Kusurlu CSRF Koruması - WP CSRF Exploit | HuseyinGurkan.com
 
reCaptcha - Ücretsiz Captcha - ASP.NET C# Örneği
Sony PSPhone ve PSP 2 - Oyuna mı geliyoruz?

14ŞubKusurlu CSRF Koruması - WordPress CSRF Exploit

CSRF (Cross-site request forgery), doğrudan hacking yöntemi olmamasına karşın, sosyal mühendislik teknikleriyle harmanlanarak, kolaylıkla hack olayına dönüştürülebiliyor. WP CSRF koruması, kötü amaçlar için kullanılabiliyormuş. Bu açığı ve korunma yolunu buradan öğrenebilirsiniz.

Nasıl işliyor?

Sitenize koyduğunuz şu exploitin sayesinde, sayfanız arka planda (iframede), kurban sitenin wp-admin sayfasına yönleniyor ve admin hesabının email adresini ve şifresini, sizin belirlediğiniz email adresi ve şifre ile değiştiriyor.

Ne gerekiyor?

1- En önemlisi: Sosyal mühendislik yetenekleri
2- Default ayarlarla kurulmuÅŸ bir WP ve standart admin GUI template‘i
3- WP‘i olan ve bunda oturum açıp, sizin sayfanıza gelen kurban.

Nasıl Korunurum?

Resmi bir yama olmamasına karşın şu an için tek çözüm:

../includes/functions.PHP” dosyasındaki wp_nonce_ays() fonksiyonunu aÅŸağıdaki fonksiyon ile deÄŸiÅŸtirmek.

  1. function wp_nonce_ays($action) {
  2. global $pagenow, $menu, $submenu, $parent_file, $submenu_file;
  3. $title = __(‘WordPress Nonce Error ‘);
  4. wp_die(‘WordPress Nonce Error’, $title);
  5. }

Teşekkürler Ferruh :D

EkleBunu Sosyal Paylaşım Butonu
PicLens Lite ile Slayt Şov PicLensButton Kusurlu CSRF Koruması - WordPress CSRF Exploit
Güvenlik. içinde

Bu yazının beslemesi Trackback Adresi
  1. Yorumsuz

Cevapla


reCaptcha - Ücretsiz Captcha - ASP.NET C# Örneği
Sony PSPhone ve PSP 2 - Oyuna mı geliyoruz?


Son Yorumlar

Twitter