23:51 26.11.2016
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Count Per Day, Paid Memberships Pro, Music Store, Unite Gallery Lite, Flickr Justified Gallery. Для котрих з’явилися експлоіти.
- WordPress Count Per Day 3.4 SQL Injection (деталі)
- WordPress Paid Memberships Pro 1.8.4.2 Cross Site Scripting (деталі)
- WordPress Music Store 1.0.14 Open Redirect (деталі)
- WordPress Unite Gallery Lite 1.4.6 CSRF / SQL Injection (деталі)
- WordPress Flickr Justified Gallery 3.3.6 Cross Site Scripting (деталі)
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
Опубліковано в Новини сайту, Уразливості | Без Коментарів »
22:49 26.11.2016
Раніше я писав про жовтневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у листопаді.
В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.
Іноземні хакери провели неполітичні взломи державних сайтів:
pograirada.gov.ua (хакерами з Anonymous Ghost Gaza) - 16.11.2016
Проукраїнськими хакерами були атаковані наступні сайти:
Листопадові DDoS атаки на сайти ДНР і ЛНР
Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.
Українські Кібер Війська закрили наступні сайти:
Закритий сайт helpdonbassu.ru (через скаргу хостеру) - 11.2016
Закритий сайт denazi.org (через скаргу реєстратору) - 17.11.2016
Опубліковано в Дослідження | Без Коментарів »
20:04 26.11.2016
В статті Захист від malware в Internet Explorer 9 я писав про технології захисту від шкідливого коду в IE9.
В браузері Microsoft Internet Explorer 10 додані нові захисні механізми.
А також покращені технології Tracking Protection, Malware Protection і SmartScreen Application Reputation.
Опубліковано в Статті | Без Коментарів »
17:25 26.11.2016
У лютому, 09.02.2015, я знайшов Cross-Site Scripting та Cross-Site Request Forgery уразливості в Ubiquiti airOS. Це Wireless Router і AP.
Стосовно мережевих пристроїв раніше я писав про уразливості в TP-Link TL-WR941N та Ubiquiti airOS.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
Опубліковано в Уразливості | Без Коментарів »
23:54 25.11.2016
У листопаді, 15.11.2016, вийшов Mozilla Firefox 50. Нова версія браузера вийшла через півтора місяці після виходу Firefox 49.
Mozilla офіційно випустила реліз веб-браузера Firefox 50, а також мобільну версію Firefox 50 для платформи Android. Відповідно до шеститижневого циклу розробки, реліз Firefox 51 намічений на 24 січня, а Firefox 52 на 7 березня.
Також була оновлена гілка із тривалим терміном підтримки Firefox 45.5.
В браузері було зроблено покращення безпеки, зокрема додані напрацювання ініціативи по переносу з Tor Browser деяких можливостей, що дозволяють посилити захист персональної інформації. Також доданий захист від завантаження різних типів виконуваних файлів для Windows, MacOS і Linux, в заголовок Set-Cookie додана підтримка службових префіксів “__Host-” і “__Secure-”, додана підтримка заголовків X-Content-Type-Options: nosniff та Referrer-Policy, в CSP представлена директива sandbox.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 50.0 усунуто 27 уразливостей, серед яких три позначені як критичні, що можуть привести до виконання коду зловмисника при відкритті спеціально оформлених сторінок. Причому ця кількість - це саме патчі (Mozilla типово виправляє по декілька дір за один патч).
Опубліковано в Новини, Програми | Без Коментарів »
22:43 25.11.2016
У листопаді місяці Microsoft випустила 14 патчів. Що більше ніж у жовтні.
У листопадовому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 14 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. Шість патчів закривають критичні уразливості та вісім патчів закривають важливі уразливості.
Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge, Office Web Apps та SQL Server.
Також Microsoft випустила патч для уразливостей в Adobe Flash Player, що постачаються з Windows.
Опубліковано в Новини | Без Коментарів »
19:16 25.11.2016
Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.
- http://odesa.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
- http://ternopil.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
- http://rivne.man.gov.ua (хакерами з Fallaga Team) - 01.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
- http://vinzem.gov.ua (хакером RxR) - 23.06.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
- http://kakhovka-rayrada.gov.ua (хакером Xvirus) - 06.07.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
- http://traven.com.ua (хакером Xvirus) - 06.07.2016, зараз сайт вже виправлений адмінами
- http://kakhovka.com.ua (хакером Xvirus) - 06.07.2016, зараз сайт вже виправлений адмінами
- http://art-pro.dp.ua (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами
- http://doctorpoluektov.com.ua (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами
- http://my-cook.net (хакером Djamel11154) - 04.04.2016, зараз сайт вже виправлений адмінами
Опубліковано в Новини сайту, Дослідження | Без Коментарів »
17:22 25.11.2016
В даній добірці експлоіти в веб додатках:
- Web interface for DNSmasq / Mikrotik - SQL Injection (деталі)
- CakePHP Framework 3.2.4 - IP Spoofing (деталі)
- SAP xMII 15.0 - Directory Traversal (деталі)
- Magento < 2.0.6 - Unauthenticated Arbitrary Unserialize -> Arbitrary Write File (деталі)
- IPFire - proxy.cgi Remote Code Execution (Metasploit) (деталі)
Опубліковано в Експлоіти | Без Коментарів »
23:59 24.11.2016
26.01.2016
В листопаді, 30.11.2015, я знайшов Cross-Site Scripting та Abuse of Functionality уразливості на screenshot.com.ua. Про що найближчим часом повідомлю розробникам системи.
Про Abuse of Functionality дірку на цьому сайті для проведення DoS атак я вже згадав в останньому випуску моєї програми DAVOSET, де screenshot.com.ua приведений у списку сайтів-зомбі.
Детальна інформація про уразливості з’явиться пізніше.
24.11.2016
XSS:
http://screenshot.com.ua/makeit.cgi?url=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
Abuse of Functionality:
POST запит до http://screenshot.com.ua/makeit.cgi.
Дана дірка може використовуватися для DoS атак (як на сам сайт, так і на інші сайти).
Також на сайті є Redirector та інші уразливості. Власник сайта відмовився виправляти окрім XSS, тому вони досі не виправлені.
Опубліковано в Уразливості | Без Коментарів »
22:47 24.11.2016
Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.
Добірка цікавого чтива на тему безпеки (статті з Вікіпедії):
Опубліковано в Статті | Без Коментарів »
