Баг в WordPress и уязвимость в плагине WooCommerce приводят к полной компрометации сайта
Недочет в системе управления привилегиями плагинов, в сочетании с уязвимостью в WooCommerce представляют опасность для сайто…
Тысячи сайтов на WordPress взломаны и содержат редиректы на фальшивую техподдержку
Специалисты компаний Sucuri и Malwarebytes выявили массовую компрометацию сайтов, работающих под управлением WordPress. Взло…
Опасный PHAR. Эксплуатируем проблемы десериализации в PHP на примере уязвимости в WordPress
В этой статье мы поговорим об особенностях уязвимостей десериализации данных в PHP, причем не простых, а реализуемых при помощи файлов архивов PHP — PHAR. Эта техника атаки может использовать безобидные, казалось бы, функции как опасные орудия эксплуатации. И превратить, например, SSRF в выполнение произвольного кода.
Публикация PoC-эксплоита для популярного WordPress-плагина породила волну массовых сканов
Атакующие сканируют интернет в поисках уязвимых установок плагина Duplicator для WordPress, так как в конце августа исследов…
Проблема PHP представляет опасность для сайтов на WordPress и не только
Специалист компании Secarma Labs обнаружил способ использования PHP-бага, связанного с десериализацией данных, против сайтов…
Удаленное удаление. Как захватить контроль над WordPress, заставив его стереть файл
В WordPress, самой популярной в мире системе публикации, была обнаружена серьезная уязвимость. Она позволяет в пару запросов удалить любой файл, доступный для записи пользователю, от которого работает PHP, а затем получить контроль над сайтом. В этой статье мы разберемся с причинами и посмотрим, как работает эксплуатация.
Вредоносная реклама распространяется через 10 000 взломанных сайтов на WordPress
Компания Check Point рассказала об обнаружении масштабной кампании по распространению вредоносной рекламы. Более 10 000 взло…
Внеплановое обновление для WordPress устранило две критические уязвимости
Разработчики WordPress выпустили внеочередное обновление для своей CMS, которое исправило две критических уязвимости и почти…
В WordPress нашли неисправленную уязвимость
Сотрудники компании RIPS раскрыли детали новой уязвимости в WordPress. Официального патча для этой проблемы пока нет, хотя р…
Вредонос «Баба Яга» обновляет взломанные WordPress-сайты
Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под у…
Разработчики WordPress отключили плагины производства Multidots из-за их небезопасности
Специалисты ThreatPress обнаружили, что e-commerce плагины производства компании Multidots содержат уязвимости и опасны для …
Хакеры научились устанавливать на сайты с WordPress плагины с бэкдорами
Злоумышленники используют плохо защищенные аккаунты WordPress.com и плагин Jetpack для установки плагинов с бэкдорами на раз…
Прессуем WordPress. Как работает новый метод «класть» сайты на WordPress
В WordPress, самой популярной CMS в мире, была найдена ошибка, которая позволяет вызывать отказ в обслуживании сайта, то есть DoS. Успешную эксплуатацию с легкостью возможно провести удаленно, и для этого не нужно обладать никакими правами в системе.
Вредоносный PHP-скрипт спамерского ботнета обнаружен на 5000 сайтов
Специалисты компании Proofpoint обнаружили, что спамерский ботнет Brain Food использует более 5000 скомпрометированных сайто…
Обновление для WordPress сломало функцию автоматических обновлений
Ранее на этой неделе мы предупреждали об опасном баге, который позволяет «уронить» практически любой сайт, работающий под уп…
DoS-уязвимость в WordPress позволяет «уронить» практически любой сайт, и патча для нее нет
Независимый исследователь обнаружил критическую уязвимость, которая представляет опасность для всех версий WordPress, вышедш…
Более 2000 сайтов на WordPress заражены кейлоггером и браузерным майнером
ИБ-специалисты обнаружили, что вредоносная кампания, начавшаяся еще весной 2017 года, продолжается, и к списку пострадавших …
Бэкдоры обнаружены еще в трех популярных плагинах для WordPress
Аналитики компании Wordfence обнаружили бэкдоры в составе еще трех плагинов для WordPress.
Сотни сайтов на WordPress используют плагины с бэкдорами, обнаруженными три года назад
Уже давно специалисты обнаружили подозрительный код в составе сразу 14 плагинов для WordPress. И хотя плагины были удалены и…
Зафиксированы массовые брутфорс-атаки на WordPress. Неизвестные атакуют 190 000 сайтов в час
Аналитики компании Wordfence предупредили о самой мощной волне атак на сайты, работающие под управлением WordPress, которую …
Бэкдор обнаружен в плагине Captcha для WordPress, установленном на 300 000 сайтов
Популярный плагин для WordPress, насчитывающий более 300 000 установок, недавно сменил владельца, и после этого в его состав…
Вредонос Wp-Vcd распространяется через «пиратские» темы для WordPress
Вредоносная кампания, чьей главной мишенью являются сайты на базе WordPress, напрямую связана с распространением «пиратских»…
Кейлоггер обнаружен на 5500 сайтов, работающих под управлением WordPress
Специалисты компании Sucuri предупреждают о распространении вредоносных скриптов, ворующих данные пользователей и маскирующи…
Приготовься к инъекции. Раскручиваем уязвимости в WordPress, препарировав метод prepare
WordPress — самая популярная CMS в мире. На ней работает от четверти до трети сайтов, и уязвимости в ней находят частенько. На этот раз мы разберем логическую недоработку, которая позволяет проводить широкий спектр атак — от обхода авторизации и SQL-инъекций до выполнения произвольного кода. Добро пожаловать в удивительный мир инъекций в WordPress!
В популярном WordPress-плагине Formidable Forms найдены и исправлены критические баги
Исследователь обнаружил сразу несколько уязвимостей в популярном плагине Formidable Forms, чье суммарное количество активных…
В WordPress устранена опасная уязвимость, позволявшая осуществлять SQL-инъекции
Разработчики WordPress представили версию 4.8.3, в которой был устранен опасный баг, благодаря которому через плагины и темы…
Серверы WordPress, Joomla и JBoss взламывают и заставляют майнить Monero
Специалисты IBM X-Force подсчитали, что количество атак на корпоративные сети с целью майнинга криптовалют возросло в шесть …
В плагине Display Widgets, который уже трижды удаляли с WordPress.org, в итоге нашли бэкдор
Специалисты по информационной безопасности рассказали интересную историю, произошедшую с популярным WordPress-плагином Displ…
Как обмануть почтальона. Используем почтовик Exim, чтобы выполнить произвольный код на сайтах с WordPress
Привет! Добро пожаловать в новую постоянную рубрику «Эксплоиты Давида Голунского». :) Это шутка лишь отчасти: в прошлом году Давид обнаружил интересную уязвимость и до сих пор продолжает радовать нас разными способами ее эксплуатации. Быть может, кому-то дыра в PHPMailer уже набила оскомину, но если ты хочешь шаг за шагом проследить ее эксплуатацию и пополнить свой арсенал новыми трюками, то оставайся с нами!
Хакеры «охотятся» на незавершенные установки WordPress
Специалисты Wordfence обнаружили крупную волну атак, направленную на WordPress-сайты, происшедшую в мае-июне 2017 года.
Разработчики WordPress объявили о запуске собственной программы bug bounty
Популярнейшая CMS WordPress запускает собственную программу вознаграждения за уязвимости на HackerOne.
0-day в WordPress позволяет сбрасывать чужие пароли, и патча пока нет
Исследователь раскрыл подробности об опасной уязвимости WordPress, которую разработчики не могут устранить много месяцев.
Тысячи роутеров используются для взлома сайтов на WordPress
Специалисты Wordfence обнаружили, что уязвимые роутеры используются для брутфорса сайтов, работающих под управлением Wordpre…
Обзор эксплоита: множественные XSS и отказ в обслуживании через CSRF в WordPress < 4.7.3 (видео)
В WordPress версий до 4.7.3 возможен межсайтовый скриптинг из-за отсутствия проверки пользовательских данных, а именно ID3-тегов в загружаемых аудиофайлах. Также отсутствует ограничение на количество загружаемых URL и размер файлов, что открывает возможность для атак типа «отказ в обслуживании».
Обзор эксплоитов #217. Уязвимости в WordPress, Bitbucket, MyBB и библиотеке GMP (GNU Multi-Precision) в PHP
В этом выпуске я расскажу об ошибке в десериализаторе объектов GMP в PHP, об уязвимости в сервере Bitbucket, которая позволяет, минуя авторизацию, попасть в админку. Не обошли стороной и уязвимость в популярной CMS WordPress. Эксплуатация найденного бага позволяет изменять содержимое любой записи или страницы.
Троян Sathurbot распространяется через торренты и компрометирует сайты на WordPress
Специалисты ESET обнаружили трояна Sathurbot, который заражает машины жертв, а после устраивает брутфорс-атаки на Wordpress …
WordPress-плагин NextGEN Gallery уязвим перед SQL-инъекциями и установлен более 1 млн раз
Специалисты компании Sucuri обнаружили критическую уязвимость в популярном плагине для Wordpress.
Атаки на уязвимость в WordPress REST API используются для установки бэкдоров
Массовые атаки на свежую уязвимость в WordPress не ограничились одними только дефейсами.
Массовый дефейс WordPress сайтов продолжается, а уведомления Google пугают пользователей
Хакеры продолжают атаковать новую критическую уязвимость в WordPress. Взломано уже более 1,5 млн страниц.
Более 100 000 сайтов на WordPress были атакованы через свежую критическую уязвимость
В последнем обновлении WordPress был устранена опасная 0-day уязвимость. Теперь хакеры взяли баг на вооружение.
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
450 р.
на месяц
на месяц
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире