FPD та SB уразливості в Exploit Scanner для WordPress

23:55 03.06.2013

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні Exploit Scanner для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/exploit-scanner/exploit-scanner.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA різними версіями даного плагіна та методи їх обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі Exploit Scanner для WordPress 1.3.3 та попередні версії.


Leave a Reply

You must be logged in to post a comment.