Websecurity - Веб безпека

Деякий час тому в WordPress була виявлена Cross-Site Scripting уразливість (комбінована XSRF+XSS). Вона дозволяє через адміністратора сайта провести XSRF+XSS атаку.

Уразливість полягає в тому, що в коментарях адміністратора дозволені html теги (що дозволяє публікувати JavaScript код). І враховуючи те, що відсутня перевірка джерела запиту, можлива Cross-Site Request Forgery атака. Що дозволить атакувати адміна, для проведення XSS атаки на сайт, для розміщення в коментарях необхідного коду.

Уразлива версія WordPress 2.1.0 та попередні версії.

• Wordpress <= v2.1.0 (деталі)

This entry was posted on 23:54 27.09.2007 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.