#XMLRPC_Wordpress_Attacks
در خصوص سرویس #XMLRPC قبلا صحبت ها زیاد کردیم اما جالبه که بدونید در ساختار آرایه های XML بیس تنها احراز هویت نمیتوان انجام داد بلکه حملات DOS و DdoS هم میتوان پیاده سازی کرد به واسطه تکنیک هایی مانند Bilion laughs Attack که به بمب XML معروف هستش, نحوه عملکرد این سبک آسیب پذیری ها به این گونه هستش که ارجای متعدد به متغییر های Invalid صورت میگیره و سرور درگیر پردازش آنها شده و دیگه منابعه سخت افزاری برای خود CMS وجود نخواهد داشت و به همین واسطه عملا از کار می افتد,
چندی پیش از این دست حملات به سایت unk9vvn.com صورت گرفت که با Limitation کردن پالیسی های سرویس XMLRPC خنثی شد, نتیجه آنکه Content های XML بیس میتواند بستر خوبی برای همه نوع حمله باشد از XXE گرفته تا Bilion laughs attack و Bruteforce, این سرویس را کاملا ایمن سازی کنید اگر از CMS محبوب Wordpress استفاده میکنید...
https://gist.githubusercontent.com/filmgirl/db07f49437580e27ae26/raw/7e7d3997fc03ba88376e8c3a791234833351747d/Test
https://en.wikipedia.org/wiki/Billion_laughs_attack
@Unk9vvN
در خصوص سرویس #XMLRPC قبلا صحبت ها زیاد کردیم اما جالبه که بدونید در ساختار آرایه های XML بیس تنها احراز هویت نمیتوان انجام داد بلکه حملات DOS و DdoS هم میتوان پیاده سازی کرد به واسطه تکنیک هایی مانند Bilion laughs Attack که به بمب XML معروف هستش, نحوه عملکرد این سبک آسیب پذیری ها به این گونه هستش که ارجای متعدد به متغییر های Invalid صورت میگیره و سرور درگیر پردازش آنها شده و دیگه منابعه سخت افزاری برای خود CMS وجود نخواهد داشت و به همین واسطه عملا از کار می افتد,
چندی پیش از این دست حملات به سایت unk9vvn.com صورت گرفت که با Limitation کردن پالیسی های سرویس XMLRPC خنثی شد, نتیجه آنکه Content های XML بیس میتواند بستر خوبی برای همه نوع حمله باشد از XXE گرفته تا Bilion laughs attack و Bruteforce, این سرویس را کاملا ایمن سازی کنید اگر از CMS محبوب Wordpress استفاده میکنید...
https://gist.githubusercontent.com/filmgirl/db07f49437580e27ae26/raw/7e7d3997fc03ba88376e8c3a791234833351747d/Test
https://en.wikipedia.org/wiki/Billion_laughs_attack
@Unk9vvN
Comments
Be the first to add a comment
Log in to comment