חולשת אבטחה קריטית בתוסף סטטיסטיקות וורדפרס

שלום לכולם 🙂

חישפתי תוסף שיאפשר לי לקבל תמונת מצב לגבי הפוסטים באתר, ולגבי הפעילות בדפים באתר, כך שאוכל לדעת בוודאות אילו דפים נצפים יותר, ואילו פחות – כך שאוכל לשפר את איכות התוכן בדפים הללו.

הגעתי לתוסף העונה לשם WP Statistics -> תוסף סטטיסטיקות לוורדפרס, שנותן תמונת מצב מלאה לגבי הפעילות באתר, התוסף מכיל בתוכו מגוון רחב של כלים לזיהוי של פעילות הגולשים, ונותן תמונת מצב לגבי הדפים הפעילים ביותר.

אחד הדברים שאני נוהג תמיד לעשות בעת התקנת תוסף חדש, הוא למעשה לבחון את רמת האבטחה שלו, האם הכל בו מטופל אכן כמו שצריך, ואין פרצות אבטחה שיכולות לסכן את האתר שלי.

לאחר כמה חיפושים ידניים, הגעתי לחולשת אבטחה באיזור החיפוש בעוד שהתוסף פועל, חולשה מסוג Cross Site Scripting – החולשה הזו למעשה מאפשרת לי להזיק קוד Javascript לתוך דף החיפוש, ומשם ניתן לבצע פעולות זדוניות כנגד בעלי אתרי וורדפרס, כגון גניבה של עוגיות, הרצה של סקריפטים ממקורות מרוחקים, ועוד המון המון אפשרויות.

 

תמונות:

מה שאנחנו רואים כאן למעשה, הוא שהשאילתה שהכנסתי לתוך בקשת ה-GET, למעשה קטעה את הקוד שאמור להיות נסתדר מגולש, ובעצם הדפיסה לי מידע מתוך המערכת (דבר שלא אמור לקרות).

 

בתמונה ניתן לראות כי הקוד שהכנסתי "קטע" את הסקריפט ובעצם הדפיס לי על המסך את מה שהזנתי ב-GET.

 

  • דיווחתי על הפרצה ליוצרי התוסף, על מנת שיוציא עדכון אבטחה בנושא, כצפוי בעוד מספר ימים צפוי לצאת עדכון אבטחה לפרצה זו.

 

טיפים חשובים להתמודדות:

  1. יש לנטרל את התוסף באופן זמני עד שיצא פאצ' תיקון לתקיפה זו (מומלץ למחוק אפילו או להעביר לתיקיה זמנית אחרת).
  2. יש לוודא כי כל התוספים שברשותכם מעודכנים.
  3. יש לוודא כי אינכם נכנסים לקישורים שמכילים הזרקה בשורת החיפוש.
  4. גיבויים -> תמיד לגבות!

 

 

אם עזרתי לך, דרג את הפוסט 🙂

לחץ על הכוכב שאיתו תרצה לדרג את הפוסט שלנו

דירוג ממוצע 4 / 5. הצביעו עד כה: 2

אף אחד עדיין לא דירג את הפוסט, היה ראשון לדרג 😉

אנו מצטערים שהפוסט הזה אינו שימושי עבורך 🙁

תן לנו לשפר בשבילך את הפוסט!

ספר לנו כיצד נוכל לשפר את הפוסט?

אהבת את הפוסט? אשמח אם תשתף אותו!

שיתוף ב facebook
שיתוף ב linkedin
שיתוף ב twitter
שיתוף ב email
שיתוף ב whatsapp
שיתוף ב telegram

Subscribe To Our Newsletter

Get updates and learn from the best

תוכן שאולי יעניין אותך..

Windows

סקריפט לניקוי קבצים זמניים ב-Windows 10

קבצים זמניים הם קבצים אשר נוצרים בעת הרצה של תוכנה או הפעלה של מערכת ההפעלה, לצורך תפקוד של תוכנה שפועלת ברקע. התוכנה למעשה יוצרת את

סקירות

סקירה: Lenovo Thinkpad E480

כבר הרבה זמן שחיפשתי לקנות מחשב נייד, שהמחיר יהיה שפוי, איכות בנייה טובה, משקל קל יחסית, וכמובן בלי להתפשר על איכות הביצועים. הגעתי למחשב נייד