалим терміном підтримки - Firefox 10.0.6. Реліз Firefox 15 намічений на 28 серпня, а Firefox 16 на 9 жовтня.

Також були випущені Thunderbird 14 і Seamonkey 2.11, а Firefox 14 для Android вийшов ще 26 червня.

Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 14.0 усунуто 18 уразливостей, серед яких 9 позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.

  • Релиз web-браузера Firefox 14 и почтового клиента Thunderbird 14 (деталі)

Добірка уразливостей

17:21 25.07.2012

В даній добірці уразливості в веб додатках:

  • gnash security update (деталі)
  • Nagios XI Network Monitor OS Command Injection (деталі)
  • Nagios XI Network Monitor Stored and Reflected XSS (деталі)
  • Forum Oxalis 0.1.2 <= SQL Injection Vulnerability (деталі)
  • plow 0.0.5 <= Buffer Overflow Vulnerability (деталі)
  • HP OpenView Performance Manager PMParamHandler Remote Code Execution Vulnerability (деталі)
  • plow 0.0.5 <= Buffer Overflow Vulnerability (деталі)
  • Freeside SelfService CGI|API 2.3.3 - Multiple Vulnerabilities (деталі)
  • Classified Ads Script PHP v1.1 - SQL Injection Vulnerabilities (деталі)
  • Event Script PHP v1.1 CMS - Multiple Web Vulnerabilities (деталі)

Новини: довгі паролі, персональні дані в Україні та взлом Nike

22:42 21.07.2012

За повідомленням www.xakep.ru, запам’ятовування довгих паролів на моторному рівні.

Представте комбінацію з 30 випадкових символів, що ви набираєте автоматично, але не здатні згадати. Це біометрична авторизація на рівні мозку: відбиток упроваджують вам у підсвідомість, а система потім може перевірити його присутність.

Дослідник Христо Божинов зі Стенфордського університету з колегами розробили унікальну методику запам’ятовування паролів на моторному рівні, так що в результаті користувач здатний не дивлячись набрати пароль на клавіатурі.

За повідомленням ain.ua, в Україні набрали сили штрафи за порушення в сфері персональних даних.

З 1 липня 2012 року для українських компаній діють штрафи та інші санкції, передбачені законом про посилення відповідальності за порушення в сфері захисту персональних даних. Даний закон повинний був набрати сили ще із січня цього року, але потім його відстрочили до липня.

Спочатку Верховною Радою України в 2010 році був прийнятий закон “Про захист персональних даних”, який повинен був набрати чинності 01.01.2011. Але потім вступ в дію штрафів відстрочили і 02.06.2011 депутати прийняли закон “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних”, який мав вступити в дію 01.01.2012. Але депутати знову відстрочили штрафи на півроку. І з 01.07.2012 штрафи почали діяти. Про наслідки цього закону для власників сайтів я писав в статті Закриття сайтів через розміщення персональних даних.

За повідомленням www.xakep.ru, американець одержав товарів на $80 тис. через дірку в сайті Nike.

25-літній Бред Стівенсон зі штату Вірджінія протягом п’яти місяців замовляв товари на сайті Nike, не платячи за них ні копійки. Як з’ясувало слідство, Стівенсон незаконно заволодів товарами загальною вартістю 81419 доларів і 58 центів.

Під час обшуку в Стівенсона вдома знайшли 231 річ Nike на загальну суму близько 17 тисяч доларів. Все інше він уже продав на eBay чи подарував друзям.

Численні уразливостів Microsoft Sharepoint

20:26 21.07.2012

Виявлені численні уразливості безпеки в Microsoft Sharepoint.

Уразливі продукти: Microsoft Office SharePoint Server 2007 SP2 і SP3, Windows SharePoint Services 3.0 SP2, SharePoint Foundation 2010 Gold і SP1.

Міжсайтовий скриптінг, перенаправлення URL.

  • Microsoft Security Bulletin MS12-050 - Important Vulnerabilities in SharePoint Could Allow Elevation of Privilege (2695502) (деталі)

Добірка експлоітів

17:18 21.07.2012

В даній добірці експлоіти в веб додатках:

  • FreeBSD ftpd/ProFTPD remote exploit (деталі)
  • IBM Tivoli Endpoint 4.1.1 Remote SYSTEM Exploit (деталі)
  • eLineStudio Site Composer (ESC) <=2.6 Multiple Vulnerabilities (SQL Injection, XSS, Information Leakage, Broken Authentication) (деталі)
  • Academic Web Tools CMS <= 1.4.2.8 Multiple Vulnerabilities (Directory Traversal, SQL Injection, XSS, Redirector, Session Fixation) (деталі)
  • doITlive CMS <=2.50 Multiple Vulnerabilities (SQL Injection, XSS) (деталі)

Моя музика: Narcotic Sound

23:57 20.07.2012

Сьогодні вийшов мій новий комерційний реліз - мій альбом “Narcotic Sound”. В даному випадку це EP і це четвертий комерційний реліз після мого альбому “It’s My House”.

Альбом складається з чотирьох house і tech-house композицій. Він вже розміщений на Juno Download та багатьох інших онлайн магазинах, де його можна прослухати та придбати (в високій якості). Всі композиції можна прослухати в нормальній якості в моєму акаунті на SoundCloud.

До альбому увійшли 4 композиції, що були створені мною в 2011-2012 роках. Це наступні композиції:

  1. Narcotic
  2. Narcotic (Mix)
  3. Addictive Sound
  4. Dreaming

ClickJacking веб камери

22:49 20.07.2012

Продовжуючи розпочату традицію, після попереднього відео про обхід Cross Origin в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про ClickJacking веб камери. Рекомендую подивитися всім хто цікавиться цією темою.

Webcam ClickJacking

В ролику демонструється ClickJacking атака на веб камеру. З використанням відомої техніки ClickJacking на сайті Макромедії (що тепер належить Адобу) відбувається атака на налаштування флеш-плеєра. Показана атака для зміни налаштувань веб камери, що дозволить віддалено включити веб камеру на комп’ютері користувача та слідкувати за ним. Аналогічно можно провести зміну інших налаштувань флеш-плагіна, зокрема мікрофона - для підслуховування користувача.

Атака відбувається при відвідуванні в браузері спеціально створеного веб сайта, що містить код експлоіту - в даному випадку у вигляді онлайн-гри. Рекомендую подивитися дане відео для розуміння векторів атак на Flash.

Добірка уразливостей

17:22 20.07.2012

В даній добірці уразливості в веб додатках:

  • BackupPC vulnerability (деталі)
  • Zend Framework - Local file disclosure via XXE injection (деталі)
  • SugarCRM CE <= 6.3.1 "unserialize()" PHP Code Execution (деталі)
  • Apache Roller Cross-Site-Resource-Forgery (XSRF) vulnerability (деталі)
  • Apache Roller Cross-Site-Scripting (XSS) vulnerability (деталі)
  • Vulnerabilities in OpenSSL (деталі)
  • TEMENOS T24 Cross-Site Scripting (XSS) Vulnerability (деталі)
  • Bookmark4U lostpasswd.php env[include_prefix] Parameter RFI (деталі)
  • Basilic RCE bug (деталі)
  • Nagios XI Network Monitor Blind SQL Injection (деталі)

Стаття про мене в журналі “Власть денег”

23:59 19.07.2012

У січні я дав інтерв’ю журналу “Власть денег”. І в п’ятому номері журналу, що вийшов 01.02.2012, вийшла стаття, в якій також розповідається і про мене.

Стаття називається “Кібервибори”. В ній розповідається про українських хакерів (як blackhat, так і whitehat хакерів), про кримінальні хакерські послуги в Україні та їх використання партіями, в тому числі в контексті майбутніх парламентських виборів.

Так що кому буде цікаво прочитати інформацію про мене, як тим хто вже читав про мене в журналі Фокус на інших журналах ;-) , так і всім іншим, можете дістати собі цей номер “Власть денег”, або прочитати статтю в Інтернеті.

Стаття була розміщена 3 лютого на сайті ДеПо - Кибервыборы.

В зв’язку з тим, що в березні 2014 року з сайта www.depo.ua всі статті були прибрані, то ось вам дана стаття на іншому сайті - Кибервойна! Кибервойна!...