Tag: XSS

WordPress < 3.1.3: Multiples vulnerabilidades

Post author By alex
Post date 25 mayo 2011
7 Comments on WordPress < 3.1.3: Multiples vulnerabilidades

Aunque en el anuncio oficial no se mencione muy claramente, esta versión trae importantes cambios.

La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior.
El changeset 18018 corrige uno de los varios problemas que reporté, en principio permitía al igual que el anterior, la ejecución de código php, con la diferencia de que no es necesario ningún tipo de configuración en especial. Tal vez dentro de un tiempo llegue a publicar el exploit que hice. También corrige fallas que permitían realizar ataques XSS.
El changeset 18019 corrige problemas que permiten realizar ataques XSS.
El changeset 18023 está relacionado con un problema relacionado a la privacidad de los backups de wordpress.

Más adelante probablemente vaya comentando más en detalle los cambios realizados y una que otra mejora que se introdujo luego de una serie de discusiones.

Tags file upload, php execution, Seguridad, unrestricted, WordPress, XSS

Miniposts Seguridad WordPress XSS

WordPress 3.0.4 disponible

Post author By braulio
Post date 29 diciembre 2010

Me ha sorprendido que en menos de un mes se han liberado ya 4 actualizaciones de WordPress, hoy recibo la sorpresa de que está disponible la actualización urgente para WordPress 3.0.4.

Esta actualización arregla un bug en el Core de WordPress, específicamente en la librería de “sanitización” de HTML que permite ejecutar código arbitrario.

Si estás metido en esto de la seguridad, los chicos de WordPress te invitan a que le des una mirada a los cambios que se han hecho últimamente. Ahora si feliz año.

Tags WordPress, XSS

Miniposts Seguridad WordPress XSS

WordPress 2.8.6

Post author By braulio
Post date 13 noviembre 2009

Liberada una nueva actualización de WordPress la 2.8.6 que soluciona dos problemas de seguridad.

Tags bugs, update, WordPress, XSS

ASP.NET Seguridad

Videos sobre seguridad en ASP.NET

Post author By alex
Post date 9 diciembre 2007
2 Comments on Videos sobre seguridad en ASP.NET

Por si no lo vieron todavía, una serie de videos introductorios -- en inglés -- sobre seguridad en ASP.NET:

Canonicalization: Explica sobre los ACLs e impersonación de usuarios para acceder a recursos, así como usar Server.MapPath para limitar el acceso sólo a rutas que esten dentro del directorio virtual de una aplicación.
Cookies: Muestra como detectar la alteración de cookies.
Cross-Site Scripting: Explica que es XSS y como prevenir éstos ataques.
Regular Expressions: Explica el uso de expresiones regulares para la validación de los datos.
SQL Injection: Explica que es SQL Injection y cómo evitar este tipo de ataques usando consultas parametrizadas.
Validation Controls

Fuente: Blog de J.D. Meier

Tags ASP.NET, Seguridad, Sql Injection, videos, XSS