Tag Archive vulnerabilidad

ByDrok3r

WordPress NEL (No External Links) Plugin | Vulnerable a XSS

WordPress NEL (No External Links) Plugin | Vulnerable a XSS

 

Fue reportada una vulnerabilidad en el plugin NEL (No External Links) de WordPress. Este plugin esta diseñado para los especialistas quienes venden en sus sitio web, el cual entre sus funciones tiene:

  • Estadísticas de clics salientes
  •  Enmascaramiento FullLink
  • Re-direccionamiento personalizado
  • Codificación en base64

Entre muchas otras. Durante un análisis de seguridad con ThunderScan por parte de DefenseCode se ha descubierto que el plugin para WordPress es vulnerable al XSS en su versión 3.5.17 e inferiores.

El proveedor del plugin resolvió los problemas de seguridad, sin embargo existen muchos sitios que aun no han actualizado, esto los pone en riesgo. La vulnerabilidad se encuentra presente en la version 3.5.17 e inferiores, actualmente el plugin esta en su versión 3.5.19.

XSS EJEMPLO:

Function:     echo
  Variable:     $_REQUEST['date1'], $_REQUEST['date2']
  Sample URL:  
http://Drok3r_web.com/wp-admin/options-general.php?page=wp-noexternallinks%2Fwp-noexternallinks-options.php&action=stats&date1="><script>alert(1)</script>
  Sample URL:  
http://Drok3r_web.com/wp-admin/options-general.php?page=wp-noexternallinks%2Fwp-noexternallinks-options.php&action=stats&date2="><script>alert(1)</script>
  File:         wp-noexternallinks\wp-noexternallinks-options.php
    ---------
    125    $date1 = $_REQUEST['date1'];
    ...
    129    $date2 = $_REQUEST['date2'];
    ...
    134    <input type="text" name="date1" value="<?php echo $date1;
?>"> <?php _e('to', 'wp-noexternallinks'); ?>
    135    <input type="text" name="date2" value="<?php echo $date2;
?>"><input type="submit"
    ---------
Bycarenki

Terminología del Ethical Hacking

Comprender y poder definir la terminología es una parte importante de la responsabilidad de un CEH. Esta terminología es la forma los profesionales de seguridad como hackers éticos se comunican.

Este “lenguaje” del hacking es necesario como base de los conceptos de capítulos posteriores. A continuación presentaremos una serie de términos con los cuales requiere estar familiarizado para presentar el examen de certificación CEH:

Read More

y aquí qué