Bezpieczeństwo — atak polegający na wstrzyknięciu krótkiego kodu
WordPress Development Stack Exchange to strona z pytaniami i odpowiedziami dla programistów i administratorów WordPress. Rejestracja zajmuje tylko minutę.
Zarejestruj się, aby dołączyć do tej społeczności
Każdy może zadać pytanie
Każdy może odpowiedzieć
Najlepsze odpowiedzi są głosowane i wznoszą się na szczyt
Spytał
Oglądane544 razy
To jest prawdopodobnie głupie pytanie. Czy ktoś mógłby potencjalnie użyć ataku polegającego na wstrzyknięciu krótkiego kodu?
Co powstrzymuje kogoś przed wstrzyknięciem czegoś takiego?
[shortcode]Do something[/shortcode]
Jestem pewien, że WP już o tym myślał, ale zastanawiam się tylko, jaki mechanizm bezpieczeństwa zatrzymuje ten typ ataku iniekcyjnego?
2
-
Ogólnie rzecz biorąc, podobnie jak w przypadku każdego innego motywu lub wtyczki w twoim systemie, nie ma nic wbudowanego, co mogłoby zapobiec wszystkim wektorom ataku
-
Skróty to rodzaj makr do generowania kodu HTML. Skróty, które nie robią więcej, powinny być ogólnie bezpieczne.
-
Największy problem z krótkimi kodami polega na tym, że ich wstawianie i „wykonywanie” nie zależy od żadnej kontroli możliwości. Jeśli masz krótki kod, który można wykorzystać, nawet współautor będzie mógł go nadużyć.
Więc co robić? Zwłaszcza jeśli prowadzisz witrynę z wieloma autorami, unikaj skrótów, które naruszają punkt 2, zwłaszcza tych, które jawnie pozwalają na wykonanie kodu PHP, i jak zawsze używaj motywów i wtyczek tylko z szanowanych źródeł (niestety popularność nie ma prawie nic wspólnego z byciem „ szanowany”).
Jak ze wszystkim, problem tkwi w kodzie PHP. Jak wyjaśnił Mark, zawsze używaj motywów i wtyczek z szanowanych źródeł. Istnieje jedno narzędzie o nazwie RIPS, którego możesz również użyć.
Osoba z rolą współtwórcy może wykonać przechowywany XSS za pomocą atrybutów shortcode. Dlatego ważne jest, aby sprawdzać poprawność atrybutów i unikać wszelkich danych wyjściowych.
domyślny