Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Chained Quiz, Tagregator, Gift Voucher, Plainview Activity Monitor, Quizlord. Для котрих з’явилися експлоіти.

• WordPress Chained Quiz 1.0.8 SQL Injection (деталі)
• WordPress Tagregator 0.6 Cross Site Scripting (деталі)
• WordPress Gift Voucher 1.0.5 SQL Injection (деталі)
• WordPress Plainview Activity Monitor 20161228 Command Injection (деталі)
• WordPress Quizlord 2.0 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Від початку роботи сайту в 2006 році я розмістив на ньому різні свої веб додатки на технології Flash і деякі відео з моїми інтерв’ю через флеш плеєр.

Це як два моїх онлайн тестування, так і численні доповіді на конференціях та деякі інші додатки.

У зв’язку з тим, що в 2021 році Adobe повністю відмовилася від підтримки Flash і заблокувала її в усіх браузерах, переглядати флешки на сайтах більше ніхто не може. Окрім як власники старих браузерів зі старими версіями Флеш, де не було зроблено блокування на цю дату. Ті ж відео люди дивляться через підтримку HTML5 усіма сучасними браузерами і відео включені з YoyTube надалі працюють, але не ті, що я тримав на самому сайті. Бо не мав в коді сайту сумісності з HTML5 (лише флеш плеєр), але я переведу всі відео на нього.

То у випадку моїх Flash додатків можна лише викачувати swf-файли і запускати їх локально на комп’ютері. Це не зручно для людей. Тому я зроблю для них exe-файли, зокрема для двох тестувань.

В даній добірці експлоіти в веб додатках:

• ManageEngine ADSelfService Plus Build 6118 - NTLMv2 Hash Exposure (деталі)
• DLINK DIR850 - Insecure Access Control (деталі)
• DLINK DIR850 - Open Redirect (деталі)
• Apache CouchDB 3.2.1 - Remote Code Execution (RCE) (деталі)
• Google Chrome 78.0.3904.70 - Remote Code Execution (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://zahidmgu.gov.ua (з xNot_RespondinGx) - 25.11.2021 - похаканий державний сайт
• https://extrasens.gadalka.s-host.net (росіянами) - 15.03.2022
• https://fedorova.gadalka.s-host.net (росіянами) - 15.03.2022
• https://gips.zt.ua (росіянами) - 15.03.2022
• http://vzhuh.lviv.ua (хакерами з xNot_RespondinGx) - 29.04.2022
• DDoS атака на сайт ДТЕК dtek.com - 06.2022
• DDoS атака на archives.gov.ua - 07.2022 - атакований державний сайт
• DDoS атака на energoatom.com.ua - 16.08.2022

Ці та згадані раніше DDoS атаки були проведені росіянами. Також 13.05.2022 російські хакери атакували системи Львівської міської ради. Звідки вкрали та оприлюднили файли.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022, дані за 05.09.2022-11.09.2022, дані за 12.09.2022-18.09.2022, дані за 19.09.2022-25.09.2022, дані за 26.09.2022-02.10.2022, дані за 03.10.2022-09.10.2022, дані за 10.10.2022-16.10.2022 та за 17.10.2022-23.10.2022. Це нові дані.

У жовтні:

Четвертий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3TRZWBY.
Українські Кібер Війська виявили колону військової техніки з артилерією в Керчі https://bit.ly/3gtB0lA.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3ssfgcE.
Відео-розвідка: УКВ знову виявили, як мобілізовані росіяни отримують поштою бронежилети https://bit.ly/3sytp8k.
Українські Кібер Війська заблокували 310 сайтів терористів https://bit.ly/3FnUFxN.
Українські Кібер Війська виявили, як російський окупант висилає додому награбоване поштою в Бєлгороді https://bit.ly/3DEjCDW.
Переконав компанію з Англії зупинити підтримку сайтів терористів ДНР https://bit.ly/3MZz7t8.
Українські Кібер Війська записали російську військову техніку в Криму https://bit.ly/3SCBUK0.
Українські Кібер Війська закрили сайт терористів mintranslnr.su https://bit.ly/3STXU3m.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/3DlJ7s7.
Відео-розвідка: УКВ виявили, як російські мобілізовані кадирівці отримують поштою взуття https://bit.ly/3DK2OeT.
Українські Кібер Війська заблокували 310 сайтів терористів https://bit.ly/3FsJGDi.
Українські Кібер Війська виявили, як російський окупант висилає додому награбоване поштою в Бєлгороді https://bit.ly/3fnzAZW.

У січні, 05.01.2023, вийшли PHP 8.0.27, PHP 8.1.14 і PHP 8.2.1. У версії 8.0.27 виправлена одна уразливість, у версії PHP 8.1.14 виправлено багато багів і уразливостей, у версії PHP 8.2.1 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.0.x, 8.1.x і 8.2.x.

У PHP 8.0.27, 8.1.14 і 8.2.1 виправлено:

• Численні вибивання.
• Обхід обмежень open_basedir.
• Уразливість в PDO/SQLite (лише ця в усіх версіях).
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Gwolle Guestbook, Responsive Thumbnail Slider, Export Users To CSV, Ninja Forms і темах Dreamsmiths. Для котрих з’явилися експлоіти.

• WordPress Gwolle Guestbook 2.5.3 Cross Site Scripting (деталі)
• WordPress Responsive Thumbnail Slider Arbitrary File Upload (деталі)
• WordPress Export Users To CSV 1.1.1 CSV Injection (деталі)
• WordPress Dreamsmiths Themes 0.0.1 Arbitrary File Download (деталі)
• WordPress Ninja Forms 3.3.13 CSV Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 01.01.2022-28.02.2022, дані за 01.03.2022-06.03.2022, дані за 07.03.2022-13.03.2022, дані за 14.03.2022-20.03.2022, дані за 21.03.2022-27.03.2022, дані за 28.03.2022-03.04.2022, дані за 04.04.2022-10.04.2022, дані за 11.04.2022-17.04.2022, дані за 18.04.2022-24.04.2022 дані за 25.04.2022-01.05.2022, дані за 02.05.2022-08.05.2022, дані за 09.05.2022-15.05.2022, дані за 16.05.2022-22.05.2022, дані за 23.05.2022-29.05.2022, дані за 30.05.2022-05.06.2022, дані за 06.06.2022-12.06.2022, дані за 13.06.2022-19.06.2022, дані за 20.06.2022-26.06.2022, дані за 27.06.2022-03.07.2022, дані за 04.07.2022-10.07.2022, дані за 11.07.2022-17.07.2022, дані за 18.07.2022-24.07.2022, дані за 25.07.2022-31.07.2022, дані за 01.08.2022-07.08.2022, дані за 08.08.2022-14.08.2022, дані за 15.08.2022-21.08.2022, дані за 22.08.2022-28.08.2022, дані за 29.08.2022-04.09.2022, дані за 05.09.2022-11.09.2022, дані за 12.09.2022-18.09.2022, дані за 19.09.2022-25.09.2022, дані за 26.09.2022-02.10.2022, дані за 03.10.2022-09.10.2022 та за 10.10.2022-16.10.2022. Це нові дані.

У жовтні:

Третій тиждень.

Українські Кібер Війська постійно виявляють стан мобілізації в Росії: родичі по пошті висилають зброю та броню https://bit.ly/3S4y9wB.
Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3CBm9gq.
Відео-розвідка: УКВ виявили російську військову техніку в Керчі https://bit.ly/3eHWtH4.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/3MM1kUo.
Українські Кібер Війська виявили військову техніку в Криму і плани росіян мобілізувати жінок https://bit.ly/3VIrCe0.
Українські Кібер Війська заблокували 310 сайтів терористів https://bit.ly/3Tm2MPx.
Відео-розвідка: УКВ виявили, як російський окупант висилає додому награбоване поштою в Шебекіно https://bit.ly/3ePhakm.
Українські Кібер Війська виявили гео-локацію мосту в Новій Каховці https://bit.ly/3MOtPAP.
Українські Кібер Війська заблокували сайти терористів mintranslnr.su, dnrsovet.su та mvddnr.ru https://bit.ly/3VQr9GR.
Українські Кібер Війська виявили колону російських БТР у Керчі https://bit.ly/3MYTQNW.
Відео-розвідка: російські окупанти висилають додому награбоване в Україні поштою в Бєлгороді https://bit.ly/3gyP6T0.
Українські Кібер Війська виявили як терористи співпрацюють з ОБСЄ https://bit.ly/3f0knxK.

Існують різноманітні техніки для різних веб серверів, як дізнатися про списки директорій та файлів на цих сайтах. Деякі я сам знайшов у попередні роки, інші давно відомі.

Ця інформація може знадобитися для хакера нападника, так само для фахівця з ІБ під час аудиту безпеки. Адмінам сайтів слід це врахувати.

Техніки атаки, коли на веб сервері вимкнутий Directory Indexing:

10.09.2006 я розробив методику визначення веб сервера Apache. Це fingerprinting самого веб сервера і ще вона дозволяє виявляти приховані файли. Навіть без змісту директорій можна підбирати імена файлів. Мова про MultiViews опцію в Apache.

16.04.2010 я знайшов Information Leakage уразливість в Apache, що дозволяла вивести зміст директорії, при цьому обходяться будь-які індексні файли. Це пов’язано з особливостями налаштувань веб сервера.

Атаки на сайти на веб серверах з ОС Windows - це вісім відомих атак за станом на грудень 2010 року.

29.06.2012 в статті Microsoft IIS tilde character “~” Vulnerability/Feature - Short File/Folder Name Disclosure дослідники оприлюднили нову атаку проти IIS.

А також можна провести Brute Force підбір імен файлів на будь-якому веб сервері.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://iod.gov.ua (хакером Moshkela Hacker) - 23.09.2021 - похаканий державний сайт
• http://lvivvet.gov.ua (хакерами з xNot_RespondinGx) - 25.11.2021 - похаканий державний сайт
• http://techned.org.ua (хакером Al Catraz) - 21.01.2021
• http://druk.pp.ua (росіянами) - 15.03.2022
• http://forum.writer-works.net (росіянами) - 15.03.2022