Der erste XSS Wurm für WordPress

bueltge.de [by:ltge.de] wird von Frank Bültge geführt, administriert und gestaltet. Alle Inhalte sind persönlich von mir ausgewählt und erstellt, nach bestem Gewissen und Können, was die Möglichkeit von Fehlern nicht ausschließt.

Kommentare

  
  1. mybeNi websecurity sagt:

    Hey! das tolle an meinem wurm ist ja, das er nicht nur die Lücken zeigt sondern interaktiv mit dem Administrator zusammen die Lücken patcht! :o)

    Gruß beni

  2. Hallo Beni.
    Hatte ich auch so verstanden. Danke nochmal, dass es ein freundlicher Wurm ist.

  3. Habe gerade mal deinen Wurm rein gelassen - ist schon erschreckend. Aber dass du alle Patches auf diesem Weg einspielst macht die Arbeit sehr schnell. Das ungute Gefühl dabei bleibt. Im Endeffekt bleibt nur das Vertrauen in deinen Wurm 😉 oder die händische Arbeit.

  4. Michael sagt:

    Trifft das ganze nur WP2.2 oder auch ältere Versionen?

  5. Rose sagt:

    Do you have any help in English? I can't figure out how to use the plug-in after it's been activated.

  6. Alex Rabe sagt:

    Da ich mich gerade zu Tode gesucht habe, kurz die Rückinfo :

    nicht in wp-admin/includes/upload.php Zeile 109 suchen (die gibt es erst in WP 2.3)
    sondern wp-admin/upload-functions.php Zeile 109

  7. Ist ja mal ganz nett gemacht das Ding 😉

  8. You find help in english on the site of the worm mybeNi.

  9. Danke nochmal, habe vergessen es zu erwähnen, da ich in 2.3 gespielt habe.

  10. bloggie sagt:

    leider passiert bei mir nach dem klick auf "secure my blog" nichts - bin ich dann schon sicher ? oder was kann ich machen, das nach dem Klick auch etwas passiert (der klich verarbeitet wird)

  11. Sorry, aber da solltest du lieber den Autor des Wirms fragen. Ich habe ihn nur auf einem Tesblog laufen lassen, rein aus Interesse. Die Patches habe ich händisch eingespielt.

  12. ritchie sagt:

    Hi Frank, bin ich völlig verwirrt oder fehlen in der Anleitung für die functions.php die "wird zu" Teile?

  13. Evaders99 sagt:

    Went ahead and rewrote the changes in English, verified them on my WordPress install
    http://evaders.swrebellion.com/forums/postp401.html#401

    Feel free to use this or the pre-packaged files

  14. Der Syntax wird erweitert, genau hinsehen. Es gibt kein "wird zu".

  15. ritchie sagt:

    Alles klar, hab nicht genau genug hingesehen... thx für den Post... bueltge wird ja immer mehr zum "inoffiziellen" offiziellen wp-deutschland blog 🙂

  16. Na na, nicht übertreiben - WPD macht das schon gut.

  17. ritchie sagt:

    Ja, find ich eh, sehr gut sogar. Trotzdem: ich find's genial, wie schnell du solche Fix-Anleitungen online hast.

  18. ritchie sagt:

    sorry... noch ne Frage: wenn ich den angebenen Code für edit-comments.php ersetze, dann bekomme ich im backend zwar keine fehlermeldung, aber immer "Es wurden keine Kommentare gefunden, die deinen Suchkriterien entsprechen." Da hat's irgendwo was.

  19. WordPress 2.2.2 bzw. 2.0.11 ist draußen, ich denke mal daß die Lücken entsprechend geschlossen wurden.
    http://wordpress.org/development/2007/08/wordpress-222-and-2011/

  20. Thorsten sagt:

    Vielen Dank für die klärenden Infos, aber ich erhalte nach dem Editieren der wp-admin/edit-comments.php bei Aufruf einen Datenbankfehler.

    WordPress Datenbank-Fehler: [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-20, 25' at line 1]
    SELECT SQL_CALC_FOUND_ROWS * FROM wp_comments WHERE comment_approved = '0' OR comment_approved = '1' ORDER BY comment_date DESC LIMIT -20, 25

    Es wurden keine Kommentare gefunden, die deinen Suchkriterien entsprechen.

    Der Fehler tritt nach dem Reaktivieren der alen Datei nicht mehr auf.
    Ich benutze WP 2.2.1, PHP Version 5.2.3 und MySQL-Client-Version: 5.0.32
    Gruß Thorsten

  21. Thorsten sagt:

    Nach dem Kommentar habe ich gelesen, daß 2.2.2 released wurde. Der Fehler wurde dadurch behoben.

  22. Joachim sagt:

    Habe die Version 2.2.2 installiert, damit ist es erledigt. Thanxx

  23. ritchie sagt:

    Yup, die läuft inzwischen bei mir auch.

  24. Mark sagt:

    Habe die meisten meiner Blogs bereits auf die aktuelle WP Version aktualisiert...auf den anderen habe ich mal dein Plugin implementiert...danke für den Fix. Funktioniert einwandfrei.

    Mark

  25. manni sagt:

    Ebenfalls 2.2.2, läuft...vielen Dank auch! 🙂

Trackbacks

  1. [...] Frank Bueltge hat den Wurm reingelassen, aber nennt auch den händischen Weg zum Schließen der Lücken. [...]

  2. [...] blogsecurity] auch Frank Bültge und Perun schrieben bereits darüber. Diesen Beitrag anderen Nutzern empfehlen Diese Icons [...]

  3. WordPress: 7 neue Sicherheitslücken - Panik?...

    Andy von der Blog-Abfertigung hat gestern auf die von IT-Sicherheitsspezialist Benjamin Flesch entdeckten Sicherheitslücken hingewiesen.
    Benjamin Flesch stuft zwei davon sogar “als Hoch kritisch” ein, da ein potentieller Angriff keinerlei Au...

  4. WP XSS Wurm doch nicht soo freundlich?...

    Achtung, liebe Leser, es wird technisch
    Vorgestern ist der erste WordPress Wurm veröffentlicht wurden, der eine Cross Site Scripting (XSS) - Lücke ausnutzt. Zum Glück ist er freundlich und hilft WordPress nutzern dabei, diese direkt zu...

  5. [...] diese Weise durchzuführen, aus diesem Grund vertraue ich doch eher der manuellen Methode, die Frank Bueltge in seinem Blog beschreibt. 5 Minuten Aufwand, die man auf jeden Fall opfern sollte. Tags: Security [...]

  6. [...] findet beim allseits gut informierten - und wahnsinnig schnell programmierenden Frank - die selbst einzutippende Lösung zur Beseitigung der Schwachstellen. Weitergehende Möglichkeiten zum Inhalt dieses Beitrages: Verwandte Artikel sind:Wordpress: [...]

  7. [...] zum nächsten WP-Update könnte nun jede/r selbst Hand anlegen und die problematischen Dateien manuell anpassen. Genau hier kommt der freundliche Wurm ins Spiel, [...]

  8. Wieder mal üble Sicherheitslücken in WordPress...

    Eine ganze Reiher neuer Vulnerabilities im beliebtesten Blog-Hosting System schreien nach rascher Abhilfe. Auf Wunsch kümmert sich ein ausnahmsweise freundlicher Wurm um die Schadensprävention.
    ......

  9. Ïåðâûé ÷åðâü äëÿ wordpress...

    Âîò òàêàÿ ôèãíÿ ñëó÷èëàñü. Ïîäâåðæåíà âåðñèÿ 2.2, ïðåäûäóùèå âðîäå áû íåò.
    Îáíîâëåíèå ÷åðåç ÷àñ: Îäíà(?) èç äûðîê ïðèñóòñòâóåò è â 2.1.1.
    Ëå÷èì:
    w...

  10. [...] Der erste XSS Wurm für WordPress und WordPress-Wurm als Security-Patch?  Bookmarke: [...]

  11. [...] passt die nötigen Stelle im SourceCode von WordPress manuell an, indem man zB der Anleitung bei bueltge.de [...]

  12. [...] Nachdem eine Sicherheitslücke bei WordPress entdeckt wurde, und dann auch gleich eine Wurmkur verfügbar war, hat WordPress heute erwartungsgemäß ein Security-Update [...]

  13. WordPress Update 2.2.2...

    Vor ein paar Tagen sind einige Sicherheitlücken im WordPress System aufgetaucht. Einer der Entdecker der Lücken hatte zur Schließung auch bereits ein kleines selbstgeschriebenes Script Wurm programmiert, welches die Größten L&#...

© 2016, since 2005 bueltge.de [by:ltge.de] · Theme is built by ThemeShift