Hallo du,
BE IN DER KNOW!

35,000 Ransomware-Infektionen pro Monat und Sie immer noch glauben, Sie sind geschützt?

Melden Sie sich für:

  • Warnungen
  • Nachrichten
  • frei, wie zu entfernen Führer

der neuesten Online-Bedrohungen - direkt in Ihren Posteingang:


Wordpress Bug Bounty Programm interessieren sich für XSS, RCE, SQL Flaws

Wordpress ist eine der Plattformen, die oft Opfer um böswillige Angriffe fallen. Zum Glück, das Unternehmen hat sich entschieden, beitreten der Bug Bounty Initiative, jetzt von mehreren Organisationen in ihrem Versuch, umarmte Cyber-Kriminalität zu konfrontieren. Sicherheitsexperten, die über bestimmte Schwachstellen in Wordpress kommen werden vergeben.


Wordpress Bug Bounty Programm in Einzelheiten

Bugs sollte in den folgenden Kategorien gekennzeichnet werden:

  • Wordpress (Content-Management-System)
  • Buddypress (Social-Networking-Plugin Suite)
  • bbPress (Forum-Software)
  • GlotPress (kollaborative Übersetzungstool)
  • WP-CLI (Befehlszeilenschnittstelle für Wordpress)

WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, und api.wordpress.org. In einer Nussschale, alle * .WordPress.org sind im Bug Bounty Programm enthalten sowie.

Das Sicherheitsteam hinter der Wordpress-Bug Bounty Programm interessiert ich:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Server Side Request Forgery (SSRF)
  • Remotecodeausführung (RCE)
  • SQL-Injektion (Sqlık)

Forscher, die an dem Programm teilnehmen wollen sollten einige einfache Regeln halten wie:

  • Bereitstellung von Einzelheiten der Verwundbarkeit, wie Informationen, die Verletzlichkeit und ein Proof of Concept zu reproduzieren und zu validieren;
  • Vermeiden Sie Verletzungen der Privatsphäre, Zerstörung und Veränderung von Daten auf Live-Websites;
  • Geben Sie Wordpress eine angemessene Menge an Zeit, um die Fehler zu korrigieren, bevor sie öffentlich.

Andererseits, in Wordpress-Plugins gefunden Fehler werden nicht toleriert, sowie Berichte über gehackt Wordpress-Blogs, Offenlegung von Benutzer-IDs, offene API Endpunkte öffentliche Daten dienen, Wordpress-Versionsnummer Offenlegung, Brute-Force, DDoS, Phishing, Text Injektion, und eine Reihe von anderen ähnlichen Problemen. Schwachstellen mit einem CVSS 3 Score niedriger als 4.0 wird nicht zu toleriert werden, es sei denn, sie mit anderen Fehlern kombiniert werden können, eine höhere Punktzahl zu erreichen, das Wordpress-Bug Bounty-Team erklärt.


Früher in diesem Jahr, Wordpress gepatcht drei große Sicherheitslücken. Die Mängel könnten für Cross-Site-Scripting und SQL-Injektionen erlauben, und eine Reihe von anderen nachfolgenden Fragen. Die Updates betroffen Wordpress-Versionen 4.7.1 und früher.

Später wurde bekannt, dass von den Sicherheitsfragen auseinander nur die Plattform erwähnte eine gefährliche und dann geheime Fest Zero-Day-Schwachstelle, die den Fernzugriff und zur Löschung von Wordpress-Seiten führen könnte. Der Grund, warum sie nicht öffentlich die Zero-Day bekannt geben, dass sie nicht Hacker in zu locken wollte es ausnutzen.

Der Fehler, alle Seiten auf anfällige Websites erlaubt werden geändert. Auch, Besucher haben könnte auf bösartige Websites umgeleitet, um mehr Sicherheit im Zusammenhang mit Komplikationen führen. Wordpress verschob die öffentliche Ankündigung für eine Woche und jetzt drängt alle Beteiligten zu aktualisieren.

Milena Dimitrova

Ein Schriftsteller inspiriert, auf die Privatsphäre der Nutzer und Schadsoftware konzentriert. Genießt «Mr.. Robot "und Ängste" 1984 ".

Mehr Beiträge - Webseite

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...
Warten Sie mal...

Abonniere unseren Newsletter

Möchten Sie benachrichtigt werden, wenn unsere Artikel veröffentlicht? Geben Sie einfach Ihre E-Mail-Adresse und den Namen unter den ersten sein, wissen.