main() {
exec("header") {
 
SecurityBlog
 
 
 }
exec("menu") { InformacjeAlertyBezpieczeństwoAudytOprogramowanieSłownikO nasKontakt }
exec("ad") { 
Zgłoś informacje/incydent
 }
exec("info") { 
27
gru
 

Plugin Wordpress`a - W3 Total Cache podatny na ataki

 

Uwaga użytkownicy Wordpressa! Jeden z najpopularniejszych pluginów, zwany W3 Total Cache, używany do poprawy wydajności cash`owania strony internetowej, posiada niebezpieczną lukę. Błąd w konfiguracji plugin`u, może umożliwić zhakowanie systemu CMS, na którym oparty jest Wordpress.



Źródło niebezpieczeństwa tkwi w tym, w jaki sposób W3TC przechowuje cache bazy danych – wszystkie dane znajdują się bowiem w publicznie dostępnym miejscu, gdzie przeprowadzenie ataku, może doprowadzić do pozyskania haszów haseł, bądź innych informacji z bazy danych.

Standardowa lokalizacja, w której plugin przechowuje informacje to: /wp-content/w3tc/dbcache, gdy dodamy do tego włączoną opcję listowania katalogów, atakujący może przejrzeć bądź pobrać jego zawartość.

Ponieważ wtyczka ta należy do narzędzi, cieszących się dużą popularnością wśród użytkowników Wordpress'a, niebezpieczeństwo wyłudzenia danych, staje się dużo większe.

Jak się chronić?

1. Należy uaktualnić plugin do najnowszej wersji.
2. Zablokować dostęp do lokalizacji plugin`u tworząc dodatkowy plik .htaccess w tym folderze.

order deny,allow
deny from all






Przykładowy exploit

 

Udostępnij informacje znajomym: Udostępnij na FaceBook

 
  Ustawił: Saper @ 18:51:59 27.12.2012
  Podobne w słowie: plugin WordPress cms blog incydent Komentarzy: 0   


Dodaj komentarz
 
   
Imię(+/-)Nazwisko lub ksywka: 
   
Adres e-mail: 
   
Strona WWW: 
   
Treść Twojego komentarza: 
   
Proszę policzyć: 
3 * 1 = 
 
 
  

 


 
 
Dostępność serwisu:
SecurityBlog.pl FanPageSecurityBlog.pl MobileSecurityBlog.pl TextModeSecurityBlog.pl RSS

 

Najbardziej wybuchowe

 

Bieżące alerty bezpieczeństwa

 

Przetwarzanie w chmurce

 

Wyszukiwarka kodów źródłowych
4Coder4Coder.org
Source Code Search Engine
Name:
Code:

Demotywator na dziś


Tapetka na dziś
tapetki damon salvatore z vampire diaries
 }
     
exec("partners") {
 
 
Partnerzy
hakerzy   czytelnia
 }
debug("securityblog")
{
"cpu: 1%",
"mem: 4%",
"exectime: 0,0104s"
} exec("footer") {
 


SITE: REGULAMIN || POLITYKA PRYWATNOŚCI || REKLAMA || MAPA STRONY || BAJKI DLA DZIECI || VAMPIRE DIARIES
SYSTEM TOOLS: 0xFFFFFFFF || SECURITY_DUMP || SERVER_INFO || SYSTEM_NICE


Wszystkie prawa zastrzeżone. ©2008-2013 SecurityBlog.pl

 Security Blog
} } }