Често Задавани Въпроси

Абонаменти

RSS Кратки статии RSS Пълни статии Atom

Категории


Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Последни туитове

chzvnet
  • CHZV.netRT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09
  • CHZV.netRT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16
  • CHZV.netХроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21
  • CHZV.netRT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21
  • CHZV.netRT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22
  • CHZV.netRT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55
  • CHZV.netRT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36
  • CHZV.netRT @DarkReading: Meeet the 'ad hijacking' attack: http://tinyurl.com/44rfnhk - на 07/06/2011 в 17:39:03
  • CHZV.netRT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34
  • CHZV.netRT @lennyzeltser: TDL rootkit implements its own file system to store files on the hard drive: http://bit.ly/jNriDd by @ESETLLC - на 07/06/2011 в 03:34:08
  • CHZV.netRT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12
  • CHZV.netRT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33
  • CHZV.netRT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02
  • CHZV.netRT @Reuters: Sony hacked again http://t.co/RI14jsL - на 20/05/2011 в 17:53:37
  • CHZV.netRT @lordparody: My new security slogan. "Better Safe Than Sony" - на 20/05/2011 в 17:51:57
My Twitter, by Xhanch
 

Плъгин за WP намира хакнати теми

September 29th, 2009 от singu

Преди няколко дни dzver спомена проблем, за който и аз съм писал . Решението е да преглеждате кода на темите и плъгините, които инсталирате, освен ако не са от хранилището на WordPress ( както се казва, параноята в малки количества е здравословна ). Друг вариант, специално за темите е плъг-ина TAC ( Theme Authenticity Checker ), който може автоматизирано да прерови сорса на темите и да покаже потенциално зловреден код. Силно препоръчвам на хората, които ги мързи да си ровят кода или нямат достатъчно познания по PHP ( останаха ли такива ? ). А, и докато сте на вълна инсталиране на плъг-ини – сложете си и Admin SSL, който криптира връзката до администрацията на блога ви, че нещо много снифъри се навъдиха…

screenshot-1.jpg

Powered by Zoundry Raven

Technorati :

Изпрати по email Изпрати по email |
 

Наличен е WordPress 2.8.4

August 12th, 2009 от singu

wordpress_logo.pngСилно препоръчвам да го инсталирате – WP 2.8.4 е секюрити релийз, който премахва открития вчера бъг в 2.8.х, позволяващ да се ресетне паролата на admin потребителя. В общият случай при правилно настроена поща на въпросния потребител, това не е особен проблем, но както дискутирахме при dzver, този бъг може да бъде използван за доста неприята DoS1. Такава атака няма да свали блогът офлайн, но ефективно ще лиши администраторът му от достъп до WordPress.

За който му е интересно – благодарение на споменатият бъг, ако с браузър отворите следния адрес: http://adres.na.bloga/wp-login.php?action=rp&key[]=

WordPress няма да изпрати първо потвръждаващ e-mail на потребителя, в който да има линк за ресетване, а направо ще ресетне паролата на първият потребител на системата, който има определени полета в базата данни ( най-често това е потребител admin ) и ще изпрати новата му парола на e-mail адреса на този потребител.

Powered by Zoundry Raven

Technorati : , ,

_________
  1. Denial of Service, претоварване на системата, така че тя да не може да предоставя определени услуги [обратно ↩]
Изпрати по email Изпрати по email |
 

WordPress теми и сигурност

March 15th, 2008 от singu

padlock.jpgС популяризирането на блогването рязко се увеличиха потребителите на различните блог системи – типичен пример са WordPress, Movable Type, Serendipity. Една от основните черти на тези системи е тяхната гъвкавост, която позволява да правите почти всичко с тях – включително и да модифицирате външния им вид. Благодарение на нароилите се множество сайтове, които предлагат безплатни ( и не толкова ) теми или скинове, можете лесно да се сдобиете с ( почти ) уникален изглед на блога си.

Ядрото на платформата на WordPress е софтуер, наречен The Loop, който обработва всяка част от блога и визуализира резултата като страница ( например тази, която гледате в момента ). Ядрото също така обработва темата, която е изсталирана в момента, която позволява да се модифицира външния вид. Сама по себе си темата представлява набор от HTML темплейти, PHP код1 и CSS описания. Пакетирани от дизайнера на темата, те могат да бъдат инсталирани с няколко щраквания с мишката и можете да ги използвате, дори и да нямате познания по програмиране или талант за дизайн.

Популярността на платформата я правят интересна цел за злонамерените хакери, а доста свободното търсене и предлагане на теми осигурява направлението на атака.

Нека да разгледаме един пример:
Сиатълският дизайнер Derek Punsalan е направил няколко добри WordPress теми и ги е публикувал в Интернет. Няколко сайта са копирали темите и ги предоставят на потребителите си. Един от тези сайтове е WP-Sphere. Ако изтеглите някоя от темите на Punsalan от този сайт обаче, ще намерите в темата PHP код, който не е поставен там от дизайнера и изглежда ето така:

Bad wordpress code

Този код всъщност изтегля от някой от сайтовете wpssr.com, wpsnc.com или wpsnc2.com JavaScript файл и го стартира. По този начин, ако инсталирате тази тема, всъщност вие предоставяте потенциално зловреден JavaScript на своите посетители. Друга възможност е да се визуализират реклами, които носят печалба не на собственика на блога, а на сайта, разпространител на темите.

Има няколко решения на този проблем – първото е да внимавате какви теми сваляте и използвате. Има и решение предложено от създателя на WordPress Matthew Mullenweg – централизиран сайт, предлагащ сертифицирани теми под GPL лиценз. Друго решение, което сканира използваната от вас тема е описано тук.

Като цяло, бих посъветвал да прочетете и следвате съветите на Илиян Даргънов, който е написал прекрасен материал на български.

Technorati : ,

_________
  1. програмният език, на който е написан WordPress [обратно ↩]
Изпрати по email Изпрати по email |