Hé toi,
ÊTRE EN SAVOIR!

35,000 infections ransomware par mois et vous croyez toujours que vous êtes protégé?

Inscrivez-vous pour recevoir:

  • alertes
  • nouvelles
  • gratuit comment-remove-guides

des menaces les plus récentes en ligne - directement à votre boîte de réception:


Programme de Bug Bounty WordPress Intéressé par XSS, RCE, Failles SQL

WordPress est l'une des plates-formes qui tombent souvent victimes d'attaques malveillantes. Heureusement, la société a décidé de joindre l'initiative bug bounty, maintenant adopté par plusieurs organisations dans leur tentative de faire face à la cybercriminalité. Les chercheurs en sécurité qui viennent à travers des vulnérabilités particulières dans WordPress seront attribués.


Programme Bug Bounty WordPress en Détails

Les bugs doivent être signalés dans les catégories suivantes:

  • WordPress (système de gestion de contenu)
  • BuddyPress (suite plugin réseaux sociaux)
  • bbPress (logiciel forum)
  • GlotPress (outil de traduction collaborative)
  • WP-CLI (l'interface de ligne de commande pour WordPress)

WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, et api.wordpress.org. En un mot, tous * .WordPress.org sont inclus dans le programme de primes bug ainsi.

L'équipe de sécurité derrière le programme de primes de bug WordPress est intéressé par:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Server Side Request Forgery (SSRF)
  • Exécution de code à distance (RCE)
  • injection SQL (Sqlık)

Les chercheurs qui ont l'intention de participer au programme devraient en tenir à quelques règles simples telles que:

  • Fournir des détails de la vulnérabilité, telles que les informations nécessaires pour reproduire et valider la vulnérabilité et une preuve de concept;
  • Éviter les violations de la vie privée, la destruction et la modification des données sur les sites en direct;
  • Donnez WordPress une quantité de temps raisonnable pour corriger la faille avant d'aller publique.

D'autre part, défauts trouvés dans les plugins WordPress ne seront pas tolérés, ainsi que des rapports sur les blogs WordPress piraté, Divulgation des ID utilisateurs, critères d'évaluation de l'API ouvertes au service des données publiques, la divulgation du numéro de version de WordPress, Force brute, DDoS, phishing, injection de texte, et un certain nombre d'autres questions similaires. Vulnérabilités avec un CVSS 3 score inférieur 4.0 ne seront pas tolérés trop, à moins qu'ils peuvent être combinés avec d'autres défauts pour obtenir un score plus élevé, l'équipe de primes de bug WordPress explique.


Plus tôt cette année, WordPress patché trois grandes failles de sécurité. Les failles pourraient permettre cross-site scripting et SQL injections, et un éventail d'autres questions suivantes. Les correctifs versions affectées WordPress 4.7.1 et plus tôt.

Plus tard, il est devenu connu que, à part les questions de sécurité vient de mentionner la plate-forme fixe un dangereux et secret vulnérabilité zero-day qui pourrait conduire à un accès à distance et à la suppression des pages WordPress. La raison pour laquelle ils n'ont pas annoncé publiquement le zero-day est qu'ils ne voulaient pas attirer les pirates dans l'exploiter.

Le bug a permis toutes les pages sur les sites vulnérables à modifier. Aussi, les visiteurs auraient pu être redirigés vers des sites malveillants menant à plus de complications liées à la sécurité. WordPress a reporté l'annonce publique pendant une semaine et est maintenant exhorte toutes les parties concernées à mettre à jour.

Milena Dimitrova

Un écrivain inspiré, axé sur la vie privée de l'utilisateur et les logiciels malveillants. Aime 'M.. 1984 «robot» et les craintes de.

Plus de messages - Site Internet

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...
S'il vous plaît, attendez...

Abonnez-vous à notre newsletter

Vous voulez être averti lorsque notre article est publié? Entrez votre adresse e-mail et le nom ci-dessous pour être le premier à savoir.