Websecurity - Веб безпека

У березні з’явилася новина про нову дірку в черговому WP плагіні, що ставив під ризик 60000 сайтів. У даному випадку це User Registration and Membership розширення. Такі новини з’являються регулярно. Нагадаю всім про свої дослідження в цій сфері.

Безпека плагінів для WordPress / Security of plugins for WordPress

Численні уразливості в 73 плагінах для WordPress, що я знайшов за 2006-2014 роки. Скільки я не сповіщав розробників, але вони майже завжди ігнорували дірки і ніколи не замовляли аудити безпеки своїх програм, зокрема WP розширень і шаблонів.

Єдиний раз, коли в мене замовили аудит, то це був не розробник, а один європеєць, який для себе захотів знайти всі дірки там, щоб виправити їх та мати безпечний код на власному сайті. Виклав цей плагін Register Plus Redux та інші безпечні веб додатки.

Безпека шаблонів для WordPress / Security of themes for WordPress

Численні уразливості в 173 шаблонах (темах) для WordPress, що я знайшов за 2006-2014 роки.

Тобто 60000 сайтів це дрібниці. Мої дірки стосувалися мільйонів сайтів на цій CMS.

Окрім власних досліджень безпеки розширень і шаблонів до цього та інших движків, я роками публікую добірки дірок, що були знайдені в них іншими дослідниками. Прочитайте сотні постів про уразливості в плагінах і темах для WordPress.

Нещодавно дослідники з Tenable виявили дев’ять уразливостей в Google Looker Studio, які прозвали LeakyLooker дірками. Вони дозволяли робити довільні SQL запити до БД і отримувати дані з хмари. В тому числі був доступ між тенантами.

Були використані BigQuery, Sheets, PostgreSQL та інші конектори. Це можна назвати Cross-tenant SQL Injection, коли був доступ між різною хмарною інфраструктурою.

У своїй статті Класифікація SQL Injection уразливостей я навів два типи SQLi - Reflected SQL Injection та Persistent SQL Injection, а вже в 2010 році навів третій тип Encoded SQL Injection. Можливо це буде новим типом.

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Russian occupant sends robbed from Ukraine at post in Belgorod - УКВ записали як окупант висилає награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Russian occupants send robbed from Ukraine at post in Belgorod - УКВ записали як окупанти висилають награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Мене іноді запитують стосовно відсутності SSL/TLS сертифікату на сайті. До безпеки моїх читачів SSL сертифікат прямого відношення не має. Саме тому не встановив його з 2006 року.

Хакають сайти через дірки, а не через наявність чи відсутність сертифікату. Який лише шифрує дані між браузером та сайтом. І як ви можете бачити по спискам зламаних сайтів за останні 30 років на західних архівах дефейсів чи в моїх публікаціях за всі ці роки - раніше хакали переважно http, бо мало хто ставив сертифікати на сайти, в останні роки майже всі хакнуті з https (як раз активно почали встановлювати з 2014 року). Тобто ніякої безпеки ресурсам це не додало, як би реклама не нав’язувала сертифікати.

Але тотальна пропаганда https впливає на людей, бо всі постійно чують про SSL сертифікати і знають “популярні правила”, що треба лише на https ходити. І для деяких сайтів це правильно, зокрема банки та всі сайти, де є фінансові дані чи будь-які облікові дані. Проте варто розуміти де насправді це потрібно.

Впливає також на власників сайтів і вони купують сертифікати. Продавці заробляють на цьому. Для деяких сайтів це важливо, але для просто інформаційних ні. Вони як не були потрібні в 1991 році, коли з’явився перший сайт і не було ще SSL, так і зараз не потрібні для багатьох сайтів, як от мій.

Також чимало стикався з випадками ще з 2005, коли люди відмовлялися виправляти дірки на своїх сайтах, про які їм повідомляв. Бо в них SSL сертифікат на сайті, тому вважають “все безпечним” і по факту забивають на безпеку. Ні секюріті аудитів не проводять, ні дірки не виправляють.

Сам звернув увагу, що багато власників сайтів почали купувати сертифікати в 2014 і поголовно в 2015, кожен сайт терористів ДНР, ЛНР та інші вороги перейшли на SSL. За рік тоді всі перейшли.

А продавці сертифікатів за 2014-25 роки багато грошей заробили на росіянах та досі підтримують агресію проти України, про це я щодня нагадую багато років. Перелік компаній, що роками видають SSL сертифікати сайтам російських терористів. Серед них компанії з Англії, США, Бельгії та інших країн https://bit.ly/3ccqDRi. Тому не варто їх фінансово підтримувати, слід боротися з цими компаніями.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• DDoS attacks on Dyn
• Slashdot effect
• Stresser
• Wi-Fi deauthentication attack
• WinNuke

Існує технологія 3-D Secure (3DS) - це протокол розрахунків платіжними картками, що застосовується в операціях без наявності картки в місці платежу (зокрема, при розрахунках через мережу Інтернет). Передбачає двофакторну аутентифікацію держателя, тобто до CVV і даних карти ще додається OTP код, що надходить по смс.

Відома під назвами Verified by Visa, Mastercard SecureCode та від інших платіжних систем. Багато років маю карти МС і Visa та давно користуюся 3-D Secure для онлайн платежів. А в 2024 році я двічі обійшов цей захист під час легальної оплати. І на початку 2025 також.

Торік виявив можливість, як знімати гроші з карти без підтверджень по смс, тобто з обходом захисту від MC і Visa. Перевірив у березні та в грудні на одному українському сайті. Тестував на своїх картах ПБ, але я впевнений, що воно стосується всіх карт усіх наших банків.

Раніше я писав про нові уразливості на bonus.privatbank.ua.

Атака проводиться на сайтах, як то на Імена, де я двічі торік оплачував свій домен, що приймають карти через Stripe - це західних онлайн еквайєр. Коли я весь минулий рік та раніше платив онлайн з карт через еквайрінги ПБ та інших українських банків, то завжди приходив OTP по смс, але не на сайтах, які працюють через Stripe. Гроші просто знімаються з карти без підтвердження, тобто без двофакторної аутентифікації.

Вже в січні та лютому я робив оплату за електрику через онлайн еквайєр ПУМБ і так само жодного коду по смс не надійшло, спокійно гроші з карти списалися.

Якщо вкрадуть дані карт і CVV в українців, то далі заберуть гроші при оплаті через систему Stripe чи сервіс ПУМБ, обійшовши захист 3DS для карт, що його мають, як мої банківські карти.

Мої статті по захисту Wi-Fi роутерів:

Кібербезпека та енергозбереження IoT в Україні

І моя стаття CSRF Attacks on Network Devices, що вийшла у журналі PenTest Extra 02/2012. Вона стосується Wi-Fi роутерів та всіх мережевих пристроїв. Пояснив, що незалежно від ваших дій, через дірки можуть хакнути будь-які ваші мережеві пристрої.

Поради по захисту Wi-Fi роутерів. Навів корисні поради, зокрема стосовно паролів і старих пристроїв.

Почитайте про небезпеку веб камер та IoT, де пояснив як в Україні щодня хакають IP камери та інші мережеві пристрої.

Українські Кібер Війська з червня 2014 року займаються розвідкою. Це аудіо і відео розвідка. Раніше я наводив відео Українських Кібер Військ, що демонструють можливості Українських Кібер Військ по спостереженню за терористами.

Ось 5 нових відео, що зроблені в рамках розвідувальної операції:

Russian occupant sends robbed from Ukraine at post in Belgorod - УКВ записали як окупант висилає награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

Українські Кібер Війська: штаб-квартира терористів в Алчевську - УКВ записали відео зі штаб-квартири терористів в Алчевську.

Russian occupants send robbed from Ukraine at post in Belgorod - УКВ записали як окупанти висилають награбоване в Україні на пошті в Бєлгороді.

Russian occupant sends robbed from Ukraine at post in Bryansk - УКВ записали як окупант висилає награбоване в Україні на пошті в Брянську.

У своїй статті Кібербезпека та енергозбереження IoT в Україні писав, що в країні майже всі роутери діряві та сам десятки років знаходжу в них дірки. Як в Wi-Fi роутерах і точках доступу, так і всіх IoT. А також писав про величезну кількість цих пристроїв, які споживають електрику.

Поради по захисту Wi-Fi роутерів. Навів корисні поради на FB, зокрема стосовно паролів і старих пристроїв.

Як старих Wi-Fi роутерів багато та інших мережевих пристроїв, так і всі пристрої діряві - старі й нові. Про тисячі уразливостей в різних IoT, що сам знайшов, я писав та про хакнуті мною 260000 мережевих пристроїв в Україні та РФ. За безпекою їх мало хто слідкує. Тому оновлювати ПЗ роутера потрібно, але старих уразливостей мільйони в Україні та й не всі старі та нові дірки виправляють самі виробники.

Важлива порада: використовуйте лише складні паролі та відмовтеся від простих і стандартних на кшталт “12345678″. Цікаво, що в офісі компанії Lanet пароль на Wi-Fi мережу саме такий. Звісно то для клієнтів, але все ж варто було врахувати ці поради і взяти інший. Також вони мають дірки на сайті - повідомив їм в офісі та по е-пошті ще в жовтні 2019 року, але вони проігнорували.

Також у списку порад відсутня наступна: вимкніть адмінку для доступу через Інтернет, як веб інтерфейс, так і telnet. Усі хакнуті мною роутери в Україні та по світу мали онлайн доступ.

І почитайте мою статтю CSRF Attacks on Network Devices, що вийшла у журналі PenTest Extra 02/2012. Вона стосується Wi-Fi роутерів та всіх мережевих пристроїв. Пояснив, що незалежно від ваших дій, через дірки можуть хакнути будь-які ваші мережеві пристрої.

Давно написав статтю Безпека мережевих пристроїв: IP камер, розумних будинків і smart пристроїв. Прочитавши статтю та про тисячі знайдених мною дірок в IoT, зрозумієте необхідність аудиту безпеки мережевих пристроїв. Якщо про дірки на сайтах я пишу в Мережі з 2005 і за цей час до мене зверталися за аудитом чи пентестом, то ось скільки не писав про знайдені уразливості в IoT і про десятки тисяч хакнутих мною мережевих пристроїв, ніхто ніколи не звертався за їх аудитом. Один поцікавився в 2022 році, але швидко передумав. Українцям байдужі їхні діряві пристрої.

Українські Кібер Війська захопили 260000 мережевих пристроїв і в День Незалежності України передали окупантам вітання. Про це писав торік на 24.08, а цьогоріч лише нагадав про той пост.

Про кібербезпеку. Всі мережеві пристрої діряві, а в Україні таких мільйони, в світі мільярди, число пристроїв щодня зростає, дірок старих і нових вистачає. Це можна побачити як з моїх публікацій за два десятиліття, так і зі захоплених камер та IoT на окупованій територіях, в РБ і РФ.

Десять років щодня кажу всім українцям і владам про небезпеку веб камер, через які росіяни слідкують за нами, але всі завжди це ігнорують. Позаторік сам заблокував YT трансляції з наших міст.

Окрім веб камер, роутерів у нас вистачає, які доступні для зламу в Інтернеті та сам хакав такі на Донбасі, Криму і РФ, як показав на наведеному фото. Те саме вороги щодня роблять. Хоча про камери більше пишуть, але й сам не раз чув від людей, що в них хакнуті роутери, та не всі про це знають.

Енергозбереження IoT, зокрема роутерів.

Давно звернув увагу, що в мене в будинку багато роутерів і гаджети показують поруч два-три десятка, в залежності від антени гаджета і часу доби. З початку червня, коли почалися вимкнення, сам почав на ніч вимикати роутер, навіть в день на кілька годин. Але звернув увагу, що крім мене ніхто цього не робить.

Якщо в моєму великому будинку в кожній квартирі роутер та інші мережеві пристрої, то можете представити рівень енергоспоживання. Лише коли вимикають світло частина роутерів вимикається, інші мають запасне живлення.