Kritikus sebezhetőség a népszerű plug-in fancybox wordpress - wp magazin
Tegnap reggel minket aggódva segítségét kérte a tulajdonos a helyszínen, hogy a Google úgy döntött, hogy blokkolja az elosztó a rosszindulatú kódot.
Az oldalon rosszindulatú kódot tartalmaz
A tartomány volt 203koko látható az euróövezetben, de lehetnek mások. Rosszindulatú kód nem volt található azonnal, a helyszínen önmagában nem mutat semmit, mintha semmi sem. „Megbökte” néhány órát próbál okozni rovarok mutatják látta legutóbbi publikációkat WordPress.org fórumokon. Tanulás az áhított «203koko» gyülekezni kezdtek egyre többen fogott egy hasonló helyzetben.
Plugin for WordPress FancyBox
Egy óra múlva a vita, világossá vált, hogy egyesít bennünket egy közös nevű plugint FancyBox a WordPress. A bővítmény fotó galéria és egyéb tartalmak modális ablakok. Egy nagyon népszerű bővítmény, több mint 500.000 letöltés (+ 1000 letöltés hetente), de nagyon régi.
Nézzük a naplófájlokat tárolt oldalak az elmúlt napot, a jobb darab kódot a kimeneti FancyBox a WordPress bővítmény script találtak, és világossá vált, hogy valóban FancyBox for WordPress részt ebben az egészben.
kimeneti funkció lehetősége van további kimeneti adatokat az adatbázis nem szűri, de az adatbázis nem volt rosszindulatú kódot adatokat.
Úgy döntöttek, majd kitaláljuk, hogyan tudott eljutni oda, és hamarosan felfedezték a biztonsági rés a beállítások mentése funkciót. Bárki csak menteni a beállításokat a bővítmény FancyBox for WordPress, beleértve a kiegészítő kimeneti opció és tartalmát. Ez annyira kint, és nyomja meg a rosszindulatú kódot, és egy idő után eltűnt. Lehetséges támadások a ravasz csak tapasztalt víz biztonsági rés előtt masszívan kihasználható.
Ez a fajta támadás az úgynevezett egy tárolt XSS (perzisztens XSS). A biztonsági rés az egyik leggyakoribb.
Hogy megvédje magát ne felejtsük el, hogy letölthető ingyenes ebook a biztonság, WordPress.
Legyen óvatos, és sok szerencsét!