martedì, luglio 25, 2017 08:34

Archive for the ‘Web Application Vulnerabilities’ Category

HACKING CONTEST

lunedì, maggio 29th, 2017

Il blogger davenull non perde tempo, oltre ad aver rinominato l’account YouTube e Twitter in FreeNIX Security ha già lanciato l’hacking contest.

In cosa consiste? In pratica gli utenti dovranno provare a bucare le ultime versioni di determinati CMS come WordPress, SMF, ed altri ancora che verranno inseriti.
(altro…)

Trovare vulnerabilità su Joomla

sabato, maggio 20th, 2017

Ancora una volta il blogger davenull sforna un articolo di non poco conto: Trovare vulnerabilità su Joomla.

Parla di un tool del grandissimo progetto di sicurezza OWASP chiamato joomscan.

Vi riporto il link all’articolo completo: https://www.davenull.altervista.org/it/2017/05/20/joomscan-trovare-vulnerabilita-in-joomla/

0day per WordPress 4.7.4

giovedì, maggio 18th, 2017

Sembra che è uscito un nuovo bug di tipo 0day per WordPress 4.7.4 , e la cosapiù imbarazzante è che l’upgrade a WordPress 4.7.5 oltre a non far nulla, riporta nuovamente la vulnerabilità del Full Path Disclosure nel file rss-functions.php.

E’ il blogger davenull a parlare di questo problema, ecco il link all’articolo: https://www.davenull.altervista.org/it/2017/05/18/wordpress-core-4-7-4-potential-unauthorized-password-reset-0day/

2 vulnerabilità 0day per WordPress 4.7.4 e precedenti

mercoledì, aprile 26th, 2017

Il blogger davenull ha rivelato la vulnerabilità 0day in WordPress 4.7.4 e precedenti.

E’ una Persistent XSS nei commenti delle pagine e degli articoli.

Ha trovato anche un’altra vulnerabilità di tipo Full Path Disclosure nel file /wp-includes/rss-functions.php

Ecco i due articoli che parlano delle relative vulnerabilità.

WordPress 4.7.4 wp-comments-post.php $comment Persistent XSS: http://www.davenull.altervista.org/it/2017/04/26/wordpress-4-7-4-wp-comments-post-php-comment-persistent-xss-fixed/

WordPress 4.7.4 rss-functions.php Full Path Disclosure: http://www.davenull.altervista.org/it/2017/04/26/wordpress-4-7-4-rss-functions-php-full-path-disclosure-fixed/

0day in WordPress 4.7.4 e versioni precedenti

domenica, aprile 23rd, 2017

E’ uscita da un paio di giorni la versione 4.7.4 di WordPress e sembra che già è stato scoperto una vulnerabilità di tipo 0day, anzi sembra che la vulnerabilità è stata scoperta nella versione precedente, quindi 4.7.3, ma è stata ritrovata anche nell’ultima 4.7.4.

Il blogger davenull ha segnalato la vulnerabilità allo staff di WordPress e la renderà nota solo dopo che è stata fixata.

Non ha specificato pubblicamente il tipo di vulnerabilità, ma sembra che ha comunicato i dettagli allo staff di WordPress direttamente alla mail [email protected] senza aprire un ticket pubblico a riguardo proprio per la sua pericolosità.

Vi riporto all’articolo in cui ne parla: http://www.davenull.altervista.org/2017/04/22/0day-in-wordpress-4-7-4-e-versioni-precedenti/