Russian Hosting Blog или хостинг по-русски

Описание

Особенность WordPress’а, которая редиректит пользователя после авторизации, может быть использована для фишинговых целей.

Параметр ‘redirect_to’ обычно содержит относительный URL, на который будет произведен редирект после успешной попытки авторизации.

Например: /wordpress/wp-admin/index.php

Тем не менее, этот параметр также позволяет использовать абсолютные URL, не принадлежащие данному сайту.

Например: http://legitimate.com/wordpress/wp-login.php?redirect_to=http://evil.com

или

http://legitimate.com/wordpress/wp-login.php?redirect_to=http://%65%76%69%6c%2e%63%6f%6d

(в шестнадцатиричном виде для целей сокрытия)

где ‘http://evil.com’ - сайт, на котором будет расположена страница авторизации Wordpress.

Сценарий атаки

1. Злоумыуленник запускает фишинг-атаку против жертвы, используя URL:
   http://legitimate.com/wordpress/wp-login.php?redirect_to=http://%65%76%69%6c%2e%63%6f%6d
2. Жертва заходит на сайт и проходит успешную попытку авторизации.
3. Жертва редиректится на evil.com, где расположена ложная страница авторизации, которая выглядит так же, как и оригинальная. Эта страница содержит сообщение об ошибке авторизации.
   Например, “ERROR: Invalid username.”
4. Жертва думает, что он/она неправильно ввел/ввела логин и повторяет попытку.
5. Авторизационные данные оказываются у злоумышленника.

Тестируемые версии

Wordpress 2.2.1

Благодарности

Adrian Pastor

Решение проблемы

Разрешить редиректы только относительные URL.

Разработчики работают над решением проблемы без значительных изменений функциональности.

Оригинал (на англ.)

Еще один сервис в дополнение к тем которые упоминались здесь.

Достаточно интересный интерфейс, некоторые дополнительные возможности, но нельзя сказать, что он может заменить сервисы, которые уже мною упоминались.

Перейти на сайт Bust a Name

Сегодня я хочу рассказать о сервисах, которые позволяют мониторить аптайм Вашего сервера, причем совершенно бесплатно. Есть у них конечно и платные услуги, но для большинства случаев бесплатного пакета может быть более чем достаточно.

Итак, вот они:

1. http://host-tracker.com/
   Мне сразу бросилось в глаза то, что у них есть поддержка русского языка, что несомненно является плюсом. Отправляет уведомления на почту, аську, gtalk, sms. Дает возможность мониторить до 2-х сайтов с интервалом 30 минут, используя при этом методы GET и HEAD. Рассылает еженедельные, ежемесячные, ежеквартальные отчеты. Предоставляет информер, который можно повесить на сайте. Доступны также платные услуги, начиная с $4.33.
2. http://www.siteuptime.com/
   Предоставляет мониторинг одного сайта с интервалом 30/60 минут. Уведомления по почте, ежемесячные отчеты. Поддерживает протоколы http, pop3, smtp, ftp. Платные услуги, начиная от $2.
3. http://www.serviceuptime.com/
   Позволяет мониторить большое количество разных сервисов и даже задать номер порта самостоятельно. Ежедневные репорты, 1 адрес для мониторинга, информер для сайта, 30-минутный интервал между проверками. Смс-уведомления доступны только за деньги. Премиум план обойдется как минимум в $4.95.
4. http://www.hyperspin.com/
   Богатый набор поддерживаемых сервисов, уведомления по email, интервал мониторинга - 60 минут. Платные тарифные планы - от $2.
5. http://basicstate.com/
   Абсолютно бесплатный сервис, который выполняет проверку каждые 15 минут, уведомляет о даунтайме по почте или смс, предоставляет ежедневные отчеты.

Ну и в завершение - бесплатный русский сервис uptime.ru.

Трансфер доменов от одного регистратора к другому, друзья, может быть не таким простым как кажется на первый взгляд. Я решил описать свой опыт, так как недавно сам переводил домен.

Итак, имеем домен в зоне .com. За 3 недели до истечения срока регистрации я решил перевести домен к регистратору, у которого в последнее время покупаю домены [yourwebpoint.com] - у них очень “вкусные” цены и большое количество способов оплаты, включая WebMoney.

Для трансфера нужен всего лишь код авторизации, который нужно получить у старого регистратора и предъявить новому регистратору. Но вся проблема состоит в том, чтобы получить этот код. Поэтому перед покупкой домена советую читать Условия предоставления услуг регистратора, а в случае отсутствия в нем пунктов, имеющих отношение к трансферу доменов, уточнить этот момент у регистратора.

В моем случае для получения кода авторизации нужно было распечатать бланк типового письма для транфера, поставить свою подпись и отправить по обычной почте вместе с копией первой страницы паспорта. Но, так как я не доверяю нашей почте и времени до истечения домена осталось немного, я решил съездить с паспортом в офис к регистратору. И правильно сделал - получение кода авторизации заняло считанные минуты.

У многих зарубежных регистраторов код авторизации можно узнать прямо в админке. По-другому он еще называется EPP-код.

Как только код авторизации получен, необходимо произвести трансфер к новому регистратору, чем быстрее - тем лучше, в большинстве случаев код авторизации действует 24 часа, про прошествии которых необходимо будет получать новый код.

Далее Вам должно придти электронное письмо от нового регистратора на адрес, который указан в whois-информации, с просьбой подтвердить трансфер.

После подтверждения Вам наконец должно придти электронное письмо с уведомлением о начале операции трансфера домена. Если такое письмо не пришло, то необходимо связаться с новым регистратором.

Так же по ходу, я узнал несколько подводных камней, которые могут появиться у Вас на пути:

1. Возраст домена должен быть не менее 60 дней, иначе трансфер сделать нельзя.
2. Если Вы только недавно продлили домен, то отложите трансфер хотя бы на 45 дней после даты продления. В обратном случае домену могут не засчитать срок, который Вы оплатили старому регистратору.
3. До даты истечения домена осталось не менее 14 дней.
4. Некоторые домены, например .ws, не позволяют делать трансфер.