Kommentare zu: Löchriges Wordpress

Von: Michael

Michael — Thu, 02 Mar 2006 19:51:21 +0000

So, jetzt sollte bei mir wieder alles sicher sein. Mein Hoster hat das error_reporting und Directory Listing schon von Haus aus abgeschaltet. Damit ist das Problem mit wp-includes schonmal vom Tisch. Jetzt werden auch alle htmlentities escaped. Das hat den negativen Effekt, dass nicht nur JavaScript gefiltert wird sondern auch kein HTML in Kommentaren mehr möglich ist.

Es langt übrigens nicht in wp-includes ein deny from all einzubauen da dann auch keine Smileys usw. mehr funktionieren.

Von: Administrator

Administrator — Thu, 02 Mar 2006 18:29:24 +0000

Wobei es nicht so schwierig ist diese Lücke auszunutzen. Mit ein bisschen JavaScript kann man da viel anrichten. Das sowas aber auch erst jetzt auffällt. Meine Seiten checke ich eigentlich immer auf XSS.

Von: Chris

Chris — Thu, 02 Mar 2006 15:40:14 +0000

Die Jungs sind ja ganz clever direkt nen passenden Exploit zu posten