Новая уязвимость в WordPress позволяет отключит сайты
02 Март 2018
В обычной ситуации для вызова отказа в обслуживании и отключения большого числа сайтов злоумышленникам пришлось бы организовать массивную DdoS-атаку с использованием огромных объемов трафика. Но обнаруженная недавно уязвимость может существенно облегчить осуществление такой атаки, ведь при ее эксплуатации можно обойтись всего лишь одним единственным компьютером.
Производителю уже сообщили об обнаруженной проблеме, но он отказался ее устранять. А это значит, что владельцы всех сайтов, созданных на WordPress находятся в очень большой опасности. Причем уязвимость затрагивает абсолютно все версии CMS, включая и самую последнюю стабильную, выпущенную под номером 4.9.2. Видимо, производитель не считает опасной уязвимость, которая затрагивает все системы управления содержимым сайта, выпущенные за последние 9 лет.
Проблему удалось обнаружить израильскому эксперту по кибербезопасности Бараку Таули. Он выяснил, что брешь связана с работой встроенного скрипта load-scripts.php, который задействуется при обработке определяемых пользователем запросов.
Вообще скрипт load-scripts.php активно используется администраторами сайтов для улучшения производительности своих ресурсов и увеличения скорости загрузки страниц. Такого эффекта удается добиваться с помощью объединения нескольких JavaScript-файлов. Причем для активации load-scripts.php, доступ к которому можно получить через страницу администратора, вовсе не нужно проходить процесс авторизации. Эксперту удалось обнаружить функцию, которой может воспользоваться любой желающий.
Во время своей работы файл load-scripts.php обращается к установленным модулям и плагинам, правда, только к некоторым из них выборочно, при этом их имена он передает в «load». При последующей загрузке load-scripts.php проанализирует, какие файлы JavaScript указаны в URL-адресе и попытается их все найти. Как только это удастся сделать, он создаст отдельный файл, добавит туда все свои «находки» и отправит в браузер пользователя.
Как считает эксперт, такая схема позволяет злоумышленнику задействовать load-scripts.php для вызова всех возможных JavaScript файлов, используемых сайтом. При этом их названия появятся в URL. С помощью такой просто махинации злоумышленники смогут повлиять на скорость работы сайта, замедлив ее. По мнению специалиста по кибербезопасности, такая схема подходит только лишь для замедления работы сайта, но если использовать дополнительные инструменты, то можно вовсе прекратить работу сайтов. Для достижения этой цели эксперту пришлось использовать специальный PoC-скрипт dosr.py. С его помощью ему удалось создать более массированную атаку. Данный скрипт позволяет отправлять одновременно очень больше количество запросов на заданный URL-адрес. Из-за повышенного потребления ресурсов серверов снижается их производительность, что в итоге приводит к тому, что сайт перестает отвечать.
Скопируйте этот код и вставьте его в свой сайт или блог (HTML)
Скопируйте этот код и вставьте его на форум (BBcode)
Кликните, если это возможно
БобрДобр.ру
МоёМесто.ру
Memori.ru
LinkStore.ruМатериалы по теме Новая уязвимость в WordPress позволяет отключит сайты
В браузере Edge появилась встроенная игра / Новости - Internet Explorer
В Firefox появилась поддержка DNS через HTTPS / Новости - Mozilla Firefox
Edge на iOS защитит пользователей от слежки / Новости - Internet Explorer
Let's Encrypt меняет процесс выдачи сертификатов / Новости - Google Chrome
Microsoft исправила уязвимости в Internet Explorer 9 / Новости - Internet Explorer
В Firefox появилась поддержка DNS через HTTPS / Новости - Mozilla Firefox
Edge на iOS защитит пользователей от слежки / Новости - Internet Explorer
Let's Encrypt меняет процесс выдачи сертификатов / Новости - Google Chrome
Microsoft исправила уязвимости в Internet Explorer 9 / Новости - Internet Explorer
- Войдите на сайт для отправки комментариев
Комментариев нет.