بین الملل

مطالب پربازدید

1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

انتشار شده در تاریخ 1393/03/08 - 13:13

ضعف امنیتی در کوکی‎های wordpress

اگر سیستم مدیریت محتوا شما wordpress می‎باشد باید هنگامی که از اینترنت وایرلس برای ارتباط با صفحه مدیریت سایت خود استفاده می‎کنید، بسیار مراقب باشید.

سیستم مدیریت محتوا wordpress، کوکی‎های اهراز هویت کاربران را به جای آنکه به صورت رمز شده ارسال کند، به صورت plain text ارسال می‎کند لذا در صورتی که به شبکه وایرلس نفوذ شده باشد، مهاجم با استفاده از یک اسکریپت بسیار ساده می‎تواند اطلاعات اهراز هویت را سرقت کند.

ربودن کوکی‎های اهراز هویت

زمانی که کاربران wordpress به حساب کاربری خود ورود کرده باشد، سرورهای wordpress.com کوکی‎هایی به صورت “wordpress_logged_in” در مرورگر کاربران تنظیم می‎کند که این کوکی‎ها و اطلاعات از طریق پروتکول http ارسال می‎شود، که از لحاظ امنیتی در درجه اهمیت پایینی می‎باشد.

هنگامی که یک مهاجم با استفاده از ابزارهای شنود شبکه، HTTP cookie های کاربری را به دست آورده باشد، این کوکی را می‎تواند در مرورگر خود تنظیم کند و به راحتی به پنل مدیریت وب سایت قربانی نفوذ کند.

خوشبختانه این نقطه ضعف امنیتی در wordpress اجازه تغییر رمز عبور را به مهاجم نمی‎دهد ولی نقطه تاریک این ضعف آنجاست که کوکی‎های wordpress تا سه سال اعتبار دارند.

از جمله دسترسی‎هایی که مهاجم با استفاده از این کوکی ربوده شده دارد شامل موارد ذیل است:

ویرایش مطالب و مقالات
ویرایش نظرات

به نظر میرسد که wordpress برای آنکه بتواند از این آسیب‎پذیری جلوگیری کند باید یک فلگ امنیتی حساس در کوکی‎های خود تنظیم کند و اطلاعات حساس خود را به صورت رمزنگاری شده ارسال کند.

تازه ترین ها