Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• HP Network Node Manager I (NNMi) for Windows and Linux, Remote Execution of Arbitrary Code (деталі)
• Ektron CMS 9.10 SP1 - CSRF Vulnerability (деталі)
• Ektron CMS 9.10 SP1 - XSS Vulnerability (деталі)
• Local PHP File Inclusion in ResourceSpace (деталі)
• procmail vulnerability (деталі)

В червні, 28.06.2017, я дав інтерв’ю для телеканалу UATV. Що вийшло 04.07.2017.

Сюжет вийшов на каналі UATV з приводу масштабної вірусної атаки, яка 27.06.2017 відбулася в Україні. Що вважаю найбільшою кібер атакою в Україні на даний час. Всі бажаючі можуть його подивитися.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://profismart.club - інфекція була виявлена 28.05.2017. Зараз сайт не входить до переліку підозрілих.
• http://simplejane.zzz.com.ua - інфекція була виявлена 04.07.2017. Зараз сайт не входить до переліку підозрілих.
• http://vkapi.zzz.com.ua - інфекція була виявлена 04.07.2017. Зараз сайт не входить до переліку підозрілих.
• http://smitddd.zzz.com.ua - інфекція була виявлена 13.07.2017. Зараз сайт не входить до переліку підозрілих.
• http://seller-acc.kl.com.ua - інфекція була виявлена 13.07.2017. Зараз сайт не входить до переліку підозрілих.

Виявлені численні уразливості безпеки в Microsoft Internet Explorer і Microsoft Edge. Що були виправлені у вівторку патчів у липні.

Уразливі продукти: Microsoft Internet Explorer 9, 10, 11 та Edge під Windows Server 2008, Windows 7, Windows Server 2012, Windows 8.1, Windows 10, Windows Server 2016.

Численні пошкодження пам’яті та виконання коду.

В даній добірці експлоіти в веб додатках:

• SIEMENS IP Cameras (Multiple Models) - Credential Disclosure / Configuration Download (деталі)
• C2S DVR Management IRDOME-II-C2S / IRBOX-II-C2S / DVR - Credentials Disclosure / Authentication Bypass (деталі)
• TOSHIBA IP-Camera IK-WP41A - Authentication Bypass / Configuration Download (деталі)
• Disk Savvy Enterprise 9.0.32 - ‘Login’ Buffer Overflow (деталі)
• Billion Router 7700NR4 - Remote Command Execution (деталі)

Продовжуючи розпочату традицію, після попереднього відео про автоматизацію атак на Wi-Fi мережі, пропоную нове відео на секюріті тематику. Цього разу відео про взлом банкоматів. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 24 - Hacking Next Gen ATMs From Capture to Cashout

Торік влітку на конференції DEFCON 24 відбувся виступ Weston Hecker. В своєму виступі він розповів про атаки на банкомати. Про скімери та інші пристрої. Про те, як захоплювати дані з магнітних стрічок і чипів платіжних карт та як отримувати пін коди для подальшого зняття коштів в банкоматах.

Він розповів про аспекти безпеки платіжних карт і банкоматів. Рекомендую подивитися дане відео для розуміння поточного стану безпеки банкоматів.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але нажаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

• limit.privatbank.ua

Також згадував про взломані онлайн магазини в Уанеті:

• dostavkapizza.kiev.ua
• isol-pack.com.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• jumboo.com.ua
• kamushki.com.ua
• kilowattik.com.ua
• kiri.com.ua
• knigoo.com.ua
• kolesiko.ua
• kulturist.com.ua
• lady-boy.com.ua
• leshiy.com.ua
• luckytails.com.ua
• masterskaya.dn.ua
• mc-store.ua

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

В даній добірці уразливості в веб додатках:

• Denial of Service in Squid (деталі)
• jqueryui security update (деталі)
• Enhanced SQL Portal 5.0.7961 XSS Vulnerability (деталі)
• Freebox OS Web interface 3.0.2 XSS, CSRF (деталі)
• F5 BIG-IP Reflected Cross-Site Scripting (деталі)

Одинадцять років тому, 18.07.2006, мій проект розпочав свою роботу. Так що сьогодні виповнилося 11 років з моменту початку офіційної роботи проекту Websecurity - Веб безпека. З чим вас і себе поздоровляю .

За останній рік роботи проекту було зроблено чимало і ще багато чого заплановано. Зокрема мною були оновлені DAVOSET, SecurityAlert та інші Секюріті програми.

Також опубліковано багато цікавих статей та досліджень, а також даних про діяльність Українських Кібер Військ.

Багато цікавого ще попереду, тому слідкуйте за новинами.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Gallery, Google Captcha, Email Queue, BestWebSoft Google Maps, Google +1. Для котрих з’явилися експлоіти.

• WordPress Gallery 4.2.1 Cross Site Scripting (деталі)
• WordPress Google Captcha 1.05 Cross Site Scripting (деталі)
• WordPress Email Queue 1.0.0 Cross Site Request Forgery (деталі)
• WordPress BestWebSoft Google Maps 1.2.1 Cross Site Scripting (деталі)
• WordPress Google +1 1.1.6 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.