Websecurity - Веб безпека

В листопаді минулого року була виявлена Cookie Authentication уразливість в WordPress (про наявність даної особливості роботи з кукісами було відомо й раніше). При наявності доступу до БД можна відтворити кукіс будь-якого користувача системи.

Ця особливість реалізації не є сама по собі небезпечною. Але, при наявності витоку інформації з бази даних, або SQL Injection, вона може бути використана для комплексної атаки на сайт.

Вразливі версії WordPress від 1.5 по 2.3.3. Новий підхід до роботи з кукісами був запроваджений в WordPress 2.5. В якому була виявлена уразливість (причому тим же секюріті дослідником Steven Murdoch) в роботі нового механізму управління кукісами.

• Wordpress Cookie Authentication Vulnerability (деталі)

This entry was posted on 23:54 30.04.2008 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.