Websecurity - Веб безпека

Раніше, 29.03.2013, я знайшов Information Leakage, Insufficient Authentication, Full path disclosure, Cross-Site Scripting та SQL Injection уразливості на сайті bonus.privatbank.ua та 217.117.65.248 - це один сервер. В той час я вислав ці уразливості банку.

Information Leakage (WASC-13):

http://217.117.65.248/s2/polls/ - витік статистичних даних.

Insufficient Authentication (WASC-01):

http://217.117.65.248/s2/polls/

Доступ до цього розділу за доменом заборонений, але відкритий при доступі по IP.

Full path disclosure (WASC-13):

Витік шляху в http://217.117.65.248/s2/polls/conveyor/graph_xml/ та в інших розділах.

Information Leakage (WASC-13):

Витік усього SQL запиту (SQL DB Structure Extraction) в 4 місцях.

Cross-Site Scripting (WASC-08):

Виявив XSS у восьми місцях.

SQL Injection (WASC-19):

Виявив критичні SQL ін’єкції в чотирьох місцях.

ПриватБанк тоді проігнорував їх та не оплатив, окрім деяких на сайті. Вони лише заплатили за SQL Injection (і ще пару), але в п’ять разів менше від максимальної ціни, хоча це критичні дірки й банк заявляв, що за такі платить максимум. Раніше вони мені лише по XSS та іншим діркам занижували оплату, а з цього сайту почали по SQLi.

Але через багато років все приховано виправив. Таким чином банк кинув мене, як це було з дірками на bonus.privatbank.ua та інших сайтах ПБ.

У березні з’явилася новина про нову дірку в черговому WP плагіні, що ставив під ризик 60000 сайтів. У даному випадку це User Registration and Membership розширення. Такі новини з’являються регулярно. Нагадаю всім про свої дослідження в цій сфері.

Безпека плагінів для WordPress / Security of plugins for WordPress

Численні уразливості в 73 плагінах для WordPress, що я знайшов за 2006-2014 роки. Скільки я не сповіщав розробників, але вони майже завжди ігнорували дірки і ніколи не замовляли аудити безпеки своїх програм, зокрема WP розширень і шаблонів.

Єдиний раз, коли в мене замовили аудит, то це був не розробник, а один європеєць, який для себе захотів знайти всі дірки там, щоб виправити їх та мати безпечний код на власному сайті. Виклав цей плагін Register Plus Redux та інші безпечні веб додатки.

Безпека шаблонів для WordPress / Security of themes for WordPress

Численні уразливості в 173 шаблонах (темах) для WordPress, що я знайшов за 2006-2014 роки.

Тобто 60000 сайтів це дрібниці. Мої дірки стосувалися мільйонів сайтів на цій CMS.

Окрім власних досліджень безпеки розширень і шаблонів до цього та інших движків, я роками публікую добірки дірок, що були знайдені в них іншими дослідниками. Прочитайте сотні постів про уразливості в плагінах і темах для WordPress.

У липні, 05.07.2025, вийшли PHP 8.1.33, PHP 8.2.29, PHP 8.3.23 і PHP 8.4.10. У версії PHP 8.1.33 і 8.2.29 виправлено три уразливості, у версіях PHP 8.3.23 і 8.4.10 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.1.x, 8.2.x, 8.3.x і 8.4.x.

У PHP 8.1.33, 8.2.29, 8.3.23 і 8.4.10 виправлено:

• Численні витоки пам’яті в PHP 8.3.23 і 8.4.10.
• Уразливість у PGSQL, що не перевіряє на escaping помилки.
• Пошкодження пам’яті (NULL Pointer Dereference) у розширенні PHP SOAP через великий префікс XML Namespace.
• Null byte термінація в іменах хостів.
• Численні вибивання в PHP 8.3.23 і 8.4.10.
• Пошкодження пам’яті в PHP 8.3.23 і 8.4.10.
• Heap-buffer-overflow у SimpleXML в PHP 8.4.10.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах User Registration & Membership, PZ Frontend Manager, LearnPress, Depicter і темі XStore. Для котрих з’явилися експлоіти.

• Wordpress Theme XStore 9.3.8 - SQLi (деталі)
• WordPress User Registration & Membership Plugin 4.1.1 - Unauthenticated Privilege Escalation (деталі)
• PZ Frontend Manager WordPress Plugin 1.0.5 - Cross Site Request Forgery (CSRF) (деталі)
• LearnPress WordPress LMS Plugin 4.2.7 - SQL Injection (деталі)
• WordPress Depicter Plugin 3.6.1 - SQL Injection (деталі)

У лютому хакнули роботів пилосмоків DJI Romo по всьому світу.

DJI зробили бекдор в своєму пилосмоку, ще й дірявий код. Семмі Аздуфаль вирішив під’єднати свій PS5 геймпад до DJI Romo і написав код, що випадково хакнув цей бекдор. І він отримав доступ не лише до камери свого пилосмоку, але й до пристроїв по всьому світу. Всього він отримав доступ до 6700 пилосмоків у 24 країнах світу, перехопив понад 100000 пакетів даних і відкрив доступ до прямих ефірів з камер роботів.

Навіть якщо це не бекдор, щоб слідкувати за людьми та їх квартирами, а саме офіційний функціонал. Але вони не мали давати доступ до тисяч пристроїв по всьому світу, тому дірка тут безумовна. Людина підняла права від свого робота, до всіх у системі. Сам я знаходив не лише уразливості на мільйонах сайтів, але також уразливості в десятках тисяч веб додатків, IoT і мережевих пристроїв - не в пилосмоках, але в усьому іншому. Тому всі вони діряві та завжди потрібен аудит безпеки пристроїв.

Мораль така, що потрібно перевіряти код на вразливості та завжди дбати про безпеку своїх сайтів і всіх пристроїв, чим як DJI, так і всі в Україні не займаються, про що нагадую щодня з 2005. Тисячі державних сайтів були хакнуті чи інфіковані за 30 років. Всі мої дані про уразливості на сайтах за ці роки проігноровані.

У березні багато роботів пилососів Ecovacs були хакнуті в США.

Багато роботів пилососів були хакнуті в США в останні дні. Та не лише для віддаленого спостереження, але й для лайки на їхніх власників. Зокрема хакнули моделі Ecovacs Deebot X2 у різних містах. Повідомляють як про лайку через спікери роботів, так і про атаки роботів пилососів на людей та собак в будинку.

А я кілька десятків років повідомляю про дірки в усіх сайтах та IoT, але всім українцям байдуже. Завжди проводьте аудит безпеки.

В даній добірці експлоіти в веб додатках:

• Remote Keyboard Desktop 1.0.1 - Remote Code Execution (RCE) (деталі)
• Windows 2024.15 - Unauthenticated Desktop Screenshot Capture (деталі)
• Grandstream GSD3710 1.0.11.13 - Stack Buffer Overflow (деталі)
• ABB Cylon Aspect 3.08.03 - Guest2Root Privilege Escalation (деталі)
• Fortra GoAnywhere MFT 7.4.1 - Authentication Bypass (деталі)

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• https://ojs.iod.gov.ua (хакером R4iseUp) - 05.10.2025 - похаканий державний сайт
• https://school1.irpinosvita.gov.ua (хакерами з chinafans) - 13.01.2026 - похаканий державний сайт
• https://znz28.cv.ua (хакером Ali HawleRy) - 19.06.2024
• https://tks.kharkov.ua (хакером omgsmok) - 10.07.2024
• https://jareck.kiev.ua (хакерами з Azzasec) - 12.07.2024

У березні, 08.03.2026, вийшов Perl 5.42.1. У цій версії виправлено багато багів і додані покращення. Зокрема нові оператори, лексичні методи, підтримка Unicode 16.0 та пришвидшення роботи оператора tr.

Даний реліз направлений на покращення безпеки і стабільності гілок 5.42.x.

Нагадаю, що в 2020 році було анонсовано Perl 7, який мав базуватися на Perl 5.32, але з “сучасними” налаштуваннями за замовчуванням (strict, warnings тощо). Але потім його відмінили. Perl 7 фактично перетворився на сучасний Perl 5.x.

Підсумки роботи по протидії російським окупантам. Розповім про свою цьогорічну роботу.

Дані за 2014-2021 роки, дані за 2022 рік, дані за 02.01.2023-08.01.2023, дані за 09.01.2023-15.01.2023, дані за 16.01.2023-22.01.2023, дані за 23.01.2023-29.01.2023, дані за 30.01.2023-05.02.2023, дані за 06.02.2023-12.02.2023, дані за 13.02.2023-19.02.2023, дані за 20.02.2023-26.02.2023, дані за 27.02.2023-05.03.2023, дані за 06.03.2023-12.03.2023, дані за 13.03.2023-19.03.2023, дані за 20.03.2023-26.03.2023, дані за 27.03.2023-02.04.2023, дані за 03.04.2023-09.04.2023, дані за 10.04.2023-23.04.2023, дані за 24.04.2023-30.04.2023, дані за 01.05.2023-07.05.2023, дані за 08.05.2023-14.05.2023, дані за 15.05.2023-21.05.2023, дані за 22.05.2023-28.05.2023, дані за 29.05.2023-04.06.2023, дані за 05.06.2023-11.06.2023, дані за 12.06.2023-18.06.2023, дані за 19.06.2023-25.06.2023, дані за 26.06.2023-02.07.2023, дані за 03.07.2023-09.07.2023, дані за 10.07.2023-16.07.2023, дані за 17.07.2023-23.07.2023, дані за 24.07.2023-30.07.2023, дані за 31.07.2023-06.08.2023, дані за 07.08.2023-13.08.2023, дані за 14.08.2023-20.08.2023, дані за 21.08.2023-27.08.2023, дані за 28.08.2023-03.09.2023, дані за 04.09.2023-10.09.2023, дані за 11.09.2023-17.09.2023, дані за 18.09.2023-24.09.2023, дані за 30.10.2023-05.11.2023. Це нові дані.

У листопаді:

Другий тиждень.

Українські Кібер Війська заблокували сайти терористів tsiklnr.su, nslnr.su та minfindnr.ru https://bit.ly/3FSGbF2.
Українські Кібер Війська щодня виявляють російську військову техніку в Донецьку та С-300 в Криму https://bit.ly/49rsB9r.
Українські Кібер Війська заблокували сайти терористів dnrsovet.su, mvddnr.ru та minsvyazdnr.ru https://bit.ly/47r6EW2.
Це документ російських терористів терористів https://bit.ly/469oN9K.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/46efsxA.
Українські Кібер Війська заблокували сайти терористів minstroy-dnr.ru, mvddnr.ru і msdnr.ru https://bit.ly/47xDQLT.
Відео-розвідка: УКВ знову виявили колону російської військової техніки в Керчі https://bit.ly/40wM0BP.
Українські Кібер Війська заблокували 350 сайтів терористів https://bit.ly/3uaqff5.

У червні, 05.06.2025, вийшли PHP 8.3.22 і PHP 8.4.8. У версії PHP 8.3.22 виправлено багато багів і уразливостей, у версії PHP 8.4.8 виправлено багато багів і уразливостей.

Дані релізи направлені на покращення безпеки і стабільності гілок 8.3.x і 8.4.x.

У PHP 8.3.22 і 8.4.8 виправлено:

• Витоки пам’яті.
• Численні вибивання.
• Витік з вибиванням на Windows.
• Численні пошкодження пам’яті.
• Уразливості в ядрі та модулях.

По матеріалам https://www.php.net.