Vladimir Kolesnikov Меня зовут Владимир, я программист-фрилансер (PHP, Node.js, C/C++, Qt). Ещё занимаюсь администрированием серверов и техническим переводом. Крестиком вышивать не умею.
Июн 212013
 

Компания Checkmarx провела исследование пятидесяти самых популярных плагинов для и получила очень интересные результаты: более 20% плагинов содержат уязвимости, такие как инъекции SQL (SQL Injecton), подверженность межсайтовому скриптингу () или подделке межсайтовых запросов (CSRF), Remote/Local File Inclusion, обход директорий (Path Traversal). Эти плагины были загружены в общей сложности примерно 8 миллионов раз.

Семь из десяти самых популярных плагинов для электронной коммерции оказались уязвимыми к наиболее распространённым атакам; эти плагины были загружены примерно 1.7 милиионов раз. Что лично у меня теперь отбивает охоту покупать что-либо на сайте с WordPress. Читать далее »

Май 122013
 

Имеется сервер с большим количеством установленных блогов . В какой-то момент времени сервер облюбовали боты, нагло подбирающие админские пароли. При этом на блогах зарегистрировано много пользователей, которые тоже периодически ошибаются с паролями и даже упорствуют в своих заблуждениях.

Задача простая: отсечь ботов, при этом по минимуму затронуть пользователей. Читать далее »

Апр 252013
 

Обнаружена опасная брешь в популярных плагинах для кеширования, которая позволяет выполнить произвольный -код на целевой системе.

Исследователь ИБ Френк Гусен () опубликовал подробности уязвимости в популярных плагинах для кеширования страниц и , насчитывающих более 6 млн загрузок. Обнаруженная исследователем позволяет злоумышленнику внедрить и выполнить произвольный PHP код на целевой системе с привилегиями Web-сервера. Читать далее »

Дек 262011
 

WP Hashcash — очередной для борьбы со спамом. Принцип работы основывается на том, что -боты не умеют исполнять . Идея в том, что если пользователь открыл сайт из браузера, браузер выполнит некоторый хитрый код , и реузльтат работы этого скрипта будет передан назад на сервер в качестве доказательства «человечности» комментатора. Читать далее »

Авг 062011
 

Я давно получаю по несколько тысяч -комментариев в день (не то, что мне он мешает — система его отсеивает полностью автоматически) и, как следствие, давно думаю о том, как заставить этот служить людям.

Начиналось всё созданием чёрных списков типа DNSBL (сюда попадали -адреса спамеров) и URIBL (а сюда — рекламируемые домены), но на раскрутку очередного чёрного списка (а также на его поддержание) банально не было ни сил, ни времени.

Закончилось всё тем, что я прекратил заниматься велосипедостроительством, зарегистрировался на Stop Forum Spam и теперь отсылаю весь полученный спам туда. Хотя я не во всём согласен с SFS, положительным моментом является то, что списки спамеров мониторятся (пример 1, пример 2). Хотя Spamhaus о себе тоже много думает (блокировать почту на основании того, что с данного IP-адреса идёт форумный спам — бред), тем не менее, у Spamhaus больше шансов прикрыть спамера, чем у простого блоггера.

На этом лирическое отступление закончено, далее идёт рассказ о том, как автоматически сообщать об автоматическом спаме в , ибо чем больше отчетов они получат, тем быстрее спамер будет остановлен. Читать далее »

Фев 252011
 

В плагине Z-Vote 1.1 была обнаружена , позволяющая злоумышленнику выполнять произвольные запросы к базе данных ( типа «»).

Уязвимость существует из-за неправильного использования метода wpdb::prepare() и отсутствия проверки и очистки переменной $_GET['zvote'].

Уязвимость позволяет злоумышленнику изменять запросы к базе данных, выполнять произвольные запросы, читать или изменять конфиденциальную информацию. Читать далее »

Фев 132011
 

В плагине Register Plus 3.5.1 обнаружена , позволяющая провести удалённому пользователю -атаку.

Уязвимость связана с отсутствием экранирования специальных символов при выводе данных, полученных от пользователя, что позволяет злоумышленнику выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Судя по дате последнего изменения, автором больше не поддерживается; тем не менее, пользователи не оставляют попытки использования плагина с новыми версиями . Читать далее »

Фев 102011
 

Вчера мне довелось разбираться с тем, как работает в .

KSES (рекурсивный акроним от KSES Strips Evil Scripts) — подсистема в WordPress (изначально написанная Ulf Harnhammar), предназначенная для проверки и очистки текста, введённого пользователем: она позволяет задать список допустимых тэгов, стилей и протоколов и на основе этих параметров убрать из текста пользователя всё, что им не соответствует.

KSES является довольно стабильной подсистемой; что немаловажно, KSES работает. Работает — не трогай, а то сломаешь… Читать далее »

Фев 092011
 

В плагине Accept Signups 1.0 обнаружена , позволяющая провести удалённому пользователю -атаку.

Уязвимость связана с отсутствием обработки входных данных в параметре email, передаваемом файлу wp-content/plugins/accept-signups/accept-signups_submit., а также с отсутствием экранирования специальных символов при выводе данных в wp-content/plugins/accept-signups/accept-signups.php.

Уязвимость позволяет при помощи специально сформированного URL выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Читать далее »

Фев 092011
 

В плагине BezahlCode-Generator 1.0 обнаружена , позволяющая провести удалённому пользователю -атаку. связана с отсутствием обработки входных данных в параметрах gen_name, gen_account, gen_BNC, gen_amount, gen_reason в bezahlcode-generator/der_generator..

Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Читать далее »