RSS
Словарь компьютерных терминов    1_9  A  B  C  D  E  F  G  H  I  J  K  L  M  N  O  P  Q  R  S  T  U  V  W  X  Y  Z   .....  A  Б  В  Г  Д  Ж  З  И  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч

SYSTEM
 Windows10
  Registry Windows 10
  Windows 10 tweaks & tricks
Windows8
Tweaks & tricks
  Network settings
  Registry
Windows7
Windows7: General settings
  Windows7: Registry
  Windows7: Registry faq
  Windows7: Network settings
  Windows7: Security
  Windows7: Firewall
  Windows7: Compatibility Mode
  Windows7: Administrator Password
Windows NT/2K/XP/VISTAWindows NT/2K/XP/VISTA
Win 2K faqWin 2K faq
  Win 2K(kernel & MEM.managment)
  Win 2K и XP (Securit)
  Win 2K и XP (Boot)
  Win 2K и XP (Install)
  Win 2K и XP (Admin)
  Win 2K и XP (File system)
  Win 2K и XP (Services)
  Win 2K & XP optim & tweak
  Win XP faq
  Win XP faq #2
  Win XP faq (net)
  Win XP faq (lan)
  Win XP recover & recovery console
  WinXP & ntfs
  WinXP & game faq
  Win PE
  Win Vista
  Win Vista FAQ
  Win Server tweaks
RegistryRegistry
Reg WIN2K/XP faq
Reg WIN2K/XP faq #2
Reg NT/XP: Structure
Reg XP: Restore & backup
Reg XP: Costumize XP
Reg XP: Inet
Reg NT/XP: SAM
Reg: Inet & LAN
BIOSBIOS
BIOS faq
BIOS recover
BIOS #
computer ambulance

Сайты WordPress подверженны атакам через плагин 'Formidable Forms'


Плагин 'Formidable Forms' доступен как бесплатно, так и в виде платной версии. Он предоставляет дополнительные функции, которые позволяют пользователям легко создавать страницы контактов, опросы и другие типы форм. Плагин имеет более 200 000 активных установок.

Jouko Pynnönen из компания Klikki Oy(Финляндия) проанализировал плагин и обнаружила несколько уязвимостей, в том числе те, которые представляют серьезные угрозы безопасности для веб-сайтов, использующих его.

Недостатком с наивысшей серьезностью является скрытая инъекция SQL, которая позволяет злоумышленникам анализировать базы данных веб-сайта и получить их содержимое. Представленные данные включают учетные данные пользователя WordPress и данные, представленные на веб-сайт через плагин 'Formidable Forms'.

Исследователь также обнаружил еще один недостаток, который предоставляет данные, представленные через плагин 'Formidable Forms' - это возможность SQL-инъекции, связанная с внедрением через плагин коротких кодов, специфичных для WordPress, которые позволяют пользователям добавлять различные типы контента на свои сайты с минимальными усилиями.

Pynnonen также обнаружил уязвимости межсайтового скриптинга (XSS). Хранимый XSS позволяет злоумышленнику выполнить произвольный код JavaScript в контексте сеанса просмотром прав администратора - злоумышленник вводит вредоносный код через формы и запускается при просмотре администратором сайта на панели инструментов WordPress.

Эксперт также заметил, что если плагин поддержки iThemes Sync WordPress присутствует вместе с Formidable Forms, злоумышленник может использовать вышеупомянутый недостаток SQL-инъекции для получения идентификатора пользователя и ключа аутентификации. Эта информация может использоваться для управления WordPress через iThemes Sync, в том числе для добавления новых админов или установки плагинов.

В плагине 'Formidable Forms' были обнаружены уязвимости в версиях 2.05.02 и 2.05.03. iThemes Sync не рассматривает степень атаки, описанную исследователем, как уязвимость, поэтому решили не выпускать патч.

Pynnonen определил эти недостатки после того, как их пригласили принять участие в программе HugerOne-bug bounty, которая предлагает вознаграждение в размере до 10 000 долларов США. Программой руководила неназванная сингапурская технологическая компания. Эксплуатация уязвимостей на сайте компании могла позволить злоумышленнику получить доступ к личной информации и другим конфиденциальным данным.

Исследователь заработал $ 4,500 за уязвимость SQL-инъекций и несколько сотен долларов за каждую из других найденых дыр в безопасности. Однако Jouko Pynnonen недоволен тем, что сингапурская компания преуменьшила риски, связанные с обнаруженными уязвимостями, и понизила серьезность ошибки SQL-инъекции с «критического» до «высокого».

Ранее Pynnonen находил серьезные уязвимости в почтовых ящиках Yahoo Mail и ядре WordPress.


Магазин цифровой техники | Новинки магазина | Микроформаты и микроданные | Типографика в онлайн-текстах | Защита от DDoS-атак | Как добиться хорошего индексирования? | Интерактивная поисковая выдача | Использование виджетов на сайте | Эффективный e-mail-маркетинг | Оформление страницы контактов | Обратная связь с клиентами | Как завоевать доверие клиентов | Оптимизация содержимого тегов title, description, keywords | | Особенности работы с большим семантическим ядром | Руководство по социальным кнопкам | Особенности продвижения коммерческих сайтов в Яндексе | Продвижение блогов | Оптимизация сайтов на платформе WordPress | Основы таргетированной рекламы в соцсетях | Оптимизация видео на YouTube для поисковых систем | Ретаргетинг и ремаркетинг | Приемы продающей рассылки | Яндекс Метрика и Google Analytics: настройка целей | Контекстная реклама: как составить эффективное объявление | Особенности контекстной рекламы для интернет-магазинов | Правила эффективного отбора доноров в ссылочных биржах | Шпионаж — двигатель маркетингового прогресса | Технологии реферального маркетинга: от простых к высокодоходным | Статейное продвижение сайта | Тизерная реклама: принципы работы, фишки, эффективность | SEO-продвижение сообществ ВКонтакте | Контентный маркетинг | Технология RTB | Что такое сквозные ссылки | Влияние ссылок на поисковую выдачу | Оценка эффективности контекстной рекламы  | Влияние триггеров на целевые действия пользователей |   | Продвижение мобильных приложений: внешние факторы | Продвижение мобильных приложений: поисковая оптимизация | Сотовые телефоны | Magic Money | Горячая линия бесплатной юридической консультации | Благотворительность

На главную | Cookie policy | Sitemap

 

po gonn © 2004