Exploit en WordPress 2.1.3: Inyección SQL

Via la lista de correo wp-hackers, me entero de un nuevo exploit publicado en PacketStrom Security para el constantemente vulnerable WordPress. No hay muchos detalles técnicos de que hace el exploit, pero por lo que vi es una inyección SQL a través de wp-admin/admin-ajax.php para obtener el hash de la clave de los usuarios en wordpress.

A pesar de que las claves de los usuarios wordpress está ofuscadas (salted) no será mayor barrera descifrar la clave teniendo MD5 Hash. En teoría la única versión afectada es WordPress 2.1.3.

Hay un script publicado del exploit lo que facilita por mucho el trabajo de los script kiddies. Será mejor actualizarse a WordPress 2.2 por is las moscas.

Etiquetas: , , , , ,

HashTab: Verifica la integridad de tus archivos usando MD5

Con eso que de vez en cuando un cracker hace de las suyas, o el enlace de tu ISP es de muy mala calidad, es muy importante verificar la integridad de los archivos que bajas. Existen varios algoritmos que generan sumas de verificación únicas (en teoría) para cada archivo, pero sin duda el más popular es MD5 (aunque pronto será remplazado debido a recientes ataques)

Existen muchos programas para crear y verificar los chequeos de suma ( o hash) MD5, como MD5Summer, pero resultan algo engorrosos porque hay que iniciar el programar, buscar el archivo a verificar y pegar el código MD5 a comparar; un proceso no muy cómodo y que provoca que al final no termines verificando la integridad de los archivos.

Afortunadamente desde hace bastante tiempo encontre HashTab una pequeña Extension del Shell de Windows que facilita mucho el proceso de verficación de integridad, ya que como se integra al Explorador de Windows es más fácil buscar los archivos. HashTab agrega una pestaña extra al díalogo de propiedades del archivo, donde automáticamente calcula las sumas de verificación para MD5, SHA-1 y CRC-32; también puedes pegar la suma de referencia y ver si coinciden o no:

HashTab - Verifica la integridad de tus archivos usando MD5

Así de sencillo. Ahora ya no hay excusas que que en Windows no se puede chequear el MD5 de tus archivos fácilmente. HashTab es Freeware, y hasta parece que puedes obtener el código fuente si escribes al autor (no queda claro si eso tendrá algún consto adicional a un email enviado jeje). El tiempo para calcular el hash es bastante decente, se tardó poco más de 15 segundos para un ISO de 700MB, aunque he visto algunos modulos en assember mejorar esa marca XD.

Etiquetas de búsqueda: , , , , , microsoft, windows