.png)
Vous n'êtes pas identifié(e).
- Contributions :
- Vos boîtes de messages privés sont vides.
Pages :: 1
🟣 Faille de sécurité Wordpress
#1 2017-05-06 22:49:15
Re : Faille de sécurité Wordpress
en gros tu récupères l'ip de ton domaine et tu essayes de te connecter dessus
si ton wp s'affiche ce n'est pas bon signe .......
pour te protéger tu peux modifier le .htaccess et vérifier qu'il y a bien www dans l'url sinon ça redirige vers www...
ce qui fera que si quelqu'un se connecte via l'ip , le .htaccess redirigera vers www.123.123.123.123 (et affichera une jolie erreur)
vous confirmez @Julien_G @KrustyHack ?
Envie de me faire plaisir , achetez les mêmes proxys que j'utilise via ce lien : -=[ buyproxies.org ]=- (15€ pour 10 proxys dédiés)
Envie de tester ZennoPoster c'est par ici : -=[ ZennoPoster ]=- (à partir de 87$)
🔴 Hors ligne
#2 2017-05-07 11:16:56
- Mention KrustyHack
- 🥉 Grade : Scout
- Inscription : 2015-12-02
- Messages : 660
- Likes : 4
Adminstration ServeurAdminstration ServeurAdminstration ServeurDéveloppement Python- Site Web
Re : Faille de sécurité Wordpress
Ay,
Le paramètre UseCanonicalName est à définir dans la conf Apache : https://httpd.apache.org/docs/2.2/fr/mod/core.html#usecanonicalname
Sinon en mode gros bourrin, tu commentes le block "if" en question dans le fichier pluggable.php. Comme ça t'es sûr qu'à ce niveau là un attaquant ne pourra pas recevoir l'email à ta place.
Après j'ai regardé en diagonale faudrait que j'analyse plus. 
Là ils expliquent qu'un trou du cul peut spoofer l'élément "Host" lors d'une requête pour réussir à récupérer les mails lors d'une demande de mot de passe. Comment est-ce possible ? Tout simplement parce que Wordpress à ce fameux "if" qui si l'email enregistré dans le compte membre n'est pas dispo il va envoyer la demande de mot de passe à wordpress@$_SERVER['SERVER_NAME']. Donc l'attaquant peut spoofer ce "SERVER_NAME" en forçant le header lors de ses requêtes.
Exemple :
Dernière modification par KrustyHack (2017-05-07 11:32:06)
Infrastructure, VPS, serveurs, développement web et scripts, ... https://www.alsahack.com !
🔴 Hors ligne
#3 2017-05-07 20:45:07
Re : Faille de sécurité Wordpress
Je passe un peu tard mais Krustyhakc a bien résumé le truc.
Bizarre quand même que Wordpress ferme les yeux sur cette faille qui est assez grave !
🔴 Hors ligne
#4 2017-05-08 10:10:54
Re : Faille de sécurité Wordpress
d'une manière générale , le hack c'est pas bien hein Julien 
Envie de me faire plaisir , achetez les mêmes proxys que j'utilise via ce lien : -=[ buyproxies.org ]=- (15€ pour 10 proxys dédiés)
Envie de tester ZennoPoster c'est par ici : -=[ ZennoPoster ]=- (à partir de 87$)
🔴 Hors ligne
#5 2017-05-08 18:13:16
- Mention cb_nalex
- 🥉 Grade : Scout
- Inscription : 2014-04-26
- Messages : 784
- Likes : 2
Html CssNetlinkingSémantiqueAudit et Analyse
Re : Faille de sécurité Wordpress
LOL non c'est mal
Ce site en parle aussi
http://cgweb.fr.nf/hacking-wordpress-admin-password-reset/
°¨¨°³º¤£ [ COOLBYTES ] £¤º³°¨¨° - Skype: cb_nalex_levrai
🔴 Hors ligne
#6 2017-05-10 10:09:59
#7 2017-05-17 07:32:28
Pages :: 1