Ensimmäinen haavoittuvuus koskee niitä Wordpress- sivustoja, jotka sallivat uuden käyttäjätunnuksen luomisen suoraan sivulta, ilman erillistä tarkistusta.
Haavoittuvuus liittyy pitkien käyttäjätunnusten virheellisestä tavasta lyhentää tunnukset palvelun sisäiseen järjestelmään.
Esimerkiksi käyttäjätunnus kaappari voi tehdä uuden käyttäjätunnuksen samalla tunnuksella joka jo palvelussa on, uuden tunnuksen perään vain naputellaan useita välilyöntejä, näin Wordpressiä voidaan huijata kertomaan halutun tunnuksen oikea salasana, sillä se ei ymmärrä välilyöntejä mutta tunnistaa ne silti rekisteröitymisvaiheessa.
Toinen haavoittuvuus on ohjelmiston satunnaisgeneraattorissa joka käyttää hyödykseen php-kielen pseudosatunnaislukufunktio toimintoa, tämän avulla hyökkääjä voi saada selville sivuston ylläpitotunnuksen salasanan.
LÄHDE: Tietokone
Ei kommentteja:
Lähetä kommentti
"be excellent to each other"