Плагин Anti-XSS attack

Добавил Tokito | Опубликовано в Плагины | Дата: 19-04-2011 |

Плагин Anti-XSS attackЭтот плагин появился сравнительно недавно. Причиной его создания стало активное обсуждение на одном из форумов темы, суть которой будет изложена дальше.
Все без исключения версии WordPress имеют недоработки, и об этом известно многим. Нужно отметить, что большое количество текущих проблем на данный момент остается неизвестным. Выходит, что злоумышленники могут легко определить уязвимость, создав запрос особой формы к вашему сайту, что позволит им, к примеру, получить доступ администратора.
Однако положение дел может быть и еще хуже. К примеру, злоумышленников ничто не остановит создать маленькую html-страничку, где может без помех размещаться скрытая форма, с помощью которой можно в автоматическом режиме добавлять посетителей с правами администратора на ваш сайт. Известно, что основная масса пользователей после использования блога не начинает разлогиниваться, значит, когда вы окажитесь на ссылке злоумышленника, то от собственного имени сделает еще одного пользователя администратором.
Проблемный вопрос с XSS можно отнести не только к WordPress, а и ко всем другим «движкам» со скриптами.
Чтобы защитить от подобных атак собственный ресурс необходимо воспользоваться проверкой и определить, откуда был послан подобный вид запроса: когда он с другого сайта, то, вероятнее всего, это можно расценивать как XSS-атаку.
При создании данного плагина использовалась основа от другого плагина (создатель которого Юрий Белотицкий) с названием paranoya. От него была сохранена лишь проверка входящего потока данных.
Рассмотрим на чем основывается работа плагина «Anti-XSS attack». Когда на сайт начинают приходить данные, точнее на «wp-admin», то осуществляется проверка реферера. Когда это _GET (имеет форму url) и значение реферера не соответствует адресу вашего сайта, то происходит остановка выполнения скрипта, открывается сообщение, где указывается ссылка, пройдя по которой только подтверждается действие.
Когда поток данных передается в зашифрованном виде (форма _POST) и значение реферера не соответствует вашему сайту, то скрипт просто останавливает свою работу.
В первом случае необходимо подтвердить операцию, так как некоторые из запросов WordPress создаются в соответствии с этой формой. К примеру, когда требуется подтвердить запись к какому-либо комментарию. В случае XSS-атаки злоумышленник сам может попасть по ссылке, тогда WordPress начнет проверку прав собственным способом.

Интересное:
Где я только не бывал? В этом году у меня будет отпуск целых две недели, и я уже подбираю туры в египет 2011 года. Я был там уже раз пять, но ни разу не был разочарован.

Похожие материалы:

Оставить комментарий

20.31MB | MySQL:47 | 0.216sec