Уразливості в WordPress 2.x
23:55 17.10.2009Наприкінці грудня 2008 року були оприлюднені Unauthorized upgrade та Cross-Site Scripting уразливості в WordPress. Уразливі всі версії WordPress 2.x, тому що дані уразливості не були виправлені.
У випадку, якщо WP на сайті не останньої версії, то використовуючи першу уразливість в WP, можна проводити неавторизований апгрейд движка, а використовуючи другу уразливість можна проводити XSS атаки (по кліку на лінку). Як я перевірив (в різних версіях WP), у випадку другої уразливості зовсім немає XSS, там можлива лише редирекція на довільний сайт (по кліку на лінку).
- Wordpress is vulnerable to an unauthorized upgrade and XSS (деталі)
Неділя, 03:23 18.10.2009
Доречі, хотів запитати де знайти скрипт або програму для брутфорсу WordPress блогів версій 2.3 - 2.8 ?
Неділя, 20:12 18.10.2009
ZEXEL, у WordPress є Brute Force уразливість, про що я писав. Причому у всіх 2.x версіях (як і попередніх 1.x версіях). Якщо власники сайта не зробили захист від брутфорсу - власний чи за допомогою плагіна.
Можеш використати той приклад програми для брутфорса, на який наводиться лінка у вищезгаданій новині. Вона може використовуватися як для WP 2.3 - 2.8, так і для всіх WP 2.x (й 1.x).
Зазначу, що для брутфорсінга сайтів на WordPress (як і інших сайтів) ти можеш використати будь-який комерційний чи безкоштовний брутфорсер. Треба лише налаштувати додаток відповідним чином. Зокрема мною були розроблені (на початку 2008 року) відповідні додатки: Brute force login identifier (для підбору логінів) та Brute force password identifier (для підбору паролів).