-
-
-
Старый 11.08.2009, 23:33   #1
Пафосный резидент
 
Аватар для aship
 
Регистрация: 14.07.2008
Адрес: Pegia
Сообщений: 2,180
Вес репутации: 309
aship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущее
По умолчанию WordPress конкретно ломанули
Обнаружилась уязвимость движка Wordpress. Простейшим Get-запросом из браузера можно сбросить администраторский пароль на любой версии движка.

Захватить блог таким образом не получится, но блокировать работу владельца - вполне.

Обновление пока не вышло.

Источник: http://molva150.ru/sluhi/141-user.html
aship вне форума   Ответить с цитированием
Старый 11.08.2009, 23:36   #2
Глобальный Wordpress'овед
 
Аватар для Globalzru
 
Регистрация: 20.06.2008
Адрес: Чешская республика
Сообщений: 1,853
Вес репутации: 297
Globalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущее
Отправить сообщение для Globalzru с помощью ICQ
По умолчанию
Цитата:
Сообщение от aship Посмотреть сообщение
Захватить блог таким образом не получится, но блокировать работу владельца - вполне.
Никак они не заблокируют работу, можно зайти в базу и вписать новый пароль прямо в таблицу, через md5
__________________
Заходите на мой личный блог [Обменяюсь ссылками с подобными сайтами, ТИЦ от 10]
Стабильный хостинг - Хочешь скидку 25% на любой НОВЫЙ заказ? Напиши!
Недорогие услуги по Wordpress
Globalzru вне форума   Ответить с цитированием
Старый 11.08.2009, 23:36   #3
Bannеd
 
Регистрация: 17.09.2008
Сообщений: 6,446
Вес репутации: 368
Последний Герой - прекрасное будущееПоследний Герой - прекрасное будущееПоследний Герой - прекрасное будущееПоследний Герой - прекрасное будущееПоследний Герой - прекрасное будущееПоследний Герой - прекрасное будущееПоследний Герой - прекрасное будущееПоследний Герой - прекрасное будущееПоследний Герой - прекрасное будущееПоследний Герой - прекрасное будущееПоследний Герой - прекрасное будущее
По умолчанию
забаньте этот запрос в хттпд.конф или в корневом хтаксессе и делов то
Последний Герой вне форума   Ответить с цитированием
Старый 11.08.2009, 23:48   #4
ашипка
 
Аватар для errora
 
Регистрация: 05.04.2008
Адрес: Зазеркалье
Сообщений: 2,707
Вес репутации: 388
errora - прекрасное будущееerrora - прекрасное будущееerrora - прекрасное будущееerrora - прекрасное будущееerrora - прекрасное будущееerrora - прекрасное будущееerrora - прекрасное будущееerrora - прекрасное будущееerrora - прекрасное будущееerrora - прекрасное будущееerrora - прекрасное будущее
По умолчанию
Цитата:
Сообщение от Globalzru Посмотреть сообщение
Никак они не заблокируют работу, можно зайти в базу и вписать новый пароль прямо в таблицу, через md5
Чего там в первом посте ТС за ссылку давал не читала... Но вот насчет этого - вдруг будет прецедент - поможешь? Серьезно.
__________________
Все совпадения случайны, имена и даты высосаны из пальца и значения не имеют.
errora вне форума   Ответить с цитированием
Старый 11.08.2009, 23:51   #5
пусто
 
Аватар для Администрация 6-ой палаты
 
Регистрация: 28.10.2007
Сообщений: 3,115
Вес репутации: 370
Администрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущее
По умолчанию
Цитата:
Сообщение от aship Посмотреть сообщение
Обнаружилась уязвимость движка Wordpress. Простейшим Get-запросом из браузера можно сбросить администраторский пароль на любой версии движка.

Захватить блог таким образом не получится, но блокировать работу владельца - вполне.

Обновление пока не вышло.

Источник: http://molva150.ru/sluhi/141-user.html
ну и какой запрос? щас проверил бы
и что за говносайт в источнике?

Добавлено через 1 минуту
Цитата:
Сообщение от errora Посмотреть сообщение
Но вот насчет этого - вдруг будет прецедент - поможешь?
проще по эмэйлу восстановить, чем конвертить в мд5 и совать в базу
__________________
Умное лицо - это еще не признак ума господа. Все глупости на земле делаются именно с этим выражением лица. Улыбайтесь господа, улыбайтесь.
Последний раз редактировалось Администрация 6-ой палаты; 11.08.2009 в 23:51. Причина: Добавлено сообщение
Администрация 6-ой палаты вне форума   Ответить с цитированием
Старый 11.08.2009, 23:54   #6
Туру-туру
 
Аватар для bla-bla-bla
 
Регистрация: 11.02.2008
Адрес: Украина
Сообщений: 1,224
Вес репутации: 240
bla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущееbla-bla-bla - прекрасное будущее
По умолчанию
aship, запрос покажи, тоже на ГС проверю
__________________
Нормально делай - нормально будет!
bla-bla-bla вне форума   Ответить с цитированием
Старый 11.08.2009, 23:54   #7
Глобальный Wordpress'овед
 
Аватар для Globalzru
 
Регистрация: 20.06.2008
Адрес: Чешская республика
Сообщений: 1,853
Вес репутации: 297
Globalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущееGlobalzru - прекрасное будущее
Отправить сообщение для Globalzru с помощью ICQ
По умолчанию
Цитата:
Сообщение от Администрация 6-ой палаты Посмотреть сообщение
проще по эмэйлу восстановить, чем конвертить в мд5 и совать в базу
Было у меня такое у знакомого, через мыло не шло даже востановить
__________________
Заходите на мой личный блог [Обменяюсь ссылками с подобными сайтами, ТИЦ от 10]
Стабильный хостинг - Хочешь скидку 25% на любой НОВЫЙ заказ? Напиши!
Недорогие услуги по Wordpress
Globalzru вне форума   Ответить с цитированием
Старый 12.08.2009, 00:10   #8
Пафосный резидент
 
Аватар для aship
 
Регистрация: 14.07.2008
Адрес: Pegia
Сообщений: 2,180
Вес репутации: 309
aship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущееaship - прекрасное будущее
По умолчанию
Цитата:
Сообщение от Администрация 6-ой палаты Посмотреть сообщение
ну и какой запрос? щас проверил бы
и что за говносайт в источнике?
Источник увидел на new2.ru.
Лично не проверял, у меня нет сайтов на WP, но у двух знакомых пароли сегодня сбросили.


Цитата:
aship, запрос покажи, тоже на ГС проверю
Вот еще одна ссылка с подробной информацией и примером запроса, но на английском. Лично повторюсь, не проверял. На чужом сайте пробовать стремно, а своих на WP нет.

http://seclists.org/fulldisclosure/2009/Aug/0113.html
aship вне форума   Ответить с цитированием
Старый 12.08.2009, 00:18   #9
Специалист
 
Аватар для EndyVelvet
 
Регистрация: 19.01.2009
Адрес: вебмастеринг
Сообщений: 386
Вес репутации: 199
EndyVelvet - просто великолепная личностьEndyVelvet - просто великолепная личностьEndyVelvet - просто великолепная личностьEndyVelvet - просто великолепная личностьEndyVelvet - просто великолепная личностьEndyVelvet - просто великолепная личность
По умолчанию
Нашел запрос, проверил, просто сбрасывает пароль и отправляет на мыло админу новый, вот и все
__________________
[SIZE]Зарабатывайте на показах RichMedia (1000 показов - до 80 руб.)[/SIZE]
EndyVelvet вне форума   Ответить с цитированием
Старый 12.08.2009, 00:23   #10
пусто
 
Аватар для Администрация 6-ой палаты
 
Регистрация: 28.10.2007
Сообщений: 3,115
Вес репутации: 370
Администрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущееАдминистрация 6-ой палаты - прекрасное будущее
По умолчанию
Цитата:
Сообщение от aship Посмотреть сообщение
Источник увидел на new2.ru.
Лично не проверял, у меня нет сайтов на WP, но у двух знакомых пароли сегодня сбросили.
проверил, ниче подобного не происходит

Цитата:
Пожалуйста, введите ваш логин или e-mail. Вы получите новый пароль по почте.
Извините, этот ключ неверен.
Добавлено через 35 секунд
Цитата:
Сообщение от CAESARARTS Посмотреть сообщение
просто сбрасывает пароль
даже ничего не сбрасывает, под старым можно снова зайти
__________________
Умное лицо - это еще не признак ума господа. Все глупости на земле делаются именно с этим выражением лица. Улыбайтесь господа, улыбайтесь.
Последний раз редактировалось Администрация 6-ой палаты; 12.08.2009 в 00:23. Причина: Добавлено сообщение
Администрация 6-ой палаты вне форума   Ответить с цитированием
Ответ
Страница 1 из 3 1 23

« Предыдущая тема | Следующая тема »
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Яндекс.Вебмастер колбасит конкретно maxroje Яндекс 21 06.08.2009 04:56
Wordpress vs DLE buxfactor Разработка и сопровождение сайтов 11 03.07.2009 12:31
Система конкретно глучит. Nark Ошибки при работе с системой 3 08.10.2008 12:05
Какой конкретно код прописывать? Pribytok Вопросы от новичков 1 10.05.2008 12:29
ууу блин, парюсь конкретно, подскажите, тупой я наверное )) wise Вопросы по работе системы 12 03.07.2007 01:06


Часовой пояс GMT +3, время: 16:02.

Обратная связь - SAPE.RU - Архив - Вверх