Архів за Жовтень, 2023

Уразливості на ukrgasbank.com

22:58 29.10.2023

03.03.2018

У вересні, 22.09.2017, я знайшов Brute Force та Cross-Site Request Forgery на ukrgasbank.com - сайті Укргазбанку. Про що найближчим часом повідомлю адміністрації.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на limit.privatbank.ua та uniordreams.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.10.2023

Brute Force (WASC-11):

https://ukrgasbank.com/admin/

Відсутність захисту від підбору пароля адміна.

Cross-Site Request Forgery (WASC-21):

Відсутність захисту від автоматизованих атак в цій самій формі логіну дозволяє провести CSRF атаку для віддаленого входу.

Дані уразливості за всі ці роки не виправлені. Тоді ж, 22.09.2017, я знайшов численні уразливості на онлайн-банкінгу Укргазбанку, про які повідомив їм разом з цими дірками на головному сайті - приватно, без анонсів на своєму сайті. Жодної відповіді на всі мої листи від банку не отримав.

Безпека e-commerce сайтів в Уанеті №30

19:35 29.10.2023

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але на жаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

Також згадував про взломані онлайн магазини в Уанеті:

А також згадував про інфіковані онлайн магазини в Уанеті:

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

Українські Кібер Війська: відео розвідка

16:21 29.10.2023

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Russian occupant sends robbed from Ukraine at post in Belgorod - УКВ записали як окупант висилає награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Russian occupants send robbed from Ukraine at post in Belgorod - УКВ записали як окупанти висилають награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Уразливості в плагінах для WordPress №354

22:57 28.10.2023

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Chained Quiz, Tagregator, Gift Voucher, Plainview Activity Monitor, Quizlord. Для котрих з’явилися експлоіти.

  • WordPress Chained Quiz 1.0.8 SQL Injection (деталі)
  • WordPress Tagregator 0.6 Cross Site Scripting (деталі)
  • WordPress Gift Voucher 1.0.5 SQL Injection (деталі)
  • WordPress Plainview Activity Monitor 20161228 Command Injection (деталі)
  • WordPress Quizlord 2.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Мої відео та додатки на Flash

19:34 28.10.2023

Від початку роботи сайту в 2006 році я розмістив на ньому різні свої веб додатки на технології Flash і деякі відео з моїми інтерв’ю через флеш плеєр.

Це як два моїх онлайн тестування, так і численні доповіді на конференціях та деякі інші додатки.

У зв’язку з тим, що в 2021 році Adobe повністю відмовилася від підтримки Flash і заблокувала її в усіх браузерах, переглядати флешки на сайтах більше ніхто не може. Окрім як власники старих браузерів зі старими версіями Флеш, де не було зроблено блокування на цю дату. Ті ж відео люди дивляться через підтримку HTML5 усіма сучасними браузерами і відео включені з YoyTube надалі працюють, але не ті, що я тримав на самому сайті. Бо не мав в коді сайту сумісності з HTML5 (лише флеш плеєр), але я переведу всі відео на нього.

То у випадку моїх Flash додатків можна лише викачувати swf-файли і запускати їх локально на комп’ютері. Це не зручно для людей. Тому я зроблю для них exe-файли, зокрема для двох тестувань.

Добірка експлоітів

16:21 28.10.2023

В даній добірці експлоіти в веб додатках:

  • ManageEngine ADSelfService Plus Build 6118 - NTLMv2 Hash Exposure (деталі)
  • DLINK DIR850 - Insecure Access Control (деталі)
  • DLINK DIR850 - Open Redirect (деталі)
  • Apache CouchDB 3.2.1 - Remote Code Execution (RCE) (деталі)
  • Google Chrome 78.0.3904.70 - Remote Code Execution (деталі)

Похакані сайти №397

22:50 27.10.2023

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://zahidmgu.gov.ua (з xNot_RespondinGx) - 25.11.2021 - похаканий державний сайт
  • https://extrasens.gadalka.s-host.net (росіянами) - 15.03.2022
  • https://fedorova.gadalka.s-host.net (росіянами) - 15.03.2022
  • https://gips.zt.ua (росіянами) - 15.03.2022
  • http://vzhuh.lviv.ua (хакерами з xNot_RespondinGx) - 29.04.2022
  • DDoS атака на сайт ДТЕК dtek.com - 06.2022
  • DDoS атака на archives.gov.ua - 07.2022 - атакований державний сайт
  • DDoS атака на energoatom.com.ua - 16.08.2022

Ці та згадані раніше DDoS атаки були проведені росіянами. Також 13.05.2022 російські хакери атакували системи Львівської міської ради. Звідки вкрали та оприлюднили файли.

Діяльність Українських Кібер Військ

19:32 27.10.2023

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022, дані за 05.09.2022-11.09.2022, дані за 12.09.2022-18.09.2022, дані за 19.09.2022-25.09.2022, дані за 26.09.2022-02.10.2022, дані за 03.10.2022-09.10.2022, дані за 10.10.2022-16.10.2022 та за 17.10.2022-23.10.2022. Це нові дані.

У жовтні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3TRZWBY.
Українські Кібер Війська виявили колону військової техніки з артилерією в Керчі https://bit.ly/3gtB0lA.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3ssfgcE.
Відео-розвідка: УКВ знову виявили, як мобілізовані росіяни отримують поштою бронежилети https://bit.ly/3sytp8k.
Українські Кібер Війська заблокували 310 сайтів терористів https://bit.ly/3FnUFxN.
Українські Кібер Війська виявили, як російський окупант висилає додому награбоване поштою в Бєлгороді https://bit.ly/3DEjCDW.
Переконав компанію з Англії зупинити підтримку сайтів терористів ДНР https://bit.ly/3MZz7t8.
Українські Кібер Війська записали російську військову техніку в Криму https://bit.ly/3SCBUK0.
Українські Кібер Війська закрили сайт терористів mintranslnr.su https://bit.ly/3STXU3m.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3DlJ7s7.
Відео-розвідка: УКВ виявили, як російські мобілізовані кадирівці отримують поштою взуття https://bit.ly/3DK2OeT.
Українські Кібер Війська заблокували 310 сайтів терористів https://bit.ly/3FsJGDi.
Українські Кібер Війська виявили, як російський окупант висилає додому награбоване поштою в Бєлгороді https://bit.ly/3fnzAZW.

Вийшли PHP 8.0.27, 8.1.14 і 8.2.1

16:21 27.10.2023

У січні, 05.01.2023, вийшли PHP 8.0.27, PHP 8.1.14 і PHP 8.2.1. У версії 8.0.27 виправлена одна уразливість, у версії PHP 8.1.14 виправлено багато багів і уразливостей, у версії PHP 8.2.1 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x, 8.1.x і 8.2.x.

У PHP 8.0.27, 8.1.14 і 8.2.1 виправлено:

  • Численні вибивання.
  • Обхід обмежень open_basedir.
  • Уразливість в PDO/SQLite (лише ця в усіх версіях).
  • Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Уразливості в плагінах для WordPress №353

22:45 26.10.2023

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Gwolle Guestbook, Responsive Thumbnail Slider, Export Users To CSV, Ninja Forms і темах Dreamsmiths. Для котрих з’явилися експлоіти.

  • WordPress Gwolle Guestbook 2.5.3 Cross Site Scripting (деталі)
  • WordPress Responsive Thumbnail Slider Arbitrary File Upload (деталі)
  • WordPress Export Users To CSV 1.1.1 CSV Injection (деталі)
  • WordPress Dreamsmiths Themes 0.0.1 Arbitrary File Download (деталі)
  • WordPress Ninja Forms 3.3.13 CSV Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.