giovedž, aprile 27, 2017 05:11

2 vulnerabilità 0day per WordPress 4.7.4 e precedenti

aprile 26th, 2017

Il blogger davenull ha rivelato la vulnerabilità 0day in WordPress 4.7.4 e precedenti.

E’ una Persistent XSS nei commenti delle pagine e degli articoli.

Ha trovato anche un’altra vulnerabilit√† di tipo Full Path Disclosure nel file /wp-includes/rss-functions.php

Ecco i due articoli che parlano delle relative vulnerabilità.

WordPress 4.7.4 wp-comments-post.php $comment Persistent XSS: http://www.davenull.altervista.org/it/2017/04/26/wordpress-4-7-4-wp-comments-post-php-comment-persistent-xss-fixed/

WordPress 4.7.4 rss-functions.php Full Path Disclosure: http://www.davenull.altervista.org/it/2017/04/26/wordpress-4-7-4-rss-functions-php-full-path-disclosure-fixed/

0day in WordPress 4.7.4 e versioni precedenti

aprile 23rd, 2017

E’ uscita da un paio di giorni la versione 4.7.4 di WordPress e sembra che gi√† √® stato scoperto una vulnerabilit√† di tipo 0day, anzi sembra che la vulnerabilit√† √® stata scoperta nella versione precedente, quindi 4.7.3, ma √® stata ritrovata anche nell’ultima 4.7.4.

Il blogger davenull ha segnalato la vulnerabilità allo staff di WordPress e la renderà nota solo dopo che è stata fixata.

Non ha specificato pubblicamente il tipo di vulnerabilit√†, ma sembra che ha comunicato i dettagli allo staff di WordPress direttamente alla mail [email protected] senza aprire un ticket pubblico a riguardo proprio per la sua pericolosit√†.

Vi riporto all’articolo in cui ne parla: http://www.davenull.altervista.org/2017/04/22/0day-in-wordpress-4-7-4-e-versioni-precedenti/

Rootkits, cosa sono e come evitarle

aprile 23rd, 2017

Il blogger davenull ha scritto un interessantissimo articolo sulle Rootkits, l’unica vera minaccia dei sistemi Unix Like, e quindi anche di GNU-Linux.

Vi riporto il link all’articolo: http://www.davenull.altervista.org/2017/04/21/rootkit-cosa-sono-e-come-evitarle/

WPScan – Come installarlo su Debian Jessie

aprile 14th, 2017

Il blogger davenull ha scritto un interessantissimo articolo su come installare WPScan su Debian Jessie senza distruggersi la distro.

WPScan è un tool scritto in ruby che è in grado di effettuare scansioni sui siti in WordPress.

La cosa importante di questo articolo è che riesce a non utilizzare i backports di Debian per far funzionare WPScan.

Sappiamo tutti quanto è pericoloso utilizzare i backports, specialmente quando scarica le nuove versioni delle libc.

Vi riporto il link all’articolo in questione: http://www.davenull.altervista.org/2017/04/14/wpscan-come-trovare-vulnerabilita-in-wordpress/

Documentario su Aaron Swartz

aprile 9th, 2017

Il blogger davenull ha creato un canale YouTube dove caricare tanti tutorial interessanti, intanto ha caricato il documentario su Aaron Swartz, sicuro di non poterglielo rimuovere dato che è coperto da licenza Creative Commons, anche se in passato a quanto pare fu rimosso da YouTube proprio per violazione di copyright. Che sbadati, nemmeno si son degnati di controllare la licenza del contenuto multimediale.

Vi riporto alla pagina del suo blog dove è presente il video di Aaron Swartz: http://www.davenull.altervista.org/2017/04/09/the-internet-owns-boy-the-story-of-aaron-swartz-sub-ita/