Adana Forum

Bilgisayar Dünyası => internet => Konuyu başlatan: Mobese üzerinde 08 Ocak 2010, 17:04:49



Konu Başlığı: Wordpress Kullanıcılarına Uyarı ! Açık SeoPack 'te
Gönderen: Mobese üzerinde 08 Ocak 2010, 17:04:49
(http://www.plusturk.com/wp-content/uploads//wordpress.jpg)


Kişisel web site yani blog diye adlandırdığımız siteler için sık kullanılan WORDPRESS scriptinden bahsedeceğim.. Gayet kullanışlı ve tasarım bakımından her türlü içeriğe uyan bu script hemen hemen her internet kullanıcısı tarafından takip edilip, kullanılmaktadır..

Açığımız; Wordpress XSRF’dir..

Açığın oluşma sebebi; hemen hemen tüm wordpress kullanıcılarının kullandığı All in One SEO Pack eklentisidir.. Bu eklenti sayesinde bildiğiniz gibi siteniz; SEO’lu görünümü sağlamaktadır.

Wordpress’de " All in One SEO Pack " eklentisi seo ayarlarını yapmaya yarıyor. Form alanında uzaktan veri gönderimini engelleyecek, herhangi bir koruma yoktur. bizlerde bunu kullanarak: sisteme istediğimiz kodları eklenebilir.

Bir yorum ile saldırı gelebilir ?

"Merhaba
Adresinizi beğendim lakin içeriğinizle ilgili karalamalara şahit oldum, www..benimsitem.com/xx-hakkinda.html veya www.benimsitem.com/yy-hakkinda.html adreslerinden ulaşabilirsiniz.."

Bu yazıyı yorum olarak yolladıktan sonra admin; o linke tıkladıgı anda wordpress adresi; otomatik olarak kodlar işlenir.

Kişiye yorum yapmak zorunda değiliz, tanıdığımız biri de olabilir; MSN’den bu linki yollayıp admini istediğimiz linke tıklatırsak, sitesini deface etmiş sağlarız (şayet admin, wordpress’e login olduysa..)

Sizin için yazmamın sebebi; bu acık sayesinde siteleriniz deface edilebilir.. Bu yuzden en iyi önlem; wp-admin’e login olduktan sonra hiç bir linke tıklamamanız..