Websecurity - Веб безпека

В даній добірці експлоіти в веб додатках:

• CyberPower Systems PowerPanel 3.1.2 - XXE Out-Of-Band Data Retrieval (деталі)
• Belkin Router AC1200 Firmware 1.00.27 - Authentication Bypass (деталі)
• Apache Archiva 1.3.9 - Multiple Cross-Site Request Forgery Vulnerabilities (деталі)
• Barracuda Web App Firewall 8.0.1.007/Load Balancer 5.4.0.004 - Remote Command Execution (Metasploit) (деталі)
• Barracuda Spam & Virus Firewall 5.1.3.007 - Remote Command Execution (Metasploit) (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://pershrada.gov.ua (хакером RxR) - 24.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://dsesu.gov.ua (хакером MuhmadEmad) - 31.08.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://pereyaslav-rda.gov.ua (хакером KkK1337) - 11.09.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://disgvol.gov.ua (хакером NeT.Defacer) - 12.09.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://mediarnbo.org (хакером GeNErAL) - 08.02.2017 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://ernst.vald.com.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://smart-english.pp.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://timbuktu.pp.ua (хакером GAZA) - 08.08.2016, зараз сайт вже виправлений адмінами
• http://www.me-pro.com.ua (хакером aDriv4) - 22.12.2016, зараз сайт вже виправлений адмінами
• http://www.lokdc.lviv.ua (хакером Alarg53) - 07.02.2017, зараз сайт вже виправлений адмінами

У лютому, 16 і 17.02.2017, вийшли PHP 7.0.16 і PHP 7.1.2. У версії 7.0.16 виправлено багато багів і уразливостей, у версії 7.1.2 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 7.0.x і 7.1.x.

У PHP 7.0.16 і 7.1.2 виправлено:

• Витік інформації в mysqli_fetch_object.
• Численні вибивання в різних функціях (DoS).
• Уразливості в ядрі та модулях.

По матеріалам http://www.php.net.

У лютому я дав інтерв’ю виданню Сегодня. І 27.02.2017 воно вийшло в газеті та було оприлюднене на сайті.

В інтерв’ю розповідається про українських хакерів і фахівців з безпеки, про мою діяльність та кібер війну Росії проти України. А також про громадську ініціативу Українські Кібер Війська, що я створив 09.06.2014, і протидію інформаційній та кібер війні.

Белые хакеры в Украине: ломают сайты банков, блокируют счета боевиков и воюют с пропагандой в сети

Так що кому буде цікаво прочитати інформацію про хакерів і кібер війну, про мене і УКВ, як тим хто вже читав мої попередні інтерв’ю, зокрема інтерв’ю для EMPR, чи дивився виступи на ТБ, зокрема прямий ефір зі мною на каналі ZIK, так і всім іншим, можете прочитати це інтерв’ю.

В даній добірці уразливості в веб додатках:

• DoS vulnerability in squid (деталі)
• Pimcore v3.0.5 CMS - Multiple Web Vulnerabilities (деталі)
• Sqlbuddy Directory Traversal Read Arbitrary Files Vulnerability (деталі)
• Sqlbuddy Path Traversal Vulnerability (деталі)
• Apache Cordova for Android - Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах qTranslate, Job Manager, Filedownload, Candidate Application Form, Simple Image Manipulator. Для котрих з’явилися експлоіти.

• WordPress qTranslate 2.5.39 Cross Site Scripting (деталі)
• WordPress Job Manager 0.7.22 Cross Site Scripting (деталі)
• WordPress Filedownload 1.4 Open Proxy (деталі)
• WordPress Candidate Application Form 1.0 File Download (деталі)
• WordPress Simple Image Manipulator 1.0 File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У січні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у лютому.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на rv.org.ru - 01-28.02.2017
DDoS на cikdnr.ru - 01-28.02.2017
DDoS на cik-lnr.info - 01-28.02.2017
DDoS на без-вести.рф - 01-28.02.2017
DDoS на bne.su - 01-28.02.2017
DDoS на lvs-global.ru - 01-28.02.2017
DDoS на dnrpress.ru - 01-28.02.2017
DDoS на interbrigada.org - 01-28.02.2017
DDoS на patriot.dn.ua - 24.02.2017-28.08.2017
DDoS на ukrop.dn.ua - 24.02.2017-28.08.2017

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

04.12.2015

В жовтні, 11.10.2012, я знайшов Brute Force та Cross-Site Request Forgery на www.pravexonline.com - це система інтернет-банкінгу Правекс Банку. А також багато інших уразливостей. Про що найближчим часом повідомлю розробникам системи.

Раніше я писав про уразливості на pravex.com. Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на acsk.privatbank.ua.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

28.02.2017

Цей онлайн банкінг доступний на https і використовує самопідписаний SSL сертифікат.

Brute Force:

https://www.pravexonline.com/names.nsf

Немає захисту від BF атак.

Cross-Site Request Forgery:

Відсутність захисту від Brute Force (такого як капча) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін. Що стане в нагоді при проведенні атак на різні CSRF і XSS уразливості в акаунті.

На сайті використовується IBM Lotus Domino, тому там також можуть бути численні уразливості в Domino, які я виявив у 2012 році.

В даній добірці експлоіти в веб додатках:

• XpoLog Center 6 - Remote Command Execution / Cross-Site Request Forgery (деталі)
• PaKnPost Pro 1.14 - Multiple Vulnerabilities (деталі)
• Advanced Webhost Billing System (AWBS) 2.9.6 - Multiple Vulnerabilities (деталі)
• OpenSSHd 7.2p2 - Username Enumeration (деталі)
• TFTP Server 1.4 - WRQ Buffer Overflow (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://mr.gov.ua - інфікований державний сайт - інфекція була виявлена 24.01.2017. Зараз сайт не входить до переліку підозрілих.
• http://chsp.com.ua - інфекція була виявлена 24.01.2017. Зараз сайт входить до переліку підозрілих.
• http://gayrayrada.gov.ua - інфікований державний сайт - інфекція була виявлена 24.01.2017. Зараз сайт не входить до переліку підозрілих.
• http://kosei.com.ua - інфекція була виявлена 24.01.2017. Зараз сайт не входить до переліку підозрілих.
• http://prof-legion.com.ua - інфекція була виявлена 24.01.2017. Зараз сайт входить до переліку підозрілих.
• http://elefanto.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
• http://hram-uspennya.te.ua - інфекція була виявлена 27.02.2017. Зараз сайт входить до переліку підозрілих.
• http://procurement.in.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
• http://patoka.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.
• http://teploart.com.ua - інфекція була виявлена 27.02.2017. Зараз сайт не входить до переліку підозрілих.