Websecurity - Веб безпека

06.06.2012

Сьогодні я знайшов Brute Force та Insufficient Anti-automation уразливості (не кажучи вже про всі інші дірки в WordPress) на http://security-testlab.com - сайті секюріті компанії Security-TestLab. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше.

18.10.2012

Сайт на WordPress, тому в ньому наявні всі дірки, що є в цьому движку (а існує багато дірок, про які я писав, що багато років наявні в ньому і не виправляються розробника WP). На сайті використовується стара версія WordPress 3.4.1, тому в ньому є всі ті дірки, що були виправлені в WordPress 3.4.2.

Brute Force:

В WP э п’ять BF дірок, що мають місце на цьому сайті. Як на http://security-testlab.com/wp-login.php, так й інші. Як раз на wp-login.php вони вже виправили BF уразливість.

Insufficient Anti-automation:

http://security-testlab.com/kontakty/

В контактній формі немає захисту від автоматизованих запитів (капчі).

Дані уразливості досі не виправлені, окрім однієї BF (але блокування відбувається на дуже короткий термін). При цьому встановивши Wordfence плагін для захисту від BF в формі логіна, адміни сайта додали ще дві уразливості - XSS й IAA в самому плагіні. Про які я згодом напишу.

This entry was posted on 17:28 18.10.2012 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.