Hjem > Cyber ​​Nyheder > WordPress Bug Bounty -program Interesseret i XSS, RCE, SQL Fejl og mangler
CYBER NEWS

WordPress Bug Bounty Program Interesseret i XSS, RCE, SQL Fejl og mangler

WordPress er et af de platforme, der ofte bliver ofre for ondsindede angreb. Heldigvis, selskabet har besluttet at tilslutte bug bounty-initiativet, nu omfavnet af flere organisationer i deres forsøg på at konfrontere cyberkriminalitet. Sikkerhed forskere, der kommer på tværs særlige sårbarheder i WordPress vil blive tildelt.


WordPress Bug Bounty Program i detaljer

Bugs burde blive markeret i følgende kategorier:

  • WordPress (content management system)
  • BuddyPress (sociale netværk plugin suite)
  • bbPress (forum software)
  • GlotPress (collaborative oversættelse værktøj)
  • WP-CLI (kommandolinjegrænseflade for WordPress)

WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, og api.wordpress.org. I en nøddeskal, alle * .WordPress.org indgår i bug bounty program samt.

Sikkerheden holdet bag WordPress bug bounty program er interesseret i:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Server Side Request Forgery (SSRF)
  • Fjernbetjening af kode (RCE)
  • SQL Injection (Sqlık)

Forskere, der planlægger at deltage i programmet bør holde sig til nogle enkle regler såsom:

  • Forudsat detaljer om sårbarheden, såsom nødvendige oplysninger til at reproducere og validere sårbarhed og et Proof of Concept;
  • Undgå krænkelser af privatlivet, ødelæggelse og ændring af data om levende steder;
  • Giv WordPress en rimelig tid til at rette fejlen før de går offentlige.

På den anden side, fejl fundet i WordPress plugins vil ikke blive tolereret, samt rapporter om hacket WordPress blogs, videregivelse af brugernes id'er, åbne API-endepunkter betjener offentlige data, WordPress versionsnummer afsløring, brute force, DDoS, phishing, tekst injektion, og en række andre lignende problemer. Sårbarheder med en CVSS 3 scorer lavere end 4.0 vil ikke blive tolereret for, medmindre de kan kombineres med andre fejl for at opnå en højere score, WordPress bug bounty hold forklarer.


Tidligere i år, WordPress lappet tre store sikkerhedshuller. Fejlene kan tillade cross-site scripting og SQL-injektioner, og en række andre efterfølgende spørgsmål. De rettelser berørte WordPress versioner 4.7.1 og tidligere.

Senere blev det kendt, at bortset fra de sikkerhedsspørgsmål lige nævnt platformen fast en farlig og derefter-hemmeligt zero-day sårbarhed, der kan føre til fjernadgang og til sletning af WordPress sider. Grunden til at de ikke offentligt annoncere zero-day er, at de ikke ønskede at lokke hackere i at udnytte det.

Fejlen tilladt alle sider på sårbare hjemmesider, der skal ændres. Også, besøgende kunne er blevet omdirigeret til ondsindede websteder, der fører til flere sikkerhedsrelaterede komplikationer. WordPress udskudt den offentlige meddelelse i en uge og opfordrer nu alle involverede til at opdatere.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig