Weblogs und Wikis
- opensource
- Tabelle
- einsteigertipps
- Weblogs
- Störung
- plugins
- basics
- fwp-shop
- falbum
- geldverdienen
- webspace
- mygallery
- Zeichensatz
- version 2.5
- romanexperiment
- plugin
- quiz
- Tipp
- UTF-8
- namensalternative
- Kriterien
- referrer
- Auswahl
- Vorratsdatenspeicherung
- XSS-Lücke
- Regierungsseiten
- checkliste
- Abhilfe
- feed
- drop shadow
Wordpress und Sicherheitsproblem, XSS-Lücke
Gerade bei Heise gefunden:
Wordpress weist mit manchen Themes eine Sicherheitslücke auf, die dazu dienen kann, Daten wie Session-IDs und Passwörter für den Angreifer sichtbar zu machen.
Dazu ruft man mal folgende Adresse seines Blogs auf (WICHTIG: Funktioniert NICHT im Firefox!!!)
http://<blogURL>/index.php/”><script>alert(document.cookie)</script>
Sollte sich dann ein kleines Fenster öffnen, ist das eigene Theme betroffen.
Wie bekommt man das wieder weg?
Eigentlich ganz einfach:
Durchsucht mal Eure php – files im Theme Ordner und tauscht folgenden Aufruf
action="<?php echo $_SERVER['PHP_SELF']; ?>"
durch diesen aus:
action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>"
Der Beitrag wurde am Dienstag, den 8. Mai 2007 um 09:46 Uhr veröffentlicht und wurde unter Weblogsoftware abgelegt.
Sie können die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen.
Sie können einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.
Tags:
Tags: Sicherheit, wordpress, XSS-Lücke
Ähnliche Beiträge:
Verwandte Artikel
Beiträge | Kommentare
Kommentar schreiben