Архів за Листопад, 2014

Міжсайтовий скриптінг в Microsoft SharePoint Server

19:27 24.11.2014

Виявлена уразливість міжсайтового скриптінгу в Microsoft SharePoint Server.

Уразливі продукти: Microsoft SharePoint Server 2010.

Збережений міжсайтовий скриптінг - persistent XSS.

  • Microsoft Security Bulletin MS14-073 - Important Vulnerability in Microsoft SharePoint Foundation Could Allow Elevation of Privilege (3000431) (деталі)

Телепередача зі мною на каналі 2+2

13:37 24.11.2014

У листопаді, 14.11.2014, я дав інтерв’ю каналу 2+2. Знявся для даного телеканалу.

Відео сюжет вийшов 19.11.2014 в новинах. В сюжеті йшлося про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Всі бажаючі, хто бачив цю передачу на 2+2 і хто не бачив її, можуть подивитися сюжет зі мною.

Уразливості в D-Link DCS-910

23:54 15.11.2014

У листопаді, 05.11.2014, я виявив Abuse of Functionality, Brute Force та Cross-Site Request Forgery уразливості в D-Link DCS-910 (веб камера).

Раніше я писав про уразливості в D-Link DCS-930L.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

DDoS attacks via other sites execution tool

22:48 15.11.2014

Сьогодні вийшла нова версія програми DAVOSET v.1.2.3. В новій версії:

  • Додав нові сервіси в повний список зомбі.
  • Зробив список веб сайтів, що вимагають “http” для цільової адреси.
  • Прибрав неробочі сервіси з повного списку зомбі.

Всього в списку міститься 170 зомбі-сервісів, які готові нанести удар проти диктатури.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.2.3.rar.

Протидія шпигунству

20:16 15.11.2014

Продовжуючи розпочату традицію, після попереднього відео про RFID хакінг, пропоную нове відео на секюріті тематику. Цього разу відео про протидію шпигунству. Рекомендую подивитися всім хто цікавиться цією темою.

DEF CON 22 - Am I Being Spied On?

Влітку на конференції DEFCON 22 відбувся виступ Dr. Philip Polstra. В своєму виступі він розповів про шпигунство. Про визначення, що за вами стежать (через комп’ютери та мобільні пристрої) та як протидіями цьому.

Він продемонстрував як за допомогою низько-технологічних засобів визначати і протидіяти навіть високо-технологічному стеженню. Рекомендую подивитися дане відео для розуміння шпигунства і щоб навчитися визначати чи за вами стежать.

DT та FPD уразливості в D-Link DCS-2103

17:22 15.11.2014

11.07.2014

Сьогодні я виявив уразливості в D-Link DCS-2103 (веб камера). Зокрема Directory Traversal та Full path disclosure уразливості. Це перша частина дірок в DCS-2103.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP 1150 та D-Link DAP-1360.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

15.11.2014

Directory Traversal (Arbitrary File Download) (WASC-33):

http://site/cgi-bin/sddownload.cgi?file=/../../etc/passwd

Full path disclosure (WASC-13):

http://site/cgi-bin/sddownload.cgi?file=/

Уразлива версія D-Link DCS-2103, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.

Виступ на конференції

23:54 14.11.2014

В цьому році мене декілька разів запрошували виступити на конференції. Нещодавно я прийняв одне запрошення.

Найближчим часом я виступлю на конференції з доповіддю Кібервійна в Україні. Це конференція ІТ Форум UA Web Challenge.

Українські Кібер Війська: відео розвідка

22:49 14.11.2014

Українські Кібер Війська з червня займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив три відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Українські Кібер Війська: відео з Луганська - УКВ записали відео про життя Луганська окупованого терористами.

Українські Кібер Війська: військова техніка терористів в Донецьку - УКВ записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: колона техніки терористів в Донецьку - УКВ записали переміщення колони військової техніки терористів в Донецьку.

Українські Кібер Війська: сафарі терористів в Донецьку - УКВ багато разів записали переміщення військової техніки терористів в Донецьку.

Українські Кібер Війська: колона техніки терористів в Донецьку - УКВ записали переміщення колони військової техніки терористів в Донецьку (10 вантажівок).

Виконання коду в Apache Struts

20:01 14.11.2014

Виявлена можливість виконання коду в Apache Struts і commons-beanutils.

Уразливі продукти: Apache Struts 1.3.10, commons-beanutils 1.9.1.

Необмежений доступ до параметра class в об’єкті ActionForm.

  • commons-beanutils: ‘class’ property is exposed, potentially leading to RCE (деталі)

Добірка експлоітів

17:26 14.11.2014

В даній добірці експлоіти в веб додатках:

  • Fonality Trixbox CE 2.8.0.4 Command Execution Vulnerability (деталі)
  • NETIS DL4322D Multiple Vulnerabilities (деталі)
  • Yokogawa CS3000 BKFSim_vhfd.exe Buffer Overflow Exploit (деталі)
  • D-Link DIR-505 HNAP Request Remote Buffer Overflow Exploit (деталі)
  • D-Link DIR-300 / DIR-645 Unauthenticated UPnP M-SEARCH Multicast Command Injection (деталі)