WordPress Bug Bounty Program Interesseret i XSS, RCE, SQL Fejl og mangler

WordPress er et af de platforme, der ofte bliver ofre for ondsindede angreb. Heldigvis, selskabet har besluttet at tilslutte bug bounty-initiativet, nu omfavnet af flere organisationer i deres forsøg på at konfrontere cyberkriminalitet. Sikkerhed forskere, der kommer på tværs særlige sårbarheder i WordPress vil blive tildelt.


WordPress Bug Bounty Program i detaljer

Bugs burde blive markeret i følgende kategorier:

  • WordPress (content management system)
  • BuddyPress (sociale netværk plugin suite)
  • bbPress (forum software)
  • GlotPress (collaborative oversættelse værktøj)
  • WP-CLI (kommandolinjegrænseflade for WordPress)

WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, og api.wordpress.org. I en nøddeskal, alle * .WordPress.org indgår i bug bounty program samt.

Sikkerheden holdet bag WordPress bug bounty program er interesseret i:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Server Side Request Forgery (SSRF)
  • Fjernbetjening af kode (RCE)
  • SQL Injection (Sqlık)

Forskere, der planlægger at deltage i programmet bør holde sig til nogle enkle regler såsom:

  • Forudsat detaljer om sårbarheden, såsom nødvendige oplysninger til at reproducere og validere sårbarhed og et Proof of Concept;
  • Undgå krænkelser af privatlivet, ødelæggelse og ændring af data om levende steder;
  • Giv WordPress en rimelig tid til at rette fejlen før de går offentlige.

På den anden side, fejl fundet i WordPress plugins vil ikke blive tolereret, samt rapporter om hacket WordPress blogs, videregivelse af brugernes id'er, åbne API-endepunkter betjener offentlige data, WordPress versionsnummer afsløring, brute force, DDoS, phishing, tekst injektion, og en række andre lignende problemer. Sårbarheder med en CVSS 3 scorer lavere end 4.0 vil ikke blive tolereret for, medmindre de kan kombineres med andre fejl for at opnå en højere score, WordPress bug bounty hold forklarer.


Tidligere i år, WordPress lappet tre store sikkerhedshuller. Fejlene kan tillade cross-site scripting og SQL-injektioner, og en række andre efterfølgende spørgsmål. De rettelser berørte WordPress versioner 4.7.1 og tidligere.

Senere blev det kendt, at bortset fra de sikkerhedsspørgsmål lige nævnt platformen fast en farlig og derefter-hemmeligt zero-day sårbarhed, der kan føre til fjernadgang og til sletning af WordPress sider. Grunden til at de ikke offentligt annoncere zero-day er, at de ikke ønskede at lokke hackere i at udnytte det.

Fejlen tilladt alle sider på sårbare hjemmesider, der skal ændres. Også, besøgende kunne er blevet omdirigeret til ondsindede websteder, der fører til flere sikkerhedsrelaterede komplikationer. WordPress udskudt den offentlige meddelelse i en uge og opfordrer nu alle involverede til at opdatere.

Milena Dimitrova

En inspireret forfatter, fokuseret på brugernes privatliv og skadeligt software. Nyder 'Hr. Robot "og frygt« 1984.

Flere indlæg - Websted

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.