Геннадий Ковшенин: Взлом WordPress на практике

2 responses on “Геннадий Ковшенин: Взлом WordPress на практике

  1. dimasmagadan

    узнать логин админа можно проще
    если включено ЧПУ, переход по ссылке site.ru/?author=1
    переместит на адрес site.ru/author/user_login/
    если ЧПУ не включено, то с большой вероятностью в тайтле открытой страницы или на самой странице будет нужная информация.

    если пользователя с id=1 нет, можно взять следующего. Но обычно права админа у id=1

    для сканнирования уязвимостей файлов/движка можно вот такое использовать
    http://wpscan.org/

    Like

  2. beliy

    а если так в .htaccess прописать

    RewriteCond %{QUERY_STRING} author=\d
    RewriteRule ^ /? [L,R=301]

    Like

Leave a Reply to beliy Cancel reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

Published

August 20, 2015

Геннадий покажет на практике, как можно написать уязвимый код выполняя фиктивное техническое задание, использовать написаные уязвимости для собственной выгоды, и конечно-же, закрыть уязвимость.

Presentation Slides »

Rate this:

Event

WordCamp Russia 2015 14

Speakers

Gennady Kovshenin 5

Tags

Development 342
Plugins 334
security 263

Language

Russian/Русский 96

Download
MP4: Low, Med, High
OGG: Low
Subtitles
Subtitle this video →
Producer
%d bloggers like this: