Comentarios en: Sql Injection en Wordpress http://www.buayacorp.com/archivos/sql-injection-en-wordpress/ Diseño y Programación Fri, 05 Mar 2010 16:22:47 -0500 http://wordpress.org/?v=3-bc-1.0 hourly 1 Por: alex http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-23921 alex Mon, 17 Sep 2007 18:12:24 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-23921 Marce, dependiendo la complejidad de la contraseña se pueden utilizar técnicas de fuerza bruta para intentar obtener el valor que genera ese hash, pero para el caso de WordPress no es necesario saber el valor de la contraseña, puesto que sólo necesitas generar las cookies adecuadas para el sitio afectado. Marce, dependiendo la complejidad de la contraseña se pueden utilizar técnicas de fuerza bruta para intentar obtener el valor que genera ese hash, pero para el caso de WordPress no es necesario saber el valor de la contraseña, puesto que sólo necesitas generar las cookies adecuadas para el sitio afectado.

]]> Por: Marce http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-23838 Marce Mon, 17 Sep 2007 01:00:23 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-23838 Una pregunta tal vez tonta: el exploit obtiene el id del usuario y el hash md5 del password, pero de todas formas no se puede obtener la contraseña a partir del hash md5 y por lo que vi hasta las cookies tienen doble hash. De que forma alguien podría obtener el password o entrar de alguna forma al sistema teniendo solamente el hash md5 de la contraseña? Esa es la duda que me queda. Desde ya gracias por la respuesta. Una pregunta tal vez tonta: el exploit obtiene el id del usuario y el hash md5 del password, pero de todas formas no se puede obtener la contraseña a partir del hash md5 y por lo que vi hasta las cookies tienen doble hash. De que forma alguien podría obtener el password o entrar de alguna forma al sistema teniendo solamente el hash md5 de la contraseña? Esa es la duda que me queda. Desde ya gracias por la respuesta.

]]> Por: [SSD] Security & Development Blog » SQL Injection en Wordpress 2.2 + exploit incluido http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-11237 [SSD] Security & Development Blog » SQL Injection en Wordpress 2.2 + exploit incluido Thu, 07 Jun 2007 05:47:45 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-11237 [...] comentaba en una entrada anterior, la versión 2.2 y la versión en desarrollo de este CMS también son vulnerables a SQL Injection, [...] [...] comentaba en una entrada anterior, la versión 2.2 y la versión en desarrollo de este CMS también son vulnerables a SQL Injection, [...]

]]> Por: SQL Injection en Wordpress 2.2 + exploit incluido - Buayacorp http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-11087 SQL Injection en Wordpress 2.2 + exploit incluido - Buayacorp Mon, 28 May 2007 07:01:39 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-11087 [...] comentaba en una entrada anterior, la versión 2.2 y la versión en desarrollo de este CMS también son vulnerables a SQL Injection, [...] [...] comentaba en una entrada anterior, la versión 2.2 y la versión en desarrollo de este CMS también son vulnerables a SQL Injection, [...]

]]> Por: Marcos García Online » WordPress vulnerable. ¡Protégete pronto! http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-11048 Marcos García Online » WordPress vulnerable. ¡Protégete pronto! Thu, 24 May 2007 17:14:19 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-11048 [...] de ello: Sitg.net BuayaCorp.com Genbeta.com [...] [...] de ello: Sitg.net BuayaCorp.com Genbeta.com [...]

]]> Por: j_aroche http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-11039 j_aroche Wed, 23 May 2007 17:00:03 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-11039 Por eso he estado tentado a ligar algunos blogs directo al SVN, cero stress para aplicar los parches ;) BTW: tienes razón con lo dle md5 y las claves de wordpress, seguro me confundí con alguna modificación que le hice jeje Por eso he estado tentado a ligar algunos blogs directo al SVN, cero stress para aplicar los parches ;)

BTW: tienes razón con lo dle md5 y las claves de wordpress, seguro me confundí con alguna modificación que le hice jeje

]]> Por: alex http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-11038 alex Wed, 23 May 2007 14:40:34 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-11038 Si, al menos la versión que está en el svn ya contiene esas correcciones. Si, al menos la versión que está en el svn ya contiene esas correcciones.

]]> Por: maty http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-11036 maty Wed, 23 May 2007 08:15:58 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-11036 Ah, y en la 2.0.10 el fichero es: pluggable-functions.php Pregunta ¿Ya han implementado la solución que propusiste para el fallo de seguridad en Akismet? Ah, y en la 2.0.10 el fichero es: pluggable-functions.php

Pregunta

¿Ya han implementado la solución que propusiste para el fallo de seguridad en Akismet?

]]> Por: maty http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-11035 maty Wed, 23 May 2007 08:12:04 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-11035 Muchas gracias. Ya he actualizado algunas bitácoras con WP 2.0.10. Si se utiliza el WP-cache, conviene borrar la cache... Muchas gracias. Ya he actualizado algunas bitácoras con WP 2.0.10.

Si se utiliza el WP-cache, conviene borrar la cache...

]]> Por: SQL injection en Wordpress | Michoacano.Com.Mx http://www.buayacorp.com/archivos/sql-injection-en-wordpress/comment-page-1/#comment-11034 SQL injection en Wordpress | Michoacano.Com.Mx Tue, 22 May 2007 23:55:35 +0000 http://www.buayacorp.com/archivos/sql-injection-en-wordpress/#comment-11034 [...] buayacorp.com Filed under: Hacking [...] [...] buayacorp.com Filed under: Hacking [...]

]]>