Websecurity - Веб безпека

Мої статті по захисту Wi-Fi роутерів:

Кібербезпека та енергозбереження IoT в Україні

І моя стаття CSRF Attacks on Network Devices, що вийшла у журналі PenTest Extra 02/2012. Вона стосується Wi-Fi роутерів та всіх мережевих пристроїв. Пояснив, що незалежно від ваших дій, через дірки можуть хакнути будь-які ваші мережеві пристрої.

Поради по захисту Wi-Fi роутерів. Навів корисні поради, зокрема стосовно паролів і старих пристроїв.

Почитайте про небезпеку веб камер та IoT, де пояснив як в Україні щодня хакають IP камери та інші мережеві пристрої.

12.10.2013

У вересні, 24.09.2013, під час аудиту безпеки я знайшов Information Leakage уразливості на одному сайті ПриватБанка, що призводять до витоку персональних даних клієнтів. А у жовтні знайшов аналогічні витоки інформації на інших сайтах українських компаній, що надають подібні послуги. При тому, що на деяких подібних сайтах, якими я найбільше користуюся, витоків немає - тобто це залежить від їх відношення до персональних даних.

Перелік конкретних сайтів, що дозволяють витоки персональних даних, оприлюдню пізніше. Про дані уразливості я вже повідомив ПриватБанк і найближчим часом сповіщу адміністрацію інших сайтів.

Детальна інформація про уразливості з’явиться пізніше.

28.12.2024

Пройшло понад десять років і оприлюдню деякі деталі. ПБ закрив цей сайт і як завжди не заплатив мені за виявлені уразливості, про які повідомив їм у вересні 2013. Вони заявили, що то компанії мають не допускати витоків, і не виправили. За кілька років сайт тихо закрили зі всіма цими уразливостями.

Information Leakage (WASC-13):

Витоки відбувалися на сайті https://secure.privatbank.ua - в трьох постачальників послуг, IAA були у всіх. Послуги яких оплачувалися на цьому сайті. Деталі по всім уразливостям на цьому сайті напишу, коли дійде час до них. А це не одна сотня Information Leakage, Cross-Site Scripting та Insufficient Anti-automation уразливостей. За жодну з них мені не заплатили. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.

В даній добірці експлоіти в веб додатках:

• Tinycontrol LAN Controller v3 (LK3) 1.58a - Remote Admin Password Change (деталі)
• Equipment Rental Script-1.0 - SQLi (деталі)
• Blood Bank & Donor Management System using v2.2 - Stored XSS (деталі)
• Ricoh Printer - Directory and File Exposure (деталі)
• Proxmox VE - TOTP Brute Force (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах NEX-Forms, Translatepress Multilinugal, Paid Memberships Pro, Backup Migration і темі Workreap. Для котрих з’явилися експлоіти.

• NEX-Forms WordPress plugin < 7.9.7 - Authenticated SQLi (деталі)
• Translatepress Multilinugal WordPress plugin < 2.3.3 - Authenticated SQL Injection (деталі)
• Paid Memberships Pro v2.9.8 (WordPress Plugin) - Unauthenticated SQL Injection (деталі)
• WordPress Plugin Backup Migration 1.2.8 - Unauthenticated Database Backup (деталі)
• WordPress Theme Workreap 2.2.2 - Unauthenticated Upload Leading to Remote Code Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023 та за 08.05.2023-14.05.2023. Це нові дані.

В травні:

Третій тиждень.

Українські Кібер Війська виявили гео-локацію російської військової бази в Луганську https://bit.ly/3I99QLS.
Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3M6XeWM.
Українські Кібер Війська щодня виявляють російські танки в Донецьку та С-300 в Криму https://bit.ly/3pKQoia.
Закрив акаунт топ російського пропагандиста в Twitter https://bit.ly/3MfGKf9.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3M5whmc.
Українські Кібер Війська закрили сайт терористів uavoina.ru https://bit.ly/432Vm8A.
Українські Кібер Війська заблокували 335 сайтів терористів https://bit.ly/45ijiX6.
Дев’ять років щодня нагадую всім українцям і владам про небезпеку веб камер, але всі завжди це ігнорують. Восени сам заблокував кілька трансляцій з наших міст на YouTube https://bit.ly/3q0oFKI.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3BLwp5C.
Українські Кібер Війська виявили колону російської військової техніки в Керчі https://bit.ly/3q3QEc6.

У березні, 14.03.2024, вийшли PHP 8.2.17 і PHP 8.3.4. У версії PHP 8.2.17 виправлено багато багів і уразливостей, у версії PHP 8.3.4 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.2.x і 8.3.x.

У PHP 8.2.17 і 8.3.4 виправлено:

• Численні вибивання.
• Витік пам’яті в PHP 8.3.4.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• Хак локальної мережі Міністерства розвитку громад та територій України (російськими хакерами) - 06.2023
• https://journals.dnpb.gov.ua (хакером KatiB) - 10.11.2023 - похаканий державний сайт
• https://esolar.com.ua (хакером DaGunnaPK1337) - 22.02.2024
• https://comfortpoint.com.ua (хакером Rayzky) - 24.02.2024
• https://keymap.ua (хакером Rayzky) - 24.02.2024

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023 та за 01.05.2023-07.05.2023. Це нові дані.

В травні:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/42GZydX.
Українські Кібер Війська щодня виявляють російські танки в Донецьку та С-300 в Криму https://bit.ly/3LVuArw.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/42GBtUq.
Відео-розвідка: УКВ виявили, як російські окупанти висилають додому награбоване поштою в Бєлгороді https://bit.ly/3BiyPc0.
Українські Кібер Війська заблокували 335 сайтів терористів https://bit.ly/3I61XXs.
Це документ російських терористів https://bit.ly/3M7dPdg.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/42QuoR9.
Українські Кібер Війська записали військову техніку в Сімферополі https://bit.ly/3M5DoLp.
Українські Кібер Війська заблокували 335 сайтів терористів https://bit.ly/3MrRKaH.

В даній добірці експлоіти в веб додатках:

• Paradox Security Systems IPR512 - Denial Of Service (деталі)
• Ivanti Avalanche <v6.4.0.0 - Remote Code Execution (деталі)
• Ruijie Reyee Mesh Router - MITM Remote Code Execution (RCE) (деталі)
• Tinycontrol LAN Controller v3 (LK3) 1.58a - Remote Credentials Extraction (деталі)
• Atcom 2.7.x.x - Authenticated Command Injection (деталі)

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023 та за 24.04.2023-30.04.2023. Це нові дані.

В травні:

Перший тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3HrWObR.
Українські Кібер Війська закрили сайт терористів 2news.com.ua https://bit.ly/3NJIu2m.
Відео-розвідка: УКВ щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/3VyI2G8.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3pgmVfG.
Українські Кібер Війська хакнули пошту російського терориста з паспортом Данії https://bit.ly/3HL7F0J.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/42v15Ud.
Відео-розвідка: УКВ виявили колону російської військової техніки в Керчі https://bit.ly/41kBbRT.
Українські Кібер Війська заблокували 330 сайтів терористів https://bit.ly/3VNuUgz.