Websecurity - Веб безпека

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки (статті з Вікіпедії):

• Spoofed URL
• XML external entity attack
• Email fraud
• Spoofing attack
• Voice phishing

В даній добірці уразливості в веб додатках:

• Multiple Hard-coded Usernames in SAP Components (деталі)
• Banner Effect Header Security Advisory - XSS Vulnerability (деталі)
• Sefrengo CMS v1.6.1 - Multiple SQL Injection Vulnerabilities (деталі)
• Microweber 0.95 - SQL Injection Vulnerability (деталі)
• Information Leakage in Cloudera Manager (деталі)

24.04.2015

У січні, 29.01.2015, я виявив Abuse of Functionality, Brute Force та Cross-Site Request Forgery уразливості в D-Link DIR-300. Це Wireless Router і AP.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DVG-5402SP та D-Link DCS-900.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

27.08.2016

Abuse of Functionality (WASC-42):

Фіксований логін адміна: admin. Що спрощує BF і CSRF атаки.

Brute Force (WASC-11):

http://site

Немає захисту від BF атак. Якщо в пристрої немає Path Traversal уразливості, щоб дізнатися пароль адміна, то можна його підібрати.

Хоча мені траплялися DIR-300 з версією прошивки 2009 року, де була капча (що можна було ввімкнути/вимкнути в налаштуваннях), але в новій прошивці вже її не було.

Cross-Site Request Forgery (WASC-09):

Зміна паролю адміна:

http://site/index.cgi?v2=y&rq=y&res_config_action=3&res_config_id=69&res_struct_size=1&res_buf=password|

Уразлива версія D-Link DIR-300NRUB5, Firmware 1.2.94. Дана модель з іншими прошивками також повинна бути вразливою.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Fast Cache, XCloner, UserPro, LeagueManager, ZoomSounds. Для котрих з’явилися експлоіти.

• WordPress WP Fast Cache 1.4 CSRF / Cross Site Scripting (деталі)
• WordPress XCloner 3.1.2 XSS / Command Execution (деталі)
• WordPress UserPro 2.33 Cross Site Scripting (деталі)
• WordPress LeagueManager 3.9.11 SQL Injection (деталі)
• WordPress dzs-zoomsounds Remote Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я писав про липневі DDoS атаки та взломи в Україні, а зараз розповім про ситуацію у серпні.

В зв’язку з сепаратистськими і терористичними акціями на сході України хакерська активність була значною. Відбулися наступні DDoS атаки та взломи в Інтернеті.

Іноземні хакери провели неполітичні взломи державних сайтів:

www.staripetrivci-rada.gov.ua (хакером RxR) - 02.08.2016
justzp.gov.ua (хакером Kuroi’SH) - 22.08.2016
Та багато інших gov.ua сайтів. Лише Kuroi’SH хакнув 19 державних сайтів в серпні.

Російські хакери провели взломи державних ресурсів:

YouTube акаунт Управління преси МОУ (SPRUT) - 23.08.2016
Twitter акаунт МО України (SPRUT) - 24.08.2016
Instagram акаунт МО України (SPRUT) - 24.08.2016
Twitter акаунт Нацгвардії України (SPRUT) - 24.08.2016

Проукраїнськими хакерами були атаковані наступні сайти:

cgnf.ru (Українські Кібер Війська) - 24.08.2016
mid-dnr.ru - 24.08.2016
Серпневі DDoS атаки на сайти ДНР і ЛНР

Сайти ДНР і ЛНР були атаковані неодноразово на протязі місяця.

Українські Кібер Війська закрили наступні сайти:

Закритий сайт warmarker.net (через скаргу хостеру) - 08.2016

У серпні, 16.08.2016, вийшла нова версія WordPress 4.6.

WordPress 4.6 це перший випуск нової 4.6 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлено чимало багів.

Серед головних покращень зокрема можна відзначити спрощення процесу оновлення (все відбувається на поточній сторінці через AJAX), підтримка рідних шрифтів - для швидшого завантаження сайту, покращене редагування та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

У серпні місяці Microsoft випустила 9 патчів. Що менше ніж у липні.

У серпневому “вівторку патчів” Microsoft випустила черговий пакет оновлень, до якого увійшло 9 бюлетенів по безпеці. Що закривають численні уразливості в програмних продуктах компанії. П’ять патчів закривають критичні уразливості та чотири патчі закривають важливі уразливості.

Дані патчі стосуються всіх поточних операційних систем компанії Microsoft - Windows Vista, 2008, 7, 2008 R2, 8, 2012, RT, 8.1, RT 8.1 та 10. А також Microsoft Office, Internet Explorer і Edge.

Також Microsoft випустила патч для уразливості в бібліотеці PDF, що постачається з Windows.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://udf.gov.ua (хакером RxR) - 20.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://monrda.gov.ua (хакером RxR) - 22.05.2016 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://avtolek.org.ua (хакером TheWayEnd) - 19.03.2016, зараз сайт вже виправлений адмінами
• http://xootr.com.ua (хакерами з SecurityCrewz) - 23.05.2016, зараз сайт вже виправлений адмінами
• http://samosvety.kiev.ua (хакерами з SecurityCrewz) - 23.05.2016, зараз сайт вже виправлений адмінами

Сьогодні в мене день народження - мені виповнилося 33 роки. З чим вас і себе поздоровляю .

Приготував вам подарунки на сьогоднішню подію і на свята:

Подарунки на День Державного Прапора.

Подарунки на День Незалежності України.

Подарунки на мій день народження.

В даній добірці експлоіти в веб додатках:

• D-Link DWR-932 Firmware 4.00 - Authentication Bypass (деталі)
• MiCollab 7.0 - SQL Injection (деталі)
• Trend Micro Deep Discovery Inspector 3.8/3.7 - Cross-Site Request Forgery (деталі)
• Apache Jetspeed - Arbitrary File Upload (деталі)
• PHP 5.5.33 / 7.0.4 - SNMP Format String Exploit (деталі)