Hiển thị các bài đăng có nhãn WordPress. Hiển thị tất cả bài đăng
Hiển thị các bài đăng có nhãn WordPress. Hiển thị tất cả bài đăng

Cảnh báo về lỗ hổng bảo mật XSS chưa được vá trong WordPress

   , , ,  No comments
Theo nguồn tin cảnh báo từ group HVA thì WordPress đang dính lỗ hổng bảo mật Stored XSS cực kỳ nghiêm trọng tại phần bình luận và bài viết (cụ thể là ở tiêu đề của bài viết). Tớ đã xác nhận lại bằng cách kiểm thử với phiên bản WordPress 4.6.1 trên Localhost.

wordpress-security-xss-vulnerability
Lỗ hổng ảnh hưởng tới các phiên bản từ 4.6.1 trở xuống (tức là bao gồm cả phiên bản mới nhất). Hiện tại phía WordPress chưa có bản cập nhật nào.

Với hai lỗ hổng XSS này, hacker hoàn toàn có thể tải web-shell lên trang web của bạn. Xem video demo trong bài viết này để hình dung được mức độ nguy hiểm.
Read More

Hack các trang WordPress trên shared server như thế nào?

   , ,  No comments
hacking-wordpress-on-shared-servers
Một trang web chỉ an toàn như mắt xích yếu nhất trên shared server của nó. Một khi hacker chiếm được quyền truy cập vào một trang trên server, họ có thể dễ dàng xâm nhập vào các trang khác nằm trên cùng máy chủ có cùng quyền hạn. Điều này gọi là cross-site contamination. Khi điều tương tự xảy đến với các trang web sử dụng WordPress thì nó càng trở nên nguy hiểm vì các hacker đã nắm rõ cấu trúc core trong lòng bàn tay.
Read More

Lỗ hổng DOM XSS trong WordPress SEO by Yoast

   , , ,  No comments
WordPress SEO by Yoast - DOM XSS Vulderability
WordPress SEO by Yoast - DOM XSS Vulderability
Một lỗ hổng DOM XSS trong plugin WordPress SEO by Yoast đã được báo cáo 2 năm trước bởi một thành viên có tên tài khoản "badconker". Tác giả của plugin nói rằng nó đã được vá nhưng nhà bảo mật Charles Neill phát hiện ra dường như lỗ hổng đã xuất hiện trở lại. Nếu bạn đang sử dụng plugin này, tôi khuyên bạn nên cập nhật ngay lên phiên bản mới nhất (2.2.1).
Read More