Skocz do zawartości

Blokujemy anonimowy dostęp do REST API czyli zabezpiecz WP [AKTUALIZACJA 2021]


Harry

Rekomendowane odpowiedzi

Zarejestruj się za darmo i naucz się zarabiać online!

  • Dostęp do darmowych poradników pokazujących krok po kroku jak zarabiać w Internecie
  • Sposoby zarabiania niepublikowane nigdzie indziej
  • Aktywna społeczność, która pomoże Ci rozwiązać problemy i doradzi
  • Profesjonalne treści na temat SEO, social media, afiliacji, kryptowalut, sztucznej inteligencji i wiele więcej!
  • 3 tygodnie później...

Kto poszedł za moją radą nie musi się bać [emoji4]

"Można bez uprawnień edytować posty w WordPress"

Kompleksowy mentoring bezpieczeństwa i anonimowości w internecie   

Kompleksowy mentoring - BEZPIECZEŃSTWO I ANONIMOWOŚĆ
Nie daj się śledzić, ukrywaj tożsamość online i offline, zabezpiecz swoje urządzenia i sporo więcej!

Odnośnik do komentarza
  • 2 tygodnie później...

Jak donosi sekurak "Już ~1,5 miliona stron przejętych" za pomocą w/w REST API ;)

Ciekawy jestem czy wśród forumowiczów jest osoba, która myślała że nie warto zastosować się do moich wskazówek :troll:

Kompleksowy mentoring bezpieczeństwa i anonimowości w internecie   

Kompleksowy mentoring - BEZPIECZEŃSTWO I ANONIMOWOŚĆ
Nie daj się śledzić, ukrywaj tożsamość online i offline, zabezpiecz swoje urządzenia i sporo więcej!

Odnośnik do komentarza

Zawsze takie farmazony są siane przez osoby nie mające pojęcia w danym temacie lub mają lecz powierzchowne.

  1. phishing
  2. SQL Injection
  3. Atak XSS
  4. Kradzież cookies (session hijacking)

Twoje "dobre hasło" właśnie szlag trafił :)

Pozdrawiam

  • Super 1
Kompleksowy mentoring bezpieczeństwa i anonimowości w internecie   

Kompleksowy mentoring - BEZPIECZEŃSTWO I ANONIMOWOŚĆ
Nie daj się śledzić, ukrywaj tożsamość online i offline, zabezpiecz swoje urządzenia i sporo więcej!

Odnośnik do komentarza

Nie sprecyzowałeś lecz to nie zmienia, że to jest tylko przykład co można zrobić. To jest najbardziej trywialny atak w pełni zautomatyzowany.

Niestety punkt 4 tego co napisałem - Kradzież cookies (session hijacking) - czyli inaczej kradzież istniejącej już sesji pozwala zalogować się do kokpitu mając twoje ciasteczko więc jakiego hasła byś nie miał i tak da się to obejść dlatego  zabezpiecza się z wielu innych stron.

Każdy kto ma trochę oleju w głowie, nie ustawi takiego samego hasła do kokpitu, bazy danych mysql i ftp. Chociaż przyszło mi kilka(naście) razy spotkać się z takim osobami :-) Wystarczy tylko jedno słabsze hasło, żeby cała ochrona padła. Wolałbym zdecydowanie mieć słabsze hasło do kokpitu niż ftp/mysql ;)

Jest jeszcze coś takiego jak 'anonymous ftp' lub 'mysql -h ~ADRES IP~ -u root -p' :troll:

Kompleksowy mentoring bezpieczeństwa i anonimowości w internecie   

Kompleksowy mentoring - BEZPIECZEŃSTWO I ANONIMOWOŚĆ
Nie daj się śledzić, ukrywaj tożsamość online i offline, zabezpiecz swoje urządzenia i sporo więcej!

Odnośnik do komentarza
  • Harry zmienił(a) tytuł na Blokujemy anonimowy dostęp do REST API czyli zabezpiecz WP [AKTUALIZACJA 2021]

AKTUALIZACJA 2021

Temat został zaktualizowany. Treść poradnika została lekko rozszerzona.

Przy okazji zapraszam do kontaktu w celu zabezpieczenia i optymalizacji pod kątem szybkości (strony, blogi, sklepy, fora) :ok:

Pozdrawiam serdecznie

  • Super 2
Kompleksowy mentoring bezpieczeństwa i anonimowości w internecie   

Kompleksowy mentoring - BEZPIECZEŃSTWO I ANONIMOWOŚĆ
Nie daj się śledzić, ukrywaj tożsamość online i offline, zabezpiecz swoje urządzenia i sporo więcej!

Odnośnik do komentarza

Cześć @id-user,

Ciesze się, że mogłem pomóc ;) Sprawdź temat, bo rozszerzyłem o jeszcze jedną metodę identyfikacji na podstawie ID, tzw. enumeracja użytkownika. Oczywiście też jest opis jak zablokować :)

Pozdrawiam

Kompleksowy mentoring bezpieczeństwa i anonimowości w internecie   

Kompleksowy mentoring - BEZPIECZEŃSTWO I ANONIMOWOŚĆ
Nie daj się śledzić, ukrywaj tożsamość online i offline, zabezpiecz swoje urządzenia i sporo więcej!

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Polecana zawartość

    • Poradnik podatkowy - jak rozliczać się z pieniędzy zarobionych przez Internet bez DG?
      Zarabianie w Internecie wiąże się z koniecznością płacenia podatków - a rozliczanie się z urzędem skarbowym nie jest jednoznaczne i proste. Prawo podatkowe w Polsce jest nieujednolicone - co oznacza, że każdy urząd skarbowy może mieć inne interpretacje. Sprawdź jak się za to zabrać!
        • Super
      • 12 odpowiedzi
    • JDG - Jak zarejestrować, rozliczać i prowadzić działalność gospodarczą w Polsce
      Jednoosobowa działalność gospodarcza (JDG) to najprostsza forma prowadzenia działalności gospodarczej w Polsce. Jest to działalność prowadzona przez jedną osobę fizyczną na własne nazwisko i na własne ryzyko. Jednak mimo, że nazywa się jednoosobowa - daje jednak możliwość zatrudniania pracowników. Takich firm jest zarejestrowanych w Polsce zdecydowanie najwięcej. Sprawdź jak zarejestrować, rozliczać i prowadzić własną JDG!
      • 3 odpowiedzi
    • Inwestowanie w obligacje detaliczne skarbu państwa - od podstaw!
      Sprawdź jak inwestować w obligacje skarbowe - krok po kroku! Detaliczne obligacje skarbowe to rodzaj obligacji emitowanych przez Państwo, które są oferowane indywidualnym inwestorom, takim jak osoby fizyczne, a nie instytucjom finansowym.

      Są to instrumenty dłużne, nienotowane na żadnym rynku, co oznacza że kupując taką obligację, w praktyce pożyczasz pieniądze państwu na określony czas, a w zamian otrzymujesz odsetki. Można więc powiedzieć że obligacje są indywidualną pożyczką na określony % dla Skarbu Państwa. Państwo odda Ci więcej niż od Ciebie pożyczyło.
        • Lubię to!
        • Super
      • 7 odpowiedzi
    • Jak pozyskiwać i zarabiać na poleconych dzięki make-cash.pl
      W tym poradniku przedstawiam możliwości dostępne dla każdego użytkownika. Dowiesz się jak efektywnie wykorzystać forum do zbierania poleconych i budowania dodatkowych zysków.

      Make-cash.pl to miejsce, gdzie ludzie dzielą się swoimi doświadczeniami, poszukują porad i rekomendacji, a także nawiązują wartościowe kontakty. Codziennie odwiedza nas minimum 2000 unikalnych osób, które są zainteresowane zarabianiem przez Internet - a to ogromny potencjał, z którego może korzystać nie tylko administracja - ale każdy użytkownik forum !
      • 2 odpowiedzi
    • Jak pisać treści na stronę internetową z wykorzystaniem AI
      Tworzenie treści od podstaw może być procesem czasochłonnym. Istnieje wiele mniejszych kroków, o których należy pomyśleć w drodze do stworzenia atrakcyjnych treści, takich jak badanie rynku, SEO i redagowanie tekstu, a to tylko początek. Jednak nie musisz zaczynać od zera, gdy istnieją narzędzia AI, które mogą pomóc w tworzeniu wysokiej jakości treści. 
      • 13 odpowiedzi
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Ta strona korzysta z ciasteczek, aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie z witryny oznacza zgodę na ich wykorzystanie. Polityka prywatności .