Межсайтовый скриптинг в Register Plus

В плагине Register Plus 3.5.1 обнаружена , позволяющая провести удалённому пользователю -атаку.

Уязвимость связана с отсутствием экранирования специальных символов при выводе данных, полученных от пользователя, что позволяет злоумышленнику выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Судя по дате последнего изменения, автором больше не поддерживается; тем не менее, пользователи не оставляют попытки использования плагина с новыми версиями . Далее »

Автор: , опубликовано в: Безопасность, Плагины WordPress, комментариев: 2
13
Фев
2011

KSES в WordPress: можно ли проще?

Вчера мне довелось разбираться с тем, как работает в .

KSES (рекурсивный акроним от KSES Strips Evil Scripts) — подсистема в WordPress (изначально написанная Ulf Harnhammar), предназначенная для проверки и очистки текста, введённого пользователем: она позволяет задать список допустимых тэгов, стилей и протоколов и на основе этих параметров убрать из текста пользователя всё, что им не соответствует.

KSES является довольно стабильной подсистемой; что немаловажно, KSES работает. Работает — не трогай, а то сломаешь… Далее »

Автор: , опубликовано в: WordPress, комментариев: 23
10
Фев
2011

Межсайтовый скриптинг в плагине Accept Signups 0.1

В плагине Accept Signups 1.0 обнаружена , позволяющая провести удалённому пользователю -атаку.

Уязвимость связана с отсутствием обработки входных данных в параметре email, передаваемом файлу wp-content/plugins/accept-signups/accept-signups_submit., а также с отсутствием экранирования специальных символов при выводе данных в wp-content/plugins/accept-signups/accept-signups.php.

Уязвимость позволяет при помощи специально сформированного URL выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Далее »

Автор: , опубликовано в: Безопасность, Плагины WordPress, комментариев: 1
9
Фев
2011

Межсайтовый скриптинг в WordPress BezahlCode-Generator 1.0

В плагине BezahlCode-Generator 1.0 обнаружена , позволяющая провести удалённому пользователю -атаку. Уязвимость связана с отсутствием обработки входных данных в параметрах gen_name, gen_account, gen_BNC, gen_amount, gen_reason в bezahlcode-generator/der_generator..

Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Далее »

Автор: , опубликовано в: Безопасность, Плагины WordPress, комментариев: 1
9
Фев
2011

Блокировки транзакций InnoDB при удалении данных из таблицы

Ситуация: есть несколько физических почтовых серверов (PowerMTA), отсылающих более четырёх миллионов сообщений в сутки. Есть виртуальный сервер базы данных (причём не очень мощный), на котором крутится с ; в базу данных пишутся логи доставки/не доставки сообщений и ведётся статистика по -адресам, VMTA и доменам. Попутно выполняется классификация и анализ hard и soft bounces. База за день увеличивается примерно на 5 гигабайт. Часть логов недельной давности удаляется. Далее »

Автор: , опубликовано в: MySQL, комментариев: 2
5
Фев
2011

Автоматическая проверка репутации IP-адреса

Репутация -адреса — одна из очень важных составляющих, используемых для борьбы с почтовым спамом.

Письма приходят с IP-адресов, а репутация этих адресов может сказать, является ли данный адрес ответственным за рассылку спама или нет. По некоторым данным проверка репутации IP-адресов позволяет остановить порядка 80% спама.

Как следствие, компании, занимающиеся массовой рассылкой электронных писем, должны заботиться о поддержании хорошей репутации адресов своих почтовых серверов. Далее »

Автор: , опубликовано в: PHP, комментариев: 6
3
Фев
2011

Заголовки HTTP для обеспечения безопасности сайта

сайта — это бесконечная битва между веб-мастерами и хакерами. В </xssed> зарегистрировано около 40,000 сайтов, подверженных атакам . -атаки позволяют злоумышленникам красть cookie, личную информацию, взламывать аккаунты и многие другие вещи.

Существует множество способов для защиты сайта, но ни один из них не может гарантировать абсолютную безопасность. Как следствие, нужно использовать многоуровневую эшелонную зашиту для обеспечения безопасности сайта.

В данной статье будет показан один из вариантов защиты — основанный на использовании заголовков HTTP. Далее »

Автор: , опубликовано в: Безопасность, комментариев: 2
3
Янв
2011

WordPress, поиск и кириллица

Есть у одна неприятная особенность: при использовании красивых ссылок и их использовании при поиске кириллических (или любых не-ASCII) слов получается совсем не тот результат, который ожидается.

Например, есть такая ссылка:

http://blog.sjinks.pro/search/%D0%93%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D1%8F/

%D0%93%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D1%8F — это слово «Генерация», закодированное функцией urlencode().

Ожидается, что WordPress будет искать статьи со словом «генерация». Но, так как разработчики WordPress — американцы, они не предполагают, что существуют буквы кроме английских :-) Собственно, эта беда свойственна многим проектам с англоязычными авторами. Итак… Далее »

Автор: , опубликовано в: WordPress, комментариев: 6
2
Янв
2011

Hostkarma Monitoring

В рамках программы борьбы со склерозом. Далее »

Автор: , опубликовано в: Linux, комментариев: нет
30
Дек
2010

Capital P, Dang It!

Пару недель назад я заметил интересную особенность в : он автоматически заменяет на . Как оказалось, такое поведение существует в WordPress где-то с версии 3.0. Со временем приоритет фильтра замены изменился; что характерно, оба эти изменения прошли совершенно незаметно — не было никакого обсуждения в Trac. Далее »

Автор: , опубликовано в: WordPress, комментариев: 6
21
Дек
2010
«
»