Casa > Cyber ​​Notizie > Programma Bug Bounty di WordPress Interessato a XSS, RCE, difetti SQL
CYBER NEWS

WordPress Bug Bounty Programma piacciono XSS, RCE, difetti SQL

WordPress è una delle piattaforme che spesso cadono vittime di attacchi dannosi. Per fortuna, l'azienda ha deciso di aderire l'iniziativa bug bounty, ora abbracciata da più organizzazioni nel loro tentativo di affrontare il crimine informatico. I ricercatori di sicurezza che incontrano particolari vulnerabilità in WordPress saranno assegnati.


WordPress programma Bug Bounty in dettagli

Bugs devono essere segnalati nelle seguenti categorie:

  • WordPress (sistema di gestione dei contenuti)
  • BuddyPress (suite di plug-in social networking)
  • bbPress (software del forum)
  • GlotPress (strumento di traduzione collaborativa)
  • WP-CLI (interfaccia a riga di comando per WordPress)

WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, e api.wordpress.org. In poche parole, tutti * .WordPress.org sono inclusi nel programma di taglie bug pure.

Il team di sicurezza dietro il programma bug bounty WordPress è interessato a:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Server Request Forgery Side (SSRF)
  • L'esecuzione di codice remoto (RCE)
  • SQL Injection (Sqlık)

I ricercatori che hanno intenzione di partecipare al programma devono attenersi ad alcune regole semplici come:

  • Fornire i dettagli della vulnerabilità, come ad esempio informazioni necessarie per riprodurre e convalidare la vulnerabilità e un Proof of Concept;
  • Evitare violazioni della privacy, distruzione e modifica dei dati in tempo reale su siti;
  • Dare WordPress un ragionevole lasso di tempo per correggere il difetto prima di andare pubblico.

D'altronde, difetti trovati in WordPress plugin non saranno tollerate, nonché rapporti sul blog WordPress hacked, divulgazione di ID degli utenti, endpoint API aperti servono dati pubblici, il numero di versione di WordPress divulgazione, forza bruta, DDoS, phishing, iniezione di testo, e una serie di altri problemi simili. Le vulnerabilità con CVSS 3 punteggio inferiore a 4.0 non saranno tollerati troppo, a meno che non possono essere combinati con altri difetti per ottenere un punteggio più alto, il team di WordPress bug bounty spiega.


All'inizio di quest'anno, WordPress rattoppato tre principali vulnerabilità di sicurezza. I difetti potrebbero consentire il cross-site scripting e SQL iniezioni, e una serie di altre questioni successive. Le correzioni versioni di WordPress colpite 4.7.1 e precedenti.

Più tardi si è saputo che a parte i problemi di sicurezza appena citato la piattaforma fissa una vulnerabilità pericolosa e quindi secret zero-day che potrebbe portare ad accesso remoto e la cancellazione di pagine WordPress. Il motivo per cui non ha annunciato pubblicamente il giorno zero è che essi non volevano attirare gli hacker in sfruttarla.

Il bug ha permesso tutte le pagine di siti web vulnerabili da modificare. Anche, i visitatori avrebbero potuto essere reindirizzati a siti dannosi che portano a ulteriori complicazioni relative alla sicurezza. WordPress ha rinviato l'annuncio pubblico per una settimana e sta ora sollecitando tutti i soggetti coinvolti per aggiornare.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo