Websecurity - Веб безпека

Сьогодні я виявив Cross-Site Scripting та Insufficient Anti-automation уразливості в плагіні Wordfence Security. Це секюріті плагін для WordPress. Дані уразливості я виявив на security-testlab.com. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Floating Tweets.

XSS:

Wordfence Security XSS.html

Insufficient Anti-automation:

Wordfence Security IAA.html

Немає захисту (капчі) від автоматизованого підбору емайла адміна. А якщо знати емайл адміна, то таким чином можна буде автоматизовано спамити йому листами з сайта.

Уразливі Wordfence Security 3.3.5 та попередні версії.

P.S.

Після мого повідомлення, розробник виправив дані уразливості в версії 3.3.7. Але при цьому IAA дірка була виправлена неякісно.

This entry was posted on 23:53 18.10.2012 and is filed under Новини сайту, Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.