Дек 14

Взлом WordPress

Tag: БлогиАлтайский блогер @ 22:40

Часто встречаю блоги на которых по тем или иным причинам вылетают SQL-ошибки. Эти сообщения о SQL-ошибках надо отключать – читать.

Откройте wp-db.php и поменяйте "true" на "false":

function show_errors() {

$this->show_errors = true;

}

Почему отобржание ошибок – нужно отключать? Обнаружился баг Sql Injection in wordpress 2.3.1:

~~~~~~~~~~~~~~~~~~SQL Injection ~~~~~~~~~~~~

Vulnerable URL : http://localhost/path_to_wordpress/?feed=rss2&p=

Parameter : P

POC = http://localhost/path_to_wordpress/?feed=rss2&p=11/**/union/**/select/**/concat(user_password,char(100),username),2/**/from/**/wp_users/**/where/**/user_id=1/*

У кого стоит WordPress 2.3.1 попробуйте открыть этот адрес: http://путь_к_вашему_wordpress/?feed=rss2&p=1

На старых версиях открываются комменты, а вот в 2.3.1 – ошибка.

Все это можно описать словами: Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, утечка информации и т.д.

Также советую ознакомиться с Are Hackers Exploiting WordPress Themes?

★ Сегодня с помощью этого сервиса можно заработать больше, чем в Sape. Узнать подробности »


Похожие записи:
Нашел, что искал? Чтобы не пропустить следующую часть подпишись на RSS.

This website uses IntenseDebate comments, but they are not currently loaded because either your browser doesn't support JavaScript, or they didn't load fast enough.

Комментарии к статье «Взлом WordPress»:

  1. oldvovk:

    Вся линейка подпадает под это – те и 2.3 тоже

  2. SeoCoder:

    Мне $this->show_errors = false; это не помогло – ошибки также показываются (

  3. Блогер из Алтая:

    SeoCoder, пробовал установить плагин из http://blogsecurity.net/wordpress/wpdberrors-plugin-removing-wordpress-db-errors/

  4. Denis Streha:

    сохранил в утф8 все нормуль, при вин1251 ошибка остается

  5. Блогер из Алтая:

    Denis Streha, а почему в утф8 не оставишь? Я у меня блог в утф8.

  6. Denis Streha:

    Да блоги они все в утф8, просто в некоторых редакторах при открытии файл меняет кодировку (censored)

  7. Блогер из Алтая:

    Я пользуюсь http://www.editplus.com/ очень хороший редактор. Можно настроить его так, чтобы файлы открывались\сохранялись как в utf8 так и в любой другой кодировки.

  8. Презренный Манимейкер:

    Спасибо за совет, поменял данные, поменял кодировку файла в UTF8 – вывод ошибок прекратился.

  9. :-):