16 569
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 569
/ContentUploads/N5428/wordpress_hacker.jpg
Kattints ide  ➜

Újabb komoly sebezhetőséget találtak a Wordpressben

Makay József2015.05.07. 10.41
/ContentUploads/N5428/wordpress_hacker.jpgA közismert Wordpress blogmotort jelenleg amatőr weboldal-tulajdonosok tízmilliói használják, hiszen „mindenre van egy bővítmény”, ráadásul a kezelése sem igényel különösebb szakértelmet. Ennek a kényelemnek és a kétségbe vonhatatlan népszerűségnek viszont több hátránya is van, amik közé sorolhatnánk a túlzott multifunkcionalitásból fakadó lomhaságot és a kiemelt figyelmet, aminek következtében ugyan sokkal több biztonsági sérülékenységre derül fény, de sokkal több is kerül rosszindulatú támadók tudomására.

A néhány hónappal ezelőtt felfedezett, szinte minden WordPress-verziót érintő sebezhetőséget most egy újabb követi, ami szintén rengeteg weboldalt érinthet – a sebezhetőség ugyanis a közismert Twenty Fifteen és a JetPack pluginben található, kihasználása pedig sem felhasználói, sem adminisztrátori interakciót nem igényel.

Az XSS (Cross-Site Scripting) támadás alatt a rosszindulatú hacker az esetek jelentős többségében kliens, tehát felhasználói oldalon követi el a bűncselekményt. Olyan sérülékenységek tartoznak ide, amik az áldozat böngészője vagy egyszerű naivitása segítségével használhatók ki. A fent említett WordPress sebezhetőséget kihasználó kód például az adminisztrátorok böngészőjében futott le.


A Sucuri Security biztonsági kutatója, David Dede szerint a felfedezett XSS sebezhetőség egy egyszerű DOM-alapú támadási lehetőség, tehát a jelentősége inkább az elterjedtségében rejlik. Egy ilyen sérülékenységet ugyanis a támadók leginkább hamis, megtévesztő weboldal lapok létrehozására használhatnak, amikkel az áldozatok érzékeny adatait szerezhetik meg.

A sérülékeny oldal egy egyszerű, működés szempontjából felesleges HTML lap, ami a genericons alkönyvtárban található. Az alábbiakban a sérülékenység kihasználására láthattok példát:

http://site.com/wp-content/themes/twentyfifteen/genericons/example.html#1<img/ src=1 onerror=alert(1)>


Mint láthatjuk, a weboldal mindent HTML tartalmat elfogad URL-paraméterként, amiket aztán meg is jelenít az áldozat böngészőjében. A biztonsági frissítés elvileg már mindenki számára elérhető, de azzal sem okozunk különösebb kárt, ha eltávolítjuk a tárhelyről ezt az example.html fájlt.

Szorosan kapcsolódó cikkeink a témában:

Biztonságos WordPress – 1. rész
Biztonságos WordPress – 2. rész
Biztonságos WordPress – 3. rész
Biztonságos WordPress – 4. rész
Biztonságos WordPress – 5. rész
Biztonságos WordPress – 6. rész
Biztonságos WordPress – 7. rész

Illusztráció: WP Lighthouse
Forrás: The Register, Sucuri
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Benjamin minden videójában 4 órán át ül és mosolyog
Kevesebb Android‑felhasználó vált iPhone‑ra
Ilyen lehetne a Google Pixel 2
A következő Apple Watch okosóra már kör alakú lehet
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Microsoft Surface Phone - Számítógép és okostelefon egy készülékben
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Egy alkalmazás bitcoin-terminált csinál a telefonunkból
Keret nélküli kijelzővel érkezik a szétcsúsztatható ZTE Nubia
A Sailfish OS most megelőzheti a Windows Mobile platformot
Állásajánlatok
Robotszimulációs mérnök - Berendezés-/ Készülékgyártás, Szerszámgyár
Junior / Senior Tester
Software Architect
PLC programozó
Sales and Marketing Manager for Romania
Vizsgálógépek üzemeltető mérnöke QA
Alkatrész üzletág vezető