Tomek rozważał zakup oprogramowania, ale im bardziej szukał warunków licencji, tym bardziej tekstu licencji u sprzedawcy nie było. Była za to tylna furtka, której zakupu nie rozważał. Zapraszamy na wycieczkę po pewnym produkcie.… Czytaj dalej
Wczytywanie zewnętrznych zasobów z wielu serwerów poza kontrolą AW, używanie prywatnych kont do wgrywania treści, prosta deanonimizacja twórcy i ciągle dostępna wersja deweloperska to tylko część problemów.… Czytaj dalej
Pod kontrolą WordPressa działa przynajmniej co czwarta strona w internecie (w tym także nasza). Nasz rodak, Dawid Gołuński, odkrył i opublikował sposób na zdalne przejęcie kontroli nad każdym z tych serwisów.… Czytaj dalej
Jako że Polacy także swoich łowców błędów mają, poprosiliśmy jednego z nich o podzielenie się z Wami ciekawymi przykładami błędów. Zapraszamy na spotkanie z fachowcem, który regularnie namierza i opisuje wpadki programistów.… Czytaj dalej
Nie każdy badacz najwyraźniej jest zwolennikiem odpowiedzialnej publikacji informacji o podatnościach – firma Klikki Oy opublikowała błąd typu stored XSS w najnowszym WordPressie 4.2, na który nie ma jeszcze łaty.
Błąd znajduje się w sposobie zapisywania zbyt długich komentarzy do bazy danych.… Czytaj dalej
Właśnie wyszła nowa wersja WordPressa (4.1.2) oraz wielu popularnych wtyczek takich jak:
Zaczęło się od wtyczki SEO Yoast, w której odkryto poważny błąd XSS.… Czytaj dalej
Strona polskiego magazynu poświęconego bezpieczeństwu informacji była podatna na poważne błędy umożliwiające pobranie całej bazy użytkowników oraz wykonanie dowolnego kodu na serwerze.… Czytaj dalej
Jeśli ciągle korzystacie z WordPressa 4.0, to albo włączcie automatyczne aktualizacje, albo szybko aktualizujcie do wersji 4.0.1. A jeśli macie wersję 3.x, to aktualizujcie jeszcze szybciej – błąd XSS w niej istniejący można dość łatwo zamienić w wykonanie kodu po stronie serwera i jest najpoważniejszą dziurą wykrytą w ostatnich latach.… Czytaj dalej
Właśnie pojawiła się nowa wersja WordPressa (3.5.2), która rozwiązuje między innymi 7 problemów z obszaru bezpieczeństwa. Aż 3 z nich zostały zgłoszone przez Polaków:
Oprócz tego nowe wydanie poprawia takie błędy jak server-side request forgery, cross-site scripting w TinyMCE oraz błędy w atrybucji autorstwa wpisów użytkowników.… Czytaj dalej
Polski badacz Krzysztof „vnd” Katowicz-Kowalewski (nie mylić z Krzysztofem Kotowiczem) odnalazł błąd w funkcji crypt_private(), znajdującej się w pliku wp-includes/class-phpass.php. Odpowiednia manipulacja parametrem licznika może zmusić serwer do wykonania np. miliarda iteracji funkcji md5, wyczerpując zasoby procesora oraz pamięci maszyny. Wystarczy w tym celu wysyłać odpowiednio spreparowane ciasteczko w zapytaniu o wpis zabezpieczony hasłem.… Czytaj dalej
Ilu z Was sprawdza kod źródłowy nowej wersji wtyczki WordPressa przed uruchomieniem aktualizacji? Nie spodziewamy się zobaczyć zbyt wielu rąk w górze. Ostatnie dni pokazują, że możemy mieć dzięki temu do czynienia z realnym ryzykiem infekcji.… Czytaj dalej
Od kilku dni na całym świecie mnóstwo serwisów, opartych na popularnym WordPressie, doświadcza zmasowanych ataków na konta administratorów, prowadzonych przez duży botnet. Jaka jest skala ataku, na czym polega i jak się przed nim bronić?… Czytaj dalej
Czasem niektóre problemy z zakresu bezpieczeństwa informacji nie wynikają z błędów w programach, a z ich niewłaściwej konfiguracji. Jeden z internautów zauważył, że konfiguracja popularnej wtyczki WordPressa może ujawniać poufne informacje.… Czytaj dalej
Historia tak niewiarygodna, że aż wymagająca utrwalenia dla potomnych. To, że ktoś próbował umieścić tylną furtkę w kodzie źródłowym WordPressa, nie jest zaskoczeniem. Zaskoczeniem jest sposób i styl, w jakim tę próbę przeprowadził.… Czytaj dalej
© 2023 Zaufana Trzecia Strona
