Проблема PHP представляет опасность для сайтов на WordPress и не только - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
21-08-2018, 12:01
Проблема PHP представляет опасность для сайтов на WordPress и не только - «Новости»
Рейтинг:
Категория: Новости

");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});

Специалист компании Secarma Labs обнаружил способ использования PHP-бага, связанного с десериализацией данных, против сайтов, работающих под управлением CMS WordPress и не только.


В сущности, проблема кроется не в самой популярной CMS и затрагивает далеко не только WordPress, а любые основанные на PHP приложения и библиотеки, работающие с поступающими от пользователей данными. Баг связан с тем, как PHP преобразовывает PHP-объекты в строки и обратно. Этот процесс и называется сериализацией и десериализацией, и используется во всех языках программирования для перемещения данных между различными сервисами, серверами и приложениями.


О проблемах сериализации и десериализации в PHP известно давно. Впервые об этом заговорил ИБ-эксперт Стефан Эссар (Stefan Essar) в далеком 2009 году, а в последующие годы эту тему развивали другие специалисты. В результате были описаны новые методы компрометации серверов, работающих с PHP-приложениями.


Теперь еще один метод эксплуатации проблемы на новый лад представил на конференциях Black Hat и BSides вышеупомянутый эксперт компании Secarma Labs Сэм Томас (Sam Thomas). Способ исследователя позволяет использовать процесс десериализации для выполнения произвольного кода в приложении и на сервере.


Суть метода заключается в том, что атакующий должен иметь возможность поставить (загрузить) вредоносные данные на сервер. Это позволит запустить цепочку операций, начинающихся с потока phar://, которая и приведет к исполнению вредоносного кода.

Полное выступление эксперта на BSides, со всеми подробностями, можно увидеть ниже.




В ходе презентации своего доклада, Томас привел примеры использования проблемы против CMS WordPress и Typo3, а также библиотеки TCPDF, встроенной в CMS Contao. Так наиболее популярным из этих примеров является WordPress, остановимся на нем немного подробнее.



Компрометации сайта на WordPress

В WordPress проблема PHP-десериализации затрагивает процесс обработки миниатюр (thumbnail). Фактически это означает, что проведения атаки злоумышленнику будет достаточно загрузить вредоносное изображение. Эксперт объясняет, что для разных версий CMS потребуются разные пейлоады: один для WordPress до версии 4.9 и еще один для более новых версий.


В WordPress и TCPDF уязвимость до сих пор не исправлена, но исследователь сообщил, что разработчики Typo3 уже устранили баг, 12 июля 2018 года выпустив обновленные версии 7.6.30, 8.7.17 и 9.3. На выпуск патча им потребовалось немногим больше месяца.


Источник новостиgoogle.com



Теги: CSS, WordPress процесс один проблема только

Просмотров: 844
Комментариев: 0:   21-08-2018, 12:01
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: