Home › Forum › Problemi Vari con WP › Possibile bug WP 2.5
-
AutorePost
-
-
8 Aprile 2008 alle 13:10 #6276SIRIUSPartecipante
Cari ragazzi…come specificato dal titolo nn sono sicuro che questo sia un bug…ma basandomi sulla mia esperienza in campo informatico, il messaggio ricevuto non mi piace per niente (lascio uno screenshot)…
Attendo notizie e/o magari chiarimenti …Grazie
-
8 Aprile 2008 alle 14:40 #52319SteveAglAmministratore del forum
Ed io da uno screenshot che mostra un messaggio di errore dovrei capire come si è verificato? Non vendo la palla di cristallo mi risulta difficile immaginarlo e se non ce lo spieghi tu (eventualmente usando il modulo di contatto se credi che l’info possa essere pericolosa) io come faccio a scoprirlo?
-
10 Aprile 2008 alle 15:05 #52419SIRIUSPartecipante
allora il primo (presunto) bug che presenta, http://www.wpitaly.it/ciao o http://www.wpitaly.it/root
è un bug di estensioni di pagina a /home
il secondo bug veniva riconosciuto nel sorgente della pagina /home cioè “pingback” href=”http://www.wpitaly.it/xmlrpc.php” e dandomi come messaggio il seguente:
XML-RPC server accepts POST requests only.
presenta la vulnerabilità sempre in /home quindi con possibilità di r57 volendo…anche se secondo me prima di usare un r57 bisognava “scavare” un altro pochetto più in profondità ma LOGICAMENTE non ho fatto alcuna scansione al sito e alle pagine del sito…
Spero di aver reso un po l’idea…
-
10 Aprile 2008 alle 15:30 #52422SteveAglAmministratore del forum
L’ho riletto 4 volte e non ho capito nulla… sarei curioso vi vederti postare la cosa sulla ML hacker di WP e vedere che ti rispondono!
-
10 Aprile 2008 alle 17:26 #52426SIRIUSPartecipante
ora nn per fare il maleducato …però se nn sai di che parlo…se nn conosci cosa è l’r57 e l’RFI io lascerei la risposta ad un altra persona…o altrimenti invece di parlare potremo anche agire magari…e poi verrà l’admin da me direttamente…cioè io in fondo ho solo voluto costatare la presenza di un problema…e magari ho provato anche a verificare se c’è qualcuno competente da saper reggere un discorso del genere…
-
10 Aprile 2008 alle 17:33 #52427SteveAglAmministratore del forum
L’admin sono io.. faccio l’informatico da 25 anni ma non mi occupo di sicurezza…e non la considero una colpa, visto che immagino di poter trovare facilmente argomenti di cui tu non sai nulla, ma non per uesto vengo a fare lo “sborone”. Se davvero fossi una persona seria avresti usato una mail per parlare della cosa, ti saresti proposto in maniera costruttiva e non solo esibizionistica e sopratutto avresti formulato due frasi in croce in italiano corretto.
Ora che hai fatto i tuoi post fighetti… sei soddisfatto?
PS: Sei un hacker figo ma nel profilo manco sei stato capace di mettere una URL giusta. (http://http//SecurityTeam.altervista.Org/)
PPS: LA frase: o altrimenti invece di parlare potremo anche agire magari… faccio finta di non averla letta… e non solo per l’italiano indecente
-
10 Aprile 2008 alle 20:03 #52431LKPartecipante
Uff…
Premetto che sono incazzoso, che ho mangiato male e che è stat tutto sommato una giornata di cacca. Quindi non sarò nè gentile, nè educato.
Quindi:
Le segnalazioni, a mio modesto parere (look @ my bio) sono una barcata di cazzate.
Ma andiamo con ordine:
XMLRPC: Sirius, ti prego, quale parte di XmlRpc non ti è chiara? XmlRpc è la libreria interna a WordPress che controlla il posting e listing remoto. E’ presente, se non vado errato, dalla 1.0. E’ documentata (http://codex.wordpress.org/XML-RPC_Support) e quando ti dice il commento del POST ti sta educatamente mandando a cagare, visto che aprendo in un browser tu tenti, automaticamente, di fare una GET invece di una POST. E lui si incazza e ti dice “brutto cazz**e, mi aspetto una POST e cosa mi mandi a fare una get”?
Compito a casa: studiare XmlRpc
HOME e ROOT: Se avessi dato un occhiata alle regole di rewrite della 2.5 avresti visto che in mancanza della pagina di riferimento (in questo caso la pagina Home e Root)à¬, wordpress non segnala un 404 come prima ma prova, invece, una ricerca. In questo modo se tu vai alla pagina, ad esempio:
finirai con tuo estremo (tuo, eh) stupore alla pagina
http://www.lastknight.com/2008/02/23/barcamp-torino-2008-si-inizia/
Questo perchè WordPress dice “vah te che cazz*ne sto qui che sbaglia, spetta che gli mando la pagina giusta”. Se non trova una pagina giusta oppure non riesce a trovarne una UNIVOCA tra cui scegliere ti manda alla ricerca completa.
Compito a casa: studiare le regole di rewrite e il funzionamento del file .htaccess
Quindi, cortesemente, lascia perdere le Remote File Inclusion (l’acronimo RFI) e lo scriptino carino carino della r57shell in php, ok? Se riesci a fare andare da xmlrpc la r55 dimmelo che vengo li e ti offro un barile di birra.
Pardon per tutti, in genere sono meno caustico.
M.
-
10 Aprile 2008 alle 21:17 #52433wollyAmministratore del forum
Quindi in sostanza il buon sirius che si spaccia per esperto di sicurezza farebbe bene a fare altro.
Grazie LK.
ciao
-
10 Aprile 2008 alle 22:23 #52437
-
11 Aprile 2008 alle 12:27 #52458SIRIUSPartecipante
Anzitutto io nn ho voluto fare lo “sborone” come si dice in gergo…ma come scritto nel mio primo post:
- “Attendo notizie e/o magari chiarimenti …Grazie”
Seconda cosa: nn ho mai detto che sono un hacker…e per la cronaca il mio profilo l’ho fatto molto frettolosamente (come anche i miei post) dato che ero in ritardo per il turno di lavoro e in più dovevo studiare per il giorno dopo …conseguenza: scarso uso della lingua italiana
Terza cosa…beh nn è stato un modo per vantarmi nè tantomeno per dimostrare qualcosa…Anche perchè mi sono basato sulla mia esperienza in quanto, in passato, ho segnalato delle falle perfino in siti bancari i cui titolari mi hanno postato dei commenti direttamente sul blog dove divulgo articoli vari di informatica ( http://securityteam.altervista.org/archives/category/scoperte-mie ). Inoltre leggendo il post di gidibao…mah direi che nn è una gara a chi ne sa di più a parere mio anche se lui ha voluto evidenziare questo…
Come ultima cosa direi che nn ho offeso nessuno …quindi io credo che, oltre ad imparare 0 e 1, un po’ di educazione nn guasta mai…anzi forse è necessaria
Saluti
-
13 Aprile 2008 alle 13:02 #52505LKPartecipante
Anche perchè mi sono basato sulla mia esperienza in quanto, in passato, ho segnalato delle falle perfino in siti bancari i cui titolari mi hanno postato dei commenti direttamente sul blog dove divulgo articoli vari di informatica ( http://securityteam.altervista.org/archives/category/scoperte-mie ).
Se è per questo, se vuoi dare un’occhiata agli ultimi trenta o quaranta advisory pubblicati cerca un po’
Come ultima cosa direi che nn ho offeso nessuno …quindi io credo che, oltre ad imparare 0 e 1, un po’ di educazione nn guasta mai…anzi forse è necessaria
E allora, invece di dire cazzate del rango di “se non sai cos’è un RFI” (non lo sai nemmeno tu, visto che c’entra una mazza) e “se non conosci r57” (che c’entra ancora meno di una mazza) vedi di parlare, colloquiare, apprendere l’utilizzo della semantica e della consecutio temporum e soprattutto non lanciare sassi cosଠalla bell’e meglio…
non è una gara di celodurismo… E’ questione di non riempirti la bocca con termini cosà¬, giusto per fare vedere quanto sei “figo w4r3z l33t” ma di cercare di argomentare la cosa…
My 2 cents as always.
M
-
13 Aprile 2008 alle 13:05 #52506LKPartecipante
Pardon, dimenticavo:
Anzitutto io nn ho voluto fare lo “sborone” (snip)
Terza cosa…beh nn è stato un modo per vantarmi (snip)
Anche perchè mi sono basato sulla mia esperienza in quanto, in passato, ho segnalato delle falle perfino in siti bancari…
Allora… Ricapitoliamo… non vuoi vantarti, non vuoi fare lo sborone, ma hai anche trovato falle bancarie?
Ma LOL… Quante ne vuoi?
Scusate, rotfl…
m.
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.