Per gli informatici del forum!

[Iron81]

Cosa cacchio è una ignezione xss??

Stanotte un tizio ha hackerato il mio blog personale e, adesso, in tutti i box commenti appare la dicitura "hack by xxx, questo blog non è fixato da ignezione xss. un altro avrebbe potuto fare più danni".
Non ho idea di cosa voglia dire, ma per evitare che possa succedere anche a Kali Yuga (dato che il portale è lo stesso)...

[RibelleSano]

Mi spiace ma io di queste cose non ci capisco niente...

[Slevin_K]

Se ha scritto "Ignezione" è un'ignorante.

Comunque in altre parole ha sfruttato una vulnerabilità di XSS injection.
Se mi dai l'indirizzo del tuo blog ci dò un'occhiata e ti dico..

Aggiunta:
Ho dato un'occhiata in giro e riguarda una vulnerabilità di Excite (e altri blog) scoperta da tempo ma non patchata dagli stessi.
La soluzione a più breve termine è togliere dal blog gli script che sfruttano XSS

Ho pochi elementi per dirti cos'ha sfruttato ma questo sembrerebbe combaciare:

Patrik Karlsson ha scoperto una vulnerabilità in Wordpress che potrebbe essere sfruttata da un utente remoto per eseguire attacchi SQL Injection.

La falla è dovuta al fatto che al momento di commentare un articolo il campo 'User-Agent' dell'header HTTP non viene validato correttamente prima di essere utilizzato in una query SQL. Ciò permette ad un utente malevolo di manipolare le query attraverso l'inserimento di codice SQL nel suddetto header.

L'exploitazione della falla richiede che gli utenti siano abilitati a postare i commenti senza moderazione.

La vulnerabilità è stata riscontrata nella versione 1.5.2. Versioni precedenti potrebbero essere affette dal problema.

Soluzione:
Aggiornare alla versione 2.0 o successiva.
http://wordpress.org/download/


Riferimenti:
http://www.gentoo.org/security/en/gl...-200603-01.xml
http://secunia.com/advisories/19109/