Xakep #305. Многошаговые SQL-инъекции
WordPress — одна из наиболее популярных CMS в мире, под управлением которой работают порядка 28% из десяти миллионов самых посещаемых сайтов мира. При этом в WordPress и его плагинах регулярно обнаруживают уязвимости разной степени тяжести, но полноценной программы вознаграждения за уязвимости у WordPress до недавнего времени не было.
В официальном блоге компании сообщается, что фактически весь последний год разработчики WordPress поддерживали приватную bug bounty программу, выплатив исследователям более $3700 за различные баги. Теперь же программа вознаграждения станет доступна всем желающим, так как WordPress наконец-то будет представлен на HackerOne.
Bug bounty программа включает в себя все проекты компании, включая WordPress, BuddyPress, bbPress, GlotPress, WP-CLI, а также сайты WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org и так далее.
Согласно официальному сообщению, к рассмотрению будут приниматься практически любые уязвимости, которые могут повлиять на безопасность пользователей, в том числе SQL-инъекции, RCE- (Remote Code Executions) и XSS-баги (Cross Site Scripting).