back

Тестування на проникнення сайту на WordPress

Замовник запросив проведення тестування методом сірого ящика (gray-box) його бізнес веб-сайту на базі WordPress. Тестування проводилось спочатку на проміжному сайті, а вже потім на робочому, для зменшення ризику пошкодження даних/веб-сайту. Обсяг проекту становив 5 людино-днів при загальному часі - 10 календарних днів (декілька днів було витрачено на отримання облікових даних зі сторони розробників).

HIRE US
back

Наступні помилки були виявлені:

  • Помилка міжсайтового скриптингу (XSS) була знайдена в одному з розширень WordPress. Також був включений перелік каталогів (проблема конфігурації). Про результати було повідомлено замовника. За два тижні ми перевірили виправлення помилок (безкоштовно).
  • Помилка SQL-ін'єкції ідентифікована в користувацькій темі, розробленій розробником.
  • Міжсайтовий скриптинг (XSS) був в одному з розширень WordPress (застарілому).
  • Перелік директорій був ввімкнений в конфігурації веб-серверу.
  • Поєднання стану гонки і недостатньої перевірки розширення файлу в розділі завантаження резюме (в розділі «Кар'єра» на сайті). Можна було завантажити php-скрипт як CV і запустити його виконання до того, як файл був видалений (після обробки бізнес-логікою сайту).

Рекомендовані приклади проектів

OWASP ASVS cертифікація
Аудит вихідного коду додатка на PHP
This website uses cookies to give you the best experience. Terms & Conditions