В даній добірці експлоіти в веб додатках:
Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.
Дані за 2014-2021 роки https://pastebin.com/rRaX68BC. Це дані за 2022 рік.
У січні-лютому:
Українські Кібер Війська публікують захоплене відео з Донецького аеропорту https://bit.ly/3fu5jF1.
Знову розпочав проведення відео-розвідки https://bit.ly/3pddivy, коли 24 лютого розпочалася повномасштабна війна в Україні.
Українські Кібер Війська виявили персональні дані 3682 сепаратистів, які воюють за російських окупантів https://bit.ly/3M7caTZ.
Раніше опублікував персональні дані терористів з міністерств ДНР http://bit.ly/2ZgsQPA, нагадую ще раз.
Пригадуєте як я хакав медіаплеєри в Росії, так от західні хакери зайнялися російським телебаченням https://bit.ly/3IuRYsZ.
Українські Кібер Війська проводили psyop у 2014 році - надсилали смс терористам. Робіть це зараз проти окупантів https://bit.ly/3hs9vGk.
Як я вже писав в соціальних мережах, 24.02.2022, Путін офіційно оголосив війну Україні та ввів війська. Після восьми років гібридної війни Росії проти України.
Віттоді в нас триває повномасштабна війна по всій країні. Прочитайте про мою останню роботу на кіберфронті.
Вітаю вас з Новим роком!
З нагоди Нового року, Різдва Христового та інших свят пропоную вам подивитися мої святкові листівки на флеші. На українській мові, російській мові та англійські мові.
Також подивіться мої подарунки на Facebook.
Бажаю вам всього найкращого 
.
У вересні, 01.09.2021, через півтора місяці після виходу Google Chrome 92, вийшов Google Chrome 93. А вже 14.09.2021 вийшло оновлення цієї версії з виправленням 11 серйозних уразливостей.
В браузері зроблено багато нововведень. Та виправлені численні уразливості.
Виправлено 27 уразливостей, а потім ще 11 уразливостей (всього 38). З яких більшість виявлені в результаті автоматизованого тестування інструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer і AFL. Це більше ніж в попередній версії.
Раніше, 11.05.2013, я знайшов Brute Force та Insufficient Anti-automation уразливості на сайті promos.privatbank.ua. В той час вислав ці уразливості банку. Пізніше я знайшов на сайті ще Fingerprinting, Cross-Site Scripting та інші уразливості, які вони виправили і заплатили мені, але не ці.
Brute Force (WASC-11):
http://promos.privatbank.ua/admin/
Відсутність захисту від підбору пароля адміна.
Insufficient Anti-automation (WASC-21):
В формах на різних сторінках не було захисту від автоматизованих атак. Що дозволяло спамити смс-ками на мобільні телефони. Подібні уразливості я знаходив на багатьох сайтах банка.
ПриватБанк тоді проігнорував ці уразливості, але через кілька років приховано виправив шляхом закриття сайта. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.
Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах Grifus, Smart Google Code Inserter, WpJobBoard, Social Media Widget, CMS Tree Page View. Для котрих з’явилися експлоіти.
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
У лютому, 23.02.2021, вийшов Mozilla Firefox 86. Нова версія браузера вийшла через місяць після виходу Firefox 85.
Mozilla офіційно випустила реліз веб-браузера Firefox 86, а також мобільну версію Firefox 86 для платформи Android. Відповідно до циклу розробки, Firefox 87 вийде 23 березня.
В браузері було зроблено багато нововведень. Та зроблені покращення безпеки.
Окремо варто відзначити, що крім нововведень і виправлення помилок у Firefox 86.0 усунуто численні уразливості в 12 патчах, що на один менше ніж в попередній версії. Серед яких є високого ризику, що можуть призвести до віддаленого виконання коду зловмисника. Mozilla типово виправляє по декілька дір за один патч.
В даній добірці експлоіти в веб додатках:
Продовжуючи розпочату традицію, після попереднього відео про взлом різноманітних мережевих пристроїв, пропоную нове відео на секюріті тематику. Цього разу відео про взлом банкоматів. Рекомендую подивитися всім хто цікавиться цією темою.
DEF CON 29 - No Key No PIN No Combo No Problem Pwning ATMs For Fun and Profit
Торік в серпні на конференції DEFCON відбувся виступ Roy Davis, хоч і віддалено. В своєму виступі він розповів про взлом банкоматів для розваги та прибутку. Які бувають уразливості в ATM, як їх знаходити та в підсумку отримати гроші з сейфів банкоматів.
Він розповів про проблеми з безпекою в банкоматах різних виробників, більшість з них насправді малозахищені, бо покладаються на закритість інформації про будову і код ATM, тобто security through obscurity. Навів різні атаки, зокрема на мережу банкоматів, на USB порт, на цифрові замки та інші. Щоб без пін коду отримати гроші. Рекомендую подивитися дане відео для розуміння поточного стану безпеки банкоматів.
* 
Copyright © 2006-2025 MustLive. Усі права захищені.
Партнер проекту Websecurity.com.ua - веб проект mlfun.org.ua.