Clik here to view.
WordPress, XSS y CSRF – Parte 1
Puesto que ya está disponible la Release Candidate 2 de WordPress 2.1.3 y 2.0.10, paso a comentar, como lo había prometido, los detalles del fallo de seguridad que afecta a todas las versiones menores...
View ArticleWordPress, XSS y CSRF – Final
Puesto que el anterior quiz ya fue resuelto, pongo la prueba de concepto que permite sobreescribir cualquier archivo del tema que esté usando una determinada instalación de WordPress (el que viene por...
View ArticleActualización de seguridad: WP-Cache 2.1.1
Este último fin de semana, Ricardo Galli liberó una nueva versión que corrige unos problemas de seguridad presente en su popular plugin WP-Cache. Estos problemas se presentaban porque en versiones...
View ArticleBug XSS en ASP.NET 2.0 y video sobre XSS, CSRF, Ajax Hacking
Para los interesados: Semanas atrás reportaron un bug XSS en ASP.NET 2.0, básicamente es el mismo problema que comentaba en la entrada ValidateRequest no es suficiente para protegernos de ataques XSS....
View ArticleXSS en el tema Kubrick de WordPress
Kubrick, tema por omisión de WordPress, es vulnerable a ataques CSRF, esto tiene como consecuencia que un atacante pueda almacenar HTML arbitrario en sus opciones, si alguno de ustedes usa este tema,...
View ArticleClik here to view.
Web 2.0 Hacking, Defending Ajax & Web Services
El título hace referencia a una presentación de Shreeraj Shah hecha en el evento HITB 2007 - Dubai. Este material se complenta bastante bien con el que puse la semana anterior sobre XSS, CSRF y Ajax...
View ArticleClik here to view.
Múltiples vulnerabilidades (Cross Site Scripting – Cross Site Request...
Existen múltiples fallos de tipo XSS y CSRF que afectan tanto la versión en desarrollo como a toda la rama 2.x (2.0.x, 2.1.x, 2.2) de WordPress. A diferencia de los reportes anteriores donde ponía a...
View ArticlePHP IDS (Intrusion Detection System)
Mario.Heiderich y Christian vienen desarrollando un sistema de detección de intrusos en PHP 5, el cual funciona en base a un conjunto de filtros definidos en un archivo XML, que detectan posibles...
View Articlewp-db-backup: ¡tus datos son míos!
Ya es casi un año desde que tomamos la decisión de no utilizar wp-db-backup en este blog, esta decisión principalmente se debió a que alguien logró acceder a los paneles de administración de varios...
View ArticleMúltiples vulnerabilidades en la última version estable de WordPress MU
WordPress MU, es una versión de WordPress que soporta múltiples blogs. Tanto WordPress como WordPress MU comparten gran parte de código y por lo tanto, es lógico que casi siempre sufran los mismos...
View Article