0
Kayıt Ol

Wordpressçiler Dikkat (Güvenlik Açığı)

81

4.691

  • 31-05-2009, 13:43:43
    #55
    papagan33
    papagan33
    teknohaberci hocam bu eklentinin adını değiştiriniz sadece kısa ve öz


    BilgeAdamGenTR adlı üyeden alıntı: mesajı görüntüle
    şu açığı paylaşmayın arkadaşlar yaaa
    adamın moralinide bozmayın.
    Açık var diyorum size ok
    Bazı arkadaşlarımızda bunu teyit etti daha ne uzatıyorsunuz?
    XRF acıgı var kapatılecegım dıyen varsa tmm ona gereklı bılgılerı
    expolıtlerı vereyım ancak gelıpte buradan dokumanı alıp baskalarına hackercılık yapmasın kımse.
    Makale siteleri sizleride uyarıyorum sitelerinizde acıklar tek tek uyarsam konularınızın altında sıtemızı kotuluyor dersınız ancak acık o reklam kodlarını koydukları yerlere js trojen bıle koyulabılır.
    eSinerji.org burasıda bır makale sıtesı bana aıt ve sadece adsense reklamları yayınlanıyor. Nedeni ise açık kapı bırakmamak kullanıcılarımızın şifre güvenliğini korumaktır.
    Linklere bir süre tıklamayın makale sitelerinede girmeyin benden size tavsiye. İsteyen takar isteyen takmaz.
  • 31-05-2009, 13:55:27
    #56
    sspawnn
    sspawnn
    Ahmet Kakıcı'nın anlattığı yolu uyguladım şimdilik ben. @AhmetTT test ettiniz mi?
  • 31-05-2009, 13:58:40
    #57
    papagan33
    papagan33
    hocam daha açık söz konusu o denilenleri uygulayınız ama halen açık var duyumlarıma göre
  • 31-05-2009, 14:02:15
    #58
    sspawnn
    sspawnn
    Sanırım yeni versiyon çıkana kadar etkisizleştirmek en doğrusu olacak. Teşekkürler herkese. Bir de biri eklentiyi yapan arkadaşa anlatsa olayları süper olur
  • 31-05-2009, 14:04:20
    #59
    avenue
    avenue
    @ahmeTT 'nin yöntemi işe yarıyor. Bende benzer şekilde uğraşıyordum benden önce tamamlamış.

    Bu yöntemle All in Seo ayarları güncellenmiyor. Eklentinin kendi güncellemesi çıkana kadar işimizi görür.

    Konuyu fazla uzattık, çözüm de bulundu sonunda. Herkes için Güvenli Günler ~ dilerim..
  • 31-05-2009, 14:09:42
    #60
    papagan33
    papagan33
    avenue hocam ahmett arkadaşımın verdiği bilgi doğru teşekkür ederim ama halen açık var deniliyor.
  • 31-05-2009, 14:14:18
    #61
    BilgeAdamGenTR
    BilgeAdamGenTR
    başka eklentılerdede benzer acıklar mevcut arkadaslar butun eklentı klasorlerınızın adını degıstrerek kullanın
  • 31-05-2009, 17:09:53
    #62
    ahmeTT
    ahmeTT
    CW'de de okuduğum bu mevzu hakkında ufak bir bilgi vereyim.
    All-in-one-seo-pack eklentisi yönetici panelindeki formu doldurup gönderdiğinizde varolan ayarları güncelliyor. Yönetici yetkisine sahip birinin yönetim panelinden bunu yapması da gayet normal. Ancak bu form herhangi bir siteden post edildiğinde eğer post eden kişi yönetici haklarına sahip biriyse hangi siteden geldiğini kontrol etmeden işleme koyuyor.

    Yönetici paneline giriş yapmış kişiler herhangi bir sayfadan direk kendi sitelerine veri post ettiklerinde ise bu güvensiz yöntemden dolayı sitelerinde istenmeyen bir güncelleme yapılıyor.

    Korunmak ise oldukça basit. Yönetici panelindeki forma hidden/gizli bir değer ekleyerek bunu post edildiği kod bloğundan kontrol etmek yeterlidir. İsterseniz sabit, isterseniz değişken bir değer girin pek de farketmez. Benim sitemde anlattığım yöntemde ise wordpress'in bu işler için kullandığı nonce değişkenini kullanılıyor.

    Bu açık sadece bu eklentiye özel bir açık da değil. Kurulu olan eklentilerinizde bu çeşit bir kontrol yok ise aynı şekilde zarar görebilirsiniz.

    Üstteki cümle biraz karamsar bir tablo çizdi ama şunu unutmayın ki açıktan zarar görmeniz için sizin sitenize özel olarak hazırlanmış bir saldırı olması şart. Yani bir xsrf sayfası hazırlayıp bunu her ziyaret eden blog kullanıcıları (admin seviyisinde) bu açıktan etkilenmez.
  • 31-05-2009, 20:41:04
    #63
    sergenyapim
    sergenyapim
    ahmeTT adlı üyeden alıntı: mesajı görüntüle
    CW'de de okuduğum bu mevzu hakkında ufak bir bilgi vereyim.
    All-in-one-seo-pack eklentisi yönetici panelindeki formu doldurup gönderdiğinizde varolan ayarları güncelliyor. Yönetici yetkisine sahip birinin yönetim panelinden bunu yapması da gayet normal. Ancak bu form herhangi bir siteden post edildiğinde eğer post eden kişi yönetici haklarına sahip biriyse hangi siteden geldiğini kontrol etmeden işleme koyuyor.

    Yönetici paneline giriş yapmış kişiler herhangi bir sayfadan direk kendi sitelerine veri post ettiklerinde ise bu güvensiz yöntemden dolayı sitelerinde istenmeyen bir güncelleme yapılıyor.

    Korunmak ise oldukça basit. Yönetici panelindeki forma hidden/gizli bir değer ekleyerek bunu post edildiği kod bloğundan kontrol etmek yeterlidir. İsterseniz sabit, isterseniz değişken bir değer girin pek de farketmez. Benim sitemde anlattığım yöntemde ise wordpress'in bu işler için kullandığı nonce değişkenini kullanılıyor.

    Bu açık sadece bu eklentiye özel bir açık da değil. Kurulu olan eklentilerinizde bu çeşit bir kontrol yok ise aynı şekilde zarar görebilirsiniz.

    Üstteki cümle biraz karamsar bir tablo çizdi ama şunu unutmayın ki açıktan zarar görmeniz için sizin sitenize özel olarak hazırlanmış bir saldırı olması şart. Yani bir xsrf sayfası hazırlayıp bunu her ziyaret eden blog kullanıcıları (admin seviyisinde) bu açıktan etkilenmez.
    Eğer sayfanda yazılanlar gerekli işlevi görüyorsa yaptım aynısını bakalım.. +rep verdim.