Websecurity - Веб безпека

03.03.2018

У вересні, 22.09.2017, я знайшов Brute Force та Cross-Site Request Forgery на ukrgasbank.com - сайті Укргазбанку. Про що найближчим часом повідомлю адміністрації.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на limit.privatbank.ua та uniordreams.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.10.2023

Brute Force (WASC-11):

https://ukrgasbank.com/admin/

Відсутність захисту від підбору пароля адміна.

Cross-Site Request Forgery (WASC-21):

Відсутність захисту від автоматизованих атак в цій самій формі логіну дозволяє провести CSRF атаку для віддаленого входу.

Дані уразливості за всі ці роки не виправлені. Тоді ж, 22.09.2017, я знайшов численні уразливості на онлайн-банкінгу Укргазбанку, про які повідомив їм разом з цими дірками на головному сайті - приватно, без анонсів на своєму сайті. Жодної відповіді на всі мої листи від банку не отримав.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але на жаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

• bonus.privatbank.ua
• promos.privatbank.ua

Також згадував про взломані онлайн магазини в Уанеті:

• topolyok-info.com.ua
• oil-shop.com.ua

А також згадував про інфіковані онлайн магазини в Уанеті:

• ukspar.com
• ukspar.ua
• unizoo.com.ua
• tennis-ua.com
• elefanto.ua
• vasha-mebel.kiev.ua

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Russian occupant sends robbed from Ukraine at post in Belgorod - УКВ записали як окупант висилає награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Russian occupants send robbed from Ukraine at post in Belgorod - УКВ записали як окупанти висилають награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Chained Quiz, Tagregator, Gift Voucher, Plainview Activity Monitor, Quizlord. Для котрих з’явилися експлоіти.

• WordPress Chained Quiz 1.0.8 SQL Injection (деталі)
• WordPress Tagregator 0.6 Cross Site Scripting (деталі)
• WordPress Gift Voucher 1.0.5 SQL Injection (деталі)
• WordPress Plainview Activity Monitor 20161228 Command Injection (деталі)
• WordPress Quizlord 2.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Від початку роботи сайту в 2006 році я розмістив на ньому різні свої веб додатки на технології Flash і деякі відео з моїми інтерв’ю через флеш плеєр.

Це як два моїх онлайн тестування, так і численні доповіді на конференціях та деякі інші додатки.

У зв’язку з тим, що в 2021 році Adobe повністю відмовилася від підтримки Flash і заблокувала її в усіх браузерах, переглядати флешки на сайтах більше ніхто не може. Окрім як власники старих браузерів зі старими версіями Флеш, де не було зроблено блокування на цю дату. Ті ж відео люди дивляться через підтримку HTML5 усіма сучасними браузерами і відео включені з YoyTube надалі працюють, але не ті, що я тримав на самому сайті. Бо не мав в коді сайту сумісності з HTML5 (лише флеш плеєр), але я переведу всі відео на нього.

То у випадку моїх Flash додатків можна лише викачувати swf-файли і запускати їх локально на комп’ютері. Це не зручно для людей. Тому я зроблю для них exe-файли, зокрема для двох тестувань.

В даній добірці експлоіти в веб додатках:

• ManageEngine ADSelfService Plus Build 6118 - NTLMv2 Hash Exposure (деталі)
• DLINK DIR850 - Insecure Access Control (деталі)
• DLINK DIR850 - Open Redirect (деталі)
• Apache CouchDB 3.2.1 - Remote Code Execution (RCE) (деталі)
• Google Chrome 78.0.3904.70 - Remote Code Execution (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zahidmgu.gov.ua (з xNot_RespondinGx) - 25.11.2021 - похаканий державний сайт
• https://extrasens.gadalka.s-host.net (росіянами) - 15.03.2022
• https://fedorova.gadalka.s-host.net (росіянами) - 15.03.2022
• https://gips.zt.ua (росіянами) - 15.03.2022
• http://vzhuh.lviv.ua (хакерами з xNot_RespondinGx) - 29.04.2022
• DDoS атака на сайт ДТЕК dtek.com - 06.2022
• DDoS атака на archives.gov.ua - 07.2022 - атакований державний сайт
• DDoS атака на energoatom.com.ua - 16.08.2022

Ці та згадані раніше DDoS атаки були проведені росіянами. Також 13.05.2022 російські хакери атакували системи Львівської міської ради. Звідки вкрали та оприлюднили файли.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022, дані за 05.09.2022-11.09.2022, дані за 12.09.2022-18.09.2022, дані за 19.09.2022-25.09.2022, дані за 26.09.2022-02.10.2022, дані за 03.10.2022-09.10.2022, дані за 10.10.2022-16.10.2022 та за 17.10.2022-23.10.2022. Це нові дані.

У жовтні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3TRZWBY.
Українські Кібер Війська виявили колону військової техніки з артилерією в Керчі https://bit.ly/3gtB0lA.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3ssfgcE.
Відео-розвідка: УКВ знову виявили, як мобілізовані росіяни отримують поштою бронежилети https://bit.ly/3sytp8k.
Українські Кібер Війська заблокували 310 сайтів терористів https://bit.ly/3FnUFxN.
Українські Кібер Війська виявили, як російський окупант висилає додому награбоване поштою в Бєлгороді https://bit.ly/3DEjCDW.
Переконав компанію з Англії зупинити підтримку сайтів терористів ДНР https://bit.ly/3MZz7t8.
Українські Кібер Війська записали російську військову техніку в Криму https://bit.ly/3SCBUK0.
Українські Кібер Війська закрили сайт терористів mintranslnr.su https://bit.ly/3STXU3m.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3DlJ7s7.
Відео-розвідка: УКВ виявили, як російські мобілізовані кадирівці отримують поштою взуття https://bit.ly/3DK2OeT.
Українські Кібер Війська заблокували 310 сайтів терористів https://bit.ly/3FsJGDi.
Українські Кібер Війська виявили, як російський окупант висилає додому награбоване поштою в Бєлгороді https://bit.ly/3fnzAZW.

У січні, 05.01.2023, вийшли PHP 8.0.27, PHP 8.1.14 і PHP 8.2.1. У версії 8.0.27 виправлена одна уразливість, у версії PHP 8.1.14 виправлено багато багів і уразливостей, у версії PHP 8.2.1 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x, 8.1.x і 8.2.x.

У PHP 8.0.27, 8.1.14 і 8.2.1 виправлено:

• Численні вибивання.
• Обхід обмежень open_basedir.
• Уразливість в PDO/SQLite (лише ця в усіх версіях).
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Gwolle Guestbook, Responsive Thumbnail Slider, Export Users To CSV, Ninja Forms і темах Dreamsmiths. Для котрих з’явилися експлоіти.

• WordPress Gwolle Guestbook 2.5.3 Cross Site Scripting (деталі)
• WordPress Responsive Thumbnail Slider Arbitrary File Upload (деталі)
• WordPress Export Users To CSV 1.1.1 CSV Injection (деталі)
• WordPress Dreamsmiths Themes 0.0.1 Arbitrary File Download (деталі)
• WordPress Ninja Forms 3.3.13 CSV Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.