חולשת אבטחה קריטית בתוסף סטטיסטיקות וורדפרס

68 צפיות

שלום לכולם 🙂

חישפתי תוסף שיאפשר לי לקבל תמונת מצב לגבי הפוסטים באתר, ולגבי הפעילות בדפים באתר, כך שאוכל לדעת בוודאות אילו דפים נצפים יותר, ואילו פחות – כך שאוכל לשפר את איכות התוכן בדפים הללו.

הגעתי לתוסף העונה לשם WP Statistics -> תוסף סטטיסטיקות לוורדפרס, שנותן תמונת מצב מלאה לגבי הפעילות באתר, התוסף מכיל בתוכו מגוון רחב של כלים לזיהוי של פעילות הגולשים, ונותן תמונת מצב לגבי הדפים הפעילים ביותר.

אחד הדברים שאני נוהג תמיד לעשות בעת התקנת תוסף חדש, הוא למעשה לבחון את רמת האבטחה שלו, האם הכל בו מטופל אכן כמו שצריך, ואין פרצות אבטחה שיכולות לסכן את האתר שלי.

לאחר כמה חיפושים ידניים, הגעתי לחולשת אבטחה באיזור החיפוש בעוד שהתוסף פועל, חולשה מסוג Cross Site Scripting – החולשה הזו למעשה מאפשרת לי להזיק קוד Javascript לתוך דף החיפוש, ומשם ניתן לבצע פעולות זדוניות כנגד בעלי אתרי וורדפרס, כגון גניבה של עוגיות, הרצה של סקריפטים ממקורות מרוחקים, ועוד המון המון אפשרויות.

 

תמונות:

מה שאנחנו רואים כאן למעשה, הוא שהשאילתה שהכנסתי לתוך בקשת ה-GET, למעשה קטעה את הקוד שאמור להיות נסתדר מגולש, ובעצם הדפיסה לי מידע מתוך המערכת (דבר שלא אמור לקרות).

 

בתמונה ניתן לראות כי הקוד שהכנסתי "קטע" את הסקריפט ובעצם הדפיס לי על המסך את מה שהזנתי ב-GET.

 

  • דיווחתי על הפרצה ליוצרי התוסף, על מנת שיוציא עדכון אבטחה בנושא, כצפוי בעוד מספר ימים צפוי לצאת עדכון אבטחה לפרצה זו.

 

טיפים חשובים להתמודדות:

  1. יש לנטרל את התוסף באופן זמני עד שיצא פאצ' תיקון לתקיפה זו (מומלץ למחוק אפילו או להעביר לתיקיה זמנית אחרת).
  2. יש לוודא כי כל התוספים שברשותכם מעודכנים.
  3. יש לוודא כי אינכם נכנסים לקישורים שמכילים הזרקה בשורת החיפוש.
  4. גיבויים -> תמיד לגבות!

 

 

אם עזרתי לך, דרג את הפוסט 🙂

לחץ על הכוכב שאיתו תרצה לדרג את הפוסט שלנו

דירוג ממוצע / 5. הצביעו עד כה:

אנו מצטערים שהפוסט הזה אינו שימושי עבורך 🙁

תן לנו לשפר בשבילך את הפוסט!

הוסף תגובה

כתובת האימייל שלך לא תפורסם, שדות עם כוכבית - חובה למלא