У січні, 13.01.2017, я виступив у прямому ефірі на каналі ZIK.
Ефір відбувся в програмі “Перші про головне. Коментарі”. В ньому йшлося про хакерські атаки проти України, про атаки російських хакерів на США та інші країни та про бездіяльність наших спецсжлужб і влади для захисту державних ресурсів та енергосистеми. А також про Українські Кібер Війська та нашу роботу за майже три роки. Всі бажаючі можуть його подивитися.
В даній добірці уразливості в веб додатках:
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Author Manager, Chief Editor, arcResBookingWidget, Default Facebook Thumbnails, Content Grabber. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
Раніше я писав про листопадові DDoS атаки та взломи в Україні, а зараз розповім про ситуацію грудні.
В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.
Російські хакери провели атаки на державні сайти:
treasury.gov.ua (хакером Mr. Robot) - 06.12.2016 - сайт взломав можливо американець під час атак російських хакерів на інші державні сайти
DDoS на www.pfu.gov.ua (російськими хакерами) - 06.12.2016
DDoS на www.minfin.gov.ua (російськими хакерами) - 06.12.2016
DDoS на www.mil.gov.ua (російськими хакерами) - 13.12.2016
DDoS на www.uz.gov.ua (російськими хакерами) - 15.12.2016
DDoS на mtu.gov.ua (російськими хакерами) - 16.12.2016
DDoS на www.avia.gov.ua (російськими хакерами) - 16.12.2016
Іноземні хакери провели неполітичні взломи державних сайтів:
bc-mvs.gov.ua (хакерами з Attack Cyber Prophecy team) - 06.12.2016
kyiv-oblosvita.gov.ua (хакером Darkshadow-tn) - 12.12.2016
nu-rada.gov.ua (хакером silo) - 17.12.2016
forum.grad.gov.ua (хакером SilverT3AM) - 21.12.2016
ecohm.gov.ua (хакером AnonymousFox) - 24.12.2016
www.barrda.gov.ua (хакерами з Anonymous Ghost Gaza) - 31.12.2016
www.dubnozem.gov.ua (хакером Nofawkx Al) - 31.12.2016
www.sarnyzem.gov.ua (хакером Nofawkx Al) - 31.12.2016
www.demzem.gov.ua (хакером Nofawkx Al) - 31.12.2016
www.berezneland.gov.ua (хакером Nofawkx Al) - 31.12.2016
Проукраїнськими хакерами були атаковані наступні сайти:
sgzt.com (Українські Кібер Війська) - 09.12.2016
cgnf.ru (Українські Кібер Війська) - 09.12.2016
Грудневі DDoS атаки на сайти ДНР і ЛНР
Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.
Українські Кібер Війська закрили наступні сайти:
Закритий сайт zaberkut.ru (через скаргу хостеру) - 12.2016
Виявлена Information Disclosure уразливість в Microsoft .NET Framework та Microsoft Windows.
Уразливі продукти: Microsoft .NET Framework 4.6.2.
Витік інформації через Data Provider for SQL Server компонент .NET Framework. Що дозволяє обійти захисний механізм Always Encrypted і отримати інформацію.
24.06.2015
У червні, 12.06.2015, я виявив Cross-Site Scripting уразливість в Bitrix Site Manager. Які обходять WAF та захисні фільтри Bitrix. Про що найближчим часом повідомлю розробникам системи.
Раніше я вже писав про численні Content Spoofing та XSS уразливості в Bitrix.
Детальна інформація про уразливість з’явиться пізніше.
31.12.2016
Cross-Site Scripting (WASC-08):
Це persistent XSS в полі text в формі коментарів:
<img src=”http://1″ on onerror=”$(’p').text(’Hacked’)” />
Уразливість виявив на сайті терористів у червні 2015 року, про взлом tribunal-today.ru я в той час написав.
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
Продовжуючи розпочату традицію, після попереднього відео про автоматизацію атак на Wi-Fi мережі, пропоную нове відео на секюріті тематику. Цього разу відео про дистанційне захоплення дронів. Рекомендую подивитися всім хто цікавиться цією темою.
DEFCON 24 - Drones Hijacking: Multidimensional attack vectors and countermeasures
Торік влітку на конференції DEFCON 24 відбувся виступ Aaron Luo. В своєму виступі він розповів про атаки на дрони та показав живі демонстрації. Як можна дистанційно захопити дрони перехопивши керування ними. Це робиться через уразливості в апаратному і програмному забезпеченні дронів та SDK, а також шляхом атак через радіо сигнали, Wi-Fi та GPS.
Він розповів про аспекти безпеки дронів, які можна захопити через різні уразливості. Це актуальна тема в Україні враховуючи, що дрони використовуються на війні як з нашої сторони, так і зі сторони російських окупантів. Рекомендую подивитися дане відео для розуміння поточного стану безпеки дронів.
У грудні місяці Microsoft випустила 12 патчів. Що менше ніж у листопаді.
У грудневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 12 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та шість патчів закривають важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1, 10 та 2016. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps та .NET Framework.
Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.
В даній добірці експлоіти в веб додатках:
* 
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.