Xss su wordpress 2.8.6

[codeblack]

Ho riscontrato che nel comment wordpress 2.8.6 di altervista ....
Primo si configura male.. Secondo sparisce il form normale ed appare un form per l invio dei commenti scoperto.... Senza capta ecc.. Cosi da renderlo vulnerabile a cross site scripting..... Provato sia su template yellow jacket ed un'altro ke adesso nn ricordo ma il verde nero...
Adesso non so ma la xss ce eccome.. Credo sia un problema di configurazione....

[Gianluca]

Un form senza captcha è esposto al post automatico degli spambot, ma non agli XSS, o meglio, se c'è un XSS non è perché manca un captcha, che comunque wordpress permette di togliere da configurazione.

Hai una pagina di prova da postare e il relativo input così da verificare direttamente?

Ho riscontrato che nel comment wordpress 2.8.6 di altervista ....
Primo si configura male.. Secondo sparisce il form normale ed appare un form per l invio dei commenti scoperto.... Senza capta ecc.. Cosi da renderlo vulnerabile a cross site scripting..... Provato sia su template yellow jacket ed un'altro ke adesso nn ricordo ma il verde nero...
Adesso non so ma la xss ce eccome.. Credo sia un problema di configurazione....

Il captcha sparisce solo se sei loggato come utente, altrimenti è sempre presente, anche nel tema che hai riportato. Inoltre il cross site scripting avviene solo a seguito di un errato controllo dell'input, non alla mancanza di un captcha, e wordpress non ha di questi problemi.

[codeblack]

si questo lo so che il capta no centra nulla riferimento al capta perchè sparisce...... visto che ho scansionato io per trovare errori di protezione sul mio space.... lol
dicevo sparisce anche se non loggato come admin..
penso ci sia un errore... altro punto ? non dovrebbe scoprirsi cosi il blog "non credete....." poi non so "libertà di espressione"
anche se il capta ecc. sparisce e rimane solo un semplice form "scrivi invia" dovrebbere sempre essere protetto penso da una stringa che filtri gli input... mi fermo qui.... ho solo espresso quello che ho visto e scansionato.... se dovevo dire faldorie non postavo questa risposta... per me è configurato male e non protetto poi da infiniti errori.... di rado mi sbaglio su ciò che almeno vedo con i miei occhi....

[Gianluca]

Ogni segnalazione è sempre gradita e apprezzata.

La versione di Wordpress a disposizione è l'ultima uscita, 2.8.6 e non ha problemi noti di sicurezza.
Questo non esclude ovviamente che ne abbia, ma se tu ritieni che sia così dovresti darci gli elementi utili per verificare e a questo punto gireremmo la segnalazione a wordpress non essendo compito nostro produrre delle patch per quell'applicativo.

dicevo sparisce anche se non loggato come admin

1) Posta un url dove sia possibile verificarlo.

per me è configurato male e non protetto poi da infiniti errori

La configurazione è quella base di default, proprio per far sì che l'applicativo sia il più leggero e facile da gestire possibile.

2) Quali sono questi errori?
3) Puoi postare un url dove si vedano?

[codeblack]

http://codeblack.altervista.org/blog/?p=1#comments

Durante la mia scansione mi sono rimasti dei file dentro la root che acunetix mi ha creato.. incancellabili.. e le ho provate tutte... si possono cancellare o devo ricrearmi un nuovo space.... inoltre volevo sapere se possibile bloccare acunetix da .htaccess in modo che, se qualcuno mi scansionasse vedrebbe solo la scritta
Not Found (404)...... so che si puo fare... notata anche sui link weblink.it e eurohackers.it.... ho pensato aggiungere ciò.. visto che siamo nel discorso... potete sempre spostare il topic..... vi ringrazio

codeblack

Edit:

Scusate ero loggato come admin anche se uscivo dal link... perche memorizzavo su firefox.... che cazzone che sono...
adesso ho scritto un xss da admin semplicemente inserendo un commendo .... non so se questo messaggio dovrebbe apparire ? inserendo da admin...

[darkwolf]

Effettivamente la xss va sul tuo sito, provato in locale comunque non riesco ad eseguirla (se visitatore):

Codice:

<script>alert('alterttest')</script>

viene trasformato in

Codice:

<p>alert(&.#8217;alterttest&.#8217;)</p>

Se invece inserito da admin viene effettivamente eseguito mantenendo inalterato l'inserimento (a dire il vero, in tal caso riesco ad inserire qualunque cosa, persino un iframe)

[Gianluca]

Penso che il consentire all'admin di postare dell'html nei commenti sia cosa voluta e comunque ininfluente, anche perché l'html dei commenti dei visitatori è invece filtrato.

Se l'admin volesse inserire un javascript per fare un XSS potrebbe semplicemente inserirlo in un post, ma farlo non avrebbe comunque senso dal momento che lui è l'admin e ha già di suo il controllo su tutti gli utenti del blog.

Il captcha è comunque sempre presente in quella pagina per i visitatori

Con un .htaccess dovresti essere in grado di bloccare l'accesso a quei files forzando appunto un 404

[codeblack]

Penso che il consentire all'admin di postare dell'html nei commenti sia cosa voluta e comunque ininfluente, anche perché l'html dei commenti dei visitatori è invece filtrato.

Se l'admin volesse inserire un javascript per fare un XSS potrebbe semplicemente inserirlo in un post, ma farlo non avrebbe comunque senso dal momento che lui è l'admin e ha già di suo il controllo su tutti gli utenti del blog.

Si certamente.. ma non alterando il codice ed eseguendo solo sul post diavolo... l' input dovrebbe essere sempre filtrato.... ma cmq speriamo bene...


Con un .htaccess dovresti essere in grado di bloccare l'accesso a quei files forzando appunto un 404

come risposta su htaccess mi hai ribbadito la mia domanda admin... lol
sai il modo per farlo...

[Xsescott]

un admin che vuole filtrare i cookie dei propri utenti non me lo spiego.

[codeblack]

un admin che vuole filtrare i cookie dei propri utenti non me lo spiego.

no capisco lontanamente cosa dici.......