Websecurity - Веб безпека

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://kompanievska-selrada.gov.ua (хакером Panataran) - 07.09.2024 - похаканий державний сайт
• https://autoliner.com.ua (хакером PantheonSec) - 18.06.2024
• https://gruzovoe-taksi.kiev.ua (хакером PantheonSec) - 18.06.2024
• https://v7125.dh.net.ua (хакером Ali HawleRy) - 19.06.2024
• https://znz28.cv.ua (хакером Ali HawleRy) - 19.06.2024

Раніше, 25.03.2013, я знайшов Full path disclosure, Information Leakage, а 27.03.2013 ще Cross-Site Scripting, Full path disclosure, Information Leakage та SQL Injection уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Full path disclosure (WASC-13):

Витік шляху в http://bonus.privatbank.ua/stock/ та в інших розділах.

Information Leakage (WASC-13):

Витік усього SQL запиту (SQL DB Structure Extraction) в шести місцях.

Cross-Site Scripting (WASC-08):

Виявив XSS у чотирьох місцях.

SQL Injection (WASC-19):

Виявив критичні SQL ін’єкції в двох місцях, через які визначив СУБД.

ПриватБанк тоді проігнорував їх та не оплатив, окрім деяких на сайті. Вони лише заплатили за SQL Injection (і ще пару), але в п’ять разів менше від максимальної ціни, хоча це критичні дірки й банк заявляв, що за такі платить максимум. Раніше вони мені лише по XSS та іншим діркам занижували оплату, а з цього сайту почали по SQLi.

Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.

У квітні, 10.04.2025, вийшли PHP 8.3.20 і PHP 8.4.6. У версії PHP 8.3.20 виправлено багато багів і уразливостей, у версії PHP 8.4.6 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.20 і 8.4.6 виправлено:

• Численні вибивання.
• Багато витоків пам’яті.
• Численні пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Продовжу своє дослідження безпеки e-commerce сайтів в Уанеті.

Веб сайти, що займаються електронною комерцією (e-commerce), повинні дбати про свою безпеку. Бо вони заробляють гроші на своїй онлайн діяльності і будь-які проблеми з безпекою на їх сайтах можуть їм коштувати фінансових втрат.

Але на жаль e-commerce сайти в Уанеті достатньо діряві, бо власники цих сайтів за безпекою особливо не слідкують.

В себе в новинах я писав про уразливості на наступних сайтах банків України:

• shafa.ua
• bonus.privatbank.ua
• idea.privatbank.ua

Також згадував про взломані онлайн магазини в Уанеті:

• chelshop.com

А також згадував про інфіковані онлайн магазини в Уанеті:

• en.lalaenglish.com.ua
• zanachka.com.ua
• pivnaliga.com.ua
• kruzhevo.ua

Так що українським банкам та e-commerce сайтам є куди покращувати свою безпеку.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023, дані за 04.09.2023-10.09.2023, дані за 11.09.2023-17.09.2023. Це нові дані.

У вересні:

Третій тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3sVBgjD.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/3Lr6SDZ.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3PtRhom.
Відео розвідка: УКВ захопили російські камери на кордоні https://bit.ly/3EO4Fz2.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3RqmwDD.
Українські Кібер Війська виявили супутниковий знімок знищеного центру зв’язку ЧФ РФ в Криму https://bit.ly/3LuSRW7.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/453WHwb.
Це документ російських терористів https://bit.ly/3sYy4Uk.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3PNEJcW.
Українські Кібер Війська: російський окупант отримав спорядження та інше поштою в Шебекіно https://bit.ly/3EW2SrC.

В даній добірці експлоіти в веб додатках:

• GestioIP 3.5.7 - Stored Cross-Site Scripting (Stored XSS) (деталі)
• GestioIP 3.5.7 - Reflected Cross-Site Scripting (Reflected XSS) (деталі)
• Hugging Face Transformers MobileViTV2 4.41.1 - Remote Code Execution (RCE) (деталі)
• WebMethods Integration Server 10.15.0.0000-0092 - Improper Access on Login Page (деталі)
• Dell EMC iDRAC7/iDRAC8 2.52.52.52 - Remote Code Execution (RCE) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://dnpb.gov.ua (хакером L4663R666H05T) - 07.09.2024 - похаканий державний сайт
• https://agleader.com.ua (хакером BlaDDzeRR) - 09.05.2024
• https://visa-ok.com.ua (хакером Mr.Rm19) - 19.05.2024
• https://zolotiy-vik.kiev.ua (хакером Mr.Rm19) - 19.05.2024
• https://taxobus.com.ua (хакером PantheonSec) - 18.06.2024

У березні, 13.03.2025, вийшли PHP 8.1.32, PHP 8.2.28, PHP 8.3.19 і PHP 8.4.5. У версії PHP 8.1.32 виправлено сім уразливостей, у версії PHP 8.2.28 виправлено вісім уразливостей, у версіях PHP 8.3.19 і 8.4.5 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x, 8.2.x, 8.3.x і 8.4.x.

У PHP 8.1.32, 8.2.28, 8.3.19 і 8.4.5 виправлено:

• Численні витоки пам’яті.
• Одне вибивання в PHP 8.2.28.
• Дві уразливості у LibXML.
• Чотири уразливості у Streams.
• Численні вибивання в PHP 8.3.19 і 8.4.5.
• Пошкодження пам’яті в PHP 8.3.19 і 8.4.5.
• Виправлений phpize для Windows 11.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Russian occupant sends robbed from Ukraine at post in Belgorod - УКВ записали як окупант висилає награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Russian occupants send robbed from Ukraine at post in Belgorod - УКВ записали як окупанти висилають награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

В даній добірці експлоіти в веб додатках:

• GestioIP 3.5.7 - Cross-Site Scripting (XSS) (деталі)
• GestioIP 3.5.7 - Remote Command Execution (RCE) (деталі)
• Pymatgen 2024.1 - Remote Code Execution (RCE) (деталі)
• Ivanti Connect Secure 22.7R2.5 - Remote Code Execution (RCE) (деталі)
• Fortinet FortiOS, FortiProxy, and FortiSwitchManager 7.2.0 - Authentication bypass (деталі)