Коментарі для запису: Уразливості на domaintimes.net http://websecurity.com.ua/3038/ Sun, 19 Apr 2026 18:56:14 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/3038/#comment-283223 Sat, 25 Apr 2009 17:56:12 +0000 http://websecurity.com.ua/3038/#comment-283223 Maxis, всегда пожалуйста. <blockquote>Что посоветуете сделать?</blockquote> Нужно исправлять уязвимости (как минимум XSS). Самый простой способ это сделать - это отключить редиректор (vbAnonymizer). Можно было бы надеется на разработчика плагина vbAnonymizer, что он исправит уязвимость (XSS, т.к. Redirector то он исправлять не будет, потому что это основная функция данного плагина), на на это рассчитывать не приходится. Когда я нашёл данные уязвимости, а также когда нашёл новую <a href="/3048/" rel="nofollow">уязвимость в vbAnonymizer для vBulletin</a> (позволяющую обойти XSS фильтры для старой дыры), я попытался связатся с автором плагина. Но у него сайт на реконструкции и нигде не указан емайл. Нашёл его профайл на форуме vbulletin.org, зарегистрировался на нём, чтобы с автором связяться, но доступ к постам и ПМ на данном форуме после регистрации не доступен - только после дополнительного подтверждения, что ты являешься зарегистрированным пользователем vBulletin (поэтому через форум связаться не вышло). Написал админам vbulletin.org, чтобы ему передали - тоже никакого эффекта. В итоге потратил массу времени и так с разработчиком плагина не связался. Также можешь сам исправить XSS в vbAnonymizer (как ту, о которой я писал в своём посте, так и новую, о которой я упоминал выше). Но чтобы устранить и XSS, и Redirector уязвимости, проще будет отключить данный плагин. Maxis, всегда пожалуйста.

Что посоветуете сделать?

Нужно исправлять уязвимости (как минимум XSS). Самый простой способ это сделать - это отключить редиректор (vbAnonymizer).

Можно было бы надеется на разработчика плагина vbAnonymizer, что он исправит уязвимость (XSS, т.к. Redirector то он исправлять не будет, потому что это основная функция данного плагина), на на это рассчитывать не приходится. Когда я нашёл данные уязвимости, а также когда нашёл новую уязвимость в vbAnonymizer для vBulletin (позволяющую обойти XSS фильтры для старой дыры), я попытался связатся с автором плагина.

Но у него сайт на реконструкции и нигде не указан емайл. Нашёл его профайл на форуме vbulletin.org, зарегистрировался на нём, чтобы с автором связяться, но доступ к постам и ПМ на данном форуме после регистрации не доступен - только после дополнительного подтверждения, что ты являешься зарегистрированным пользователем vBulletin (поэтому через форум связаться не вышло). Написал админам vbulletin.org, чтобы ему передали - тоже никакого эффекта. В итоге потратил массу времени и так с разработчиком плагина не связался.

Также можешь сам исправить XSS в vbAnonymizer (как ту, о которой я писал в своём посте, так и новую, о которой я упоминал выше). Но чтобы устранить и XSS, и Redirector уязвимости, проще будет отключить данный плагин.

]]> від: Maxis http://websecurity.com.ua/3038/#comment-282543 Wed, 22 Apr 2009 20:44:05 +0000 http://websecurity.com.ua/3038/#comment-282543 Спасибо за информацию!! Что посоветуете сделать? :roll: Спасибо за информацию!!
Что посоветуете сделать? :roll:

]]> від: MustLive http://websecurity.com.ua/3038/#comment-282346 Tue, 21 Apr 2009 16:14:00 +0000 http://websecurity.com.ua/3038/#comment-282346 <strong>Maxis</strong> Уязвимости в том, о чём сказано у меня в посте - это Cross-Site Scripting и Redirector. Если тебе неизвестно, что это за уязвимости и в чём их риск, то тебе следует прочитать соответствующую информацию о XSS и Redirector, в том числе и у меня на сайте. О данных классах уязвимостей я писал многократно, в частности в моих <a href="http://websecurity.com.ua/articles/" rel="nofollow">статьях и докладах</a> и в категории <a href="http://websecurity.com.ua/category/articles/" rel="nofollow">Статьи</a>. Если вкратце, то Redirector уязвимость м.б. использована для спама и фишинга, а также для распространения malware для пользователей и посетителей твоего сайта. А XSS уязвимость, помимо вышеупомянутых атак, может использоваться для захвата твоего сайта (как админок WP и форума vBulletin, так и пользовательских аккаунтов). И привязка к IP для доступа в админку Вордпреса не спасёт от XSS. Maxis

Уязвимости в том, о чём сказано у меня в посте - это Cross-Site Scripting и Redirector. Если тебе неизвестно, что это за уязвимости и в чём их риск, то тебе следует прочитать соответствующую информацию о XSS и Redirector, в том числе и у меня на сайте. О данных классах уязвимостей я писал многократно, в частности в моих статьях и докладах и в категории Статьи.

Если вкратце, то Redirector уязвимость м.б. использована для спама и фишинга, а также для распространения malware для пользователей и посетителей твоего сайта. А XSS уязвимость, помимо вышеупомянутых атак, может использоваться для захвата твоего сайта (как админок WP и форума vBulletin, так и пользовательских аккаунтов). И привязка к IP для доступа в админку Вордпреса не спасёт от XSS.

]]> від: Maxis http://websecurity.com.ua/3038/#comment-282344 Tue, 21 Apr 2009 15:22:05 +0000 http://websecurity.com.ua/3038/#comment-282344 Ну... Так в чём уязвимость то?? :? Ну… Так в чём уязвимость то?? :?

]]>