Архів за Квітень, 2017

Наступні записи »

Добірка експлоітів

17:22 20.04.2017

В даній добірці експлоіти в веб додатках:

  • PHP gettext 1.0.12 - ‘gettext.php’ Unauthenticated Code Execution (деталі)
  • Ubee EVW3226 Modem/Router 1.0.20 - Multiple Vulnerabilities (деталі)
  • Technicolor TC7200 Modem/Router STD6.02.11 - Multiple Vulnerabilities (деталі)
  • ntop/nbox 2.3 < 2.5 - Multiple Vulnerabilities (деталі)
  • NUUO NVRmini2 / NVRsolo / Crystal Devices / Netgear ReadyNAS Surveillance Application - Multiple Vulnerabilities (деталі)

Опубліковано в Експлоіти | Без Коментарів »

Інфіковані сайти №269

23:57 19.04.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://ogoloshennia.com.ua - інфекція була виявлена 28.03.2017. Зараз сайт входить до переліку підозрілих.
  • http://nniif.org.ua - інфекція була виявлена 28.03.2017. Зараз сайт не входить до переліку підозрілих.
  • http://bugor.lg.ua - інфекція була виявлена 28.03.2017. Зараз сайт входить до переліку підозрілих.
  • http://aboutkids.org.ua - інфекція була виявлена 28.03.2017. Зараз сайт закритий.
  • http://genichesk.co.ua - інфекція була виявлена 28.03.2017. Зараз сайт не входить до переліку підозрілих.

Опубліковано в Новини сайту, Дослідження | Без Коментарів »

XSS уразливість в Windows IIS

22:49 19.04.2017

Виявлена XSS уразливість в сервері Microsoft Internet Information Services (IIS).

Уразливі продукти: Microsoft Internet Information Services для Windows Vista, 7, 8.1, RT 8.1, 10 та Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016.

Міжсайтовий скриптінг по спеціальній адресі на веб сервері IIS.

  • Microsoft Security Bulletin MS17-016 - Important Security Update for Windows IIS (4013074) (деталі)

Опубліковано в Новини, Помилки | Без Коментарів »

Добірка уразливостей

20:06 19.04.2017

В даній добірці уразливості в веб додатках:

  • Multiple Critical Security Vulnerabilities in SAP Governance, Risk and Compliance (SAP GRC) (деталі)
  • Apache Cassandra remote execution of arbitrary code (деталі)
  • HotExBilling Manager Cross-site scripting (XSS) vulnerability (деталі)
  • Apache Flex reflected XSS vulnerability (деталі)
  • Port scanning in SAP BusinessObjects Explorer (деталі)

Опубліковано в Уразливості | Без Коментарів »

Прямий ефір зі мною на каналі ВБТ

17:21 19.04.2017

У квітні, 07.04.2017, я виступив у прямому ефірі на каналі ВБТ.

Ефір відбувся на Всесвітньому Броварському Телебаченні. В ньому йшлося про хакерські атаки проти України, про атаки росіян на нашу енергосистему в 2015 і 2016 роках, про КіберАТО та веб безпеку. А також про Українські Кібер Війська та нашу роботу за три роки і надав свої поради для захисту в Інтернеті. Всі бажаючі можуть його подивитися.

Опубліковано в Новини сайту, Статті | Без Коментарів »

Уразливості в плагінах для WordPress №248

23:58 01.04.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах iframe, Googmonify, Analyticator, Car Rental System, YouTube Embed. Для котрих з’явилися експлоіти.

  • WordPress iframe 3.0 Reflective Cross Site Scripting (деталі)
  • WordPress Googmonify 0.8.1 Cross Site Request Forgery / Cross Site Scripting (деталі)
  • Google Analyticator 6.4.9.4 Cross Site Scripting (деталі)
  • WordPress Car Rental System SQL Injection (деталі)
  • WordPress YouTube Embed 3.3.2 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Опубліковано в Новини сайту, Уразливості | Без Коментарів »

DDoS attacks via other sites execution tool

22:45 01.04.2017

В квітні, 04.04.2017, вийшла нова версія програми DAVOSET v.1.3.1. В новій версії:

  • Додав обхід захисту через використання кукісів на відповідних сайтах.
  • Додав нові сервіси в списки зомбі.
  • Прибрав неробочі сервіси зі списків зомбі.

Всього в списку міститься 190 зомбі-сервісів.

DDoS attacks via other sites execution tool (DAVOSET) - це інструмент для використання Abuse of Functionality та XML External Entities уразливостей на одних сайтах, для проведення DoS і DDoS атак на інші сайти.

Скачати: DAVOSET_v.1.3.1.rar.

Опубліковано в Новини сайту, Програми | Без Коментарів »

Уразливість в Microsoft Exchange

20:06 01.04.2017

Виявлена уразливість в Microsoft Exchange.

Уразливі продукти: Microsoft Exchange Server 2013, Exchange Server 2016.

Виконання коду в Outlook Web Access (OWA) через вкладення в листі та через лінку в листі.

  • Microsoft Security Bulletin MS17-015 - Important Security Update for Microsoft Exchange Server (4013242) (деталі)

Опубліковано в Новини, Помилки | Без Коментарів »

Добірка експлоітів

16:24 01.04.2017

В даній добірці експлоіти в веб додатках:

  • Micro Focus Filr 2 2.0.0.421, Filr 1.2 1.2.0.846 - Multiple Vulnerabilities (деталі)
  • Bellini/Supercook Wi-Fi Yumi SC200 - Multiple Vulnerabilities (деталі)
  • Compal CH7465LG-LC Modem/Router CH7465LG-NCIP-4.50.18.13-NOSH - Multiple Vulnerabilities (деталі)
  • Barracuda Web Application Firewall 8.0.1.008 - Authenticated Remote Command Execution (деталі)
  • Easy File Sharing Web Server 7.2 - SEH Overflow (Egghunter) (деталі)

Опубліковано в Експлоіти | Без Коментарів »


Наступні записи »