Архів за Липень, 2017

Уразливості в плагінах для WordPress №260

23:51 20.07.2017

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Google Sitemap, Htaccess, Job Board, Limit Attempts. Для котрих з’явилися експлоіти.

  • WordPress Google Sitemap 2.9.1 Cross Site Scripting (деталі)
  • WordPress Htaccess 1.4 Cross Site Scripting (деталі)
  • WordPress Job Board 1.0.0 Cross Site Scripting (деталі)
  • WordPress Limit Attempts 1.0.3 Cross Site Request Forgery (деталі)
  • WordPress Limit Attempts 1.0.3 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Вийшли PHP 7.0.21 і 7.1.7

20:02 20.07.2017

У червні, 06.07.2017, вийшли PHP 7.0.21 і PHP 7.1.7. У версії 7.0.21 виправлено багато багів і уразливостей, у версії 7.1.7 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.0.x і 7.1.x.

У PHP 7.0.21 і 7.1.7 виправлено:

  • Пошкодження пам’яті.
  • Численні вибивання в різних функціях (DoS).
  • Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

Добірка уразливостей

17:29 20.07.2017

В даній добірці уразливості в веб додатках:

  • HP Network Node Manager I (NNMi) for Windows and Linux, Remote Execution of Arbitrary Code (деталі)
  • Ektron CMS 9.10 SP1 - CSRF Vulnerability (деталі)
  • Ektron CMS 9.10 SP1 - XSS Vulnerability (деталі)
  • Local PHP File Inclusion in ResourceSpace (деталі)
  • procmail vulnerability (деталі)

Моє інтерв’ю для UATV

23:39 19.07.2017

В червні, 28.06.2017, я дав інтерв’ю для телеканалу UATV. Що вийшло 04.07.2017.

Сюжет вийшов на каналі UATV з приводу масштабної вірусної атаки, яка 27.06.2017 відбулася в Україні. Що вважаю найбільшою кібер атакою в Україні на даний час. Всі бажаючі можуть його подивитися.

Інфіковані сайти №275

22:47 19.07.2017

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

  • http://elnetworker.net - інфекція була виявлена 17.01.2017. Зараз сайт не входить до переліку підозрілих.
  • http://android-boom.com - інфекція була виявлена 18.04.2017. Зараз сайт не входить до переліку підозрілих.
  • http://nice-soft.zzz.com.ua - інфекція була виявлена 09.05.2017. Зараз сайт не входить до переліку підозрілих.
  • http://profismart.club - інфекція була виявлена 28.05.2017. Зараз сайт не входить до переліку підозрілих.
  • http://constructioninc.zzz.com.ua - інфекція була виявлена 12.06.2017. Зараз сайт не входить до переліку підозрілих.

Численні уразливості в Microsoft Internet Explorer і Edge

20:01 19.07.2017

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Vista, Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

Добірка експлоітів

17:24 19.07.2017

В даній добірці експлоіти в веб додатках:

  • SIEMENS IP Cameras (Multiple Models) - Credential Disclosure / Configuration Download (деталі)
  • C2S DVR Management IRDOME-II-C2S / IRBOX-II-C2S / DVR - Credentials Disclosure / Authentication Bypass (деталі)
  • TOSHIBA IP-Camera IK-WP41A - Authentication Bypass / Configuration Download (деталі)
  • Disk Savvy Enterprise 9.0.32 - ‘Login’ Buffer Overflow (деталі)
  • Billion Router 7700NR4 - Remote Command Execution (деталі)

Взлом банкоматів - Next Gen ATMs

23:58 18.07.2017

Продовжуючи розпочату традицію, після попереднього відео про автоматизацію атак на Wi-Fi мережі, пропоную нове відео на секюріті тематику. Цього разу відео про взлом банкоматів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 24 - Hacking Next Gen ATMs From Capture to Cashout

Торік влітку на конференції DEFCON 24 відбувся виступ Weston Hecker. В своєму виступі він розповів про атаки на банкомати. Про скімери та інші пристрої. Про те, як захоплювати дані з магнітних стрічок і чипів платіжних карт та як отримувати пін коди для подальшого зняття коштів в банкоматах.

Він розповів про аспекти безпеки платіжних карт і банкоматів. Рекомендую подивитися дане відео для розуміння поточного стану безпеки банкоматів.

Безпека e-commerce сайтів в Уанеті №24

20:45 18.07.2017

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

Також згадував про взломані онлайн магазини в Уанеті:

А також згадував про інфіковані онлайн магазини в Уанеті:

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

Добірка уразливостей

18:22 18.07.2017

В даній добірці уразливості в веб додатках: