Wulnerabilitatea din WordPress permite infractorilor sa acceseze panoul de control

Vulnerabilitatea permite atacatorilor sa intercepteze “HTTP сookie” utilizatorilor.




Yan Zhu, expert in cercetare al Electronic Frontier Foundation (EFF) a declarat ca blogurile, hostate pe site-ul WordPress, trimit fisiere “cookies” pentru a autentifica utilizatorul intr-o forma necriptata.

Cand utilizatorii WordPress acceseaza contul sau, serverele WordPress.com instaleaza fisiere “cookie” cu numele „wordpress_logged_in” in browserul utilizatorului, a scris Yan Zhu pe blogul sau. Ea a mentionat ca fisiere “cookie” pentru autentificare se trimit prin HTTP.

Infractorii pot intercepta “HTTP cookie” pentru autentificare prin conectarea la reteaua Wi-Fi identica cu utilizator, si utilizand pentru interceptarea informatiilor unele instrumente speciale, cum ar fi, de exemplu, Firesheep. Ca urmare, infractorii obtin posibilitatea de a adauga fisiere furate “cookie” in orice alt browser si sa primeasca acces neautorizat la contul victimei in WordPress. In plus, infractorul nu va trebui sa introduca alte date de logare. Vulnerabilitatea nu permite infractorului sa schimbe parola, astfel utilizatorul nu va sti, ca contul i-a fost spart.“HTTP cookie” nu are sesiune expirata, chiar si atunci cand utilizatorul iesa de pe blogul sau.

Folosind aceasta metoda de hacking, se poate vedea statistica blogului, posta si edita articole, precum si comenta alte profiluri in WordPress in numele victimei.

Ti-a placut acest articol?

Share This Post

Post Comment