最新XSS漏洞影响多个WordPress插件
http://p32.qhimg.com/t01d09fa3a2bfee51fb.jpg?size=430x334由于误用add_query_arg() 和remove_query_arg()函数,多个WordPress插件很容易被跨站点脚本(XSS)入侵。而在WordPress中,开发者经常使用这两个函数修补和增加URLs的查询字符串。
WordPress官方文档(Codex)中关于这些函数的叙述很模糊,因此许多插件开发者就没法正确使用这些功能。开发者们认为函数会帮助他们过滤用户的有害输入,但实际上并非如此。因此,这个简单的细节就使许多流行插件置于XSS的攻击之下。
到今天为止,还是受到影响的插件:
还有一些没有列上去。若你用WordPress,我们强烈建议你立刻去wp-admin dashboard升级所有的插件。
Yoast的乔斯特在他的插件中首先运用了这个方法(他详细描述了这个方法)。我们之前和他一起研究过这个问题,发现许多其他插件也受到了影响。
我们的研究团队和其他朋友(尤其是Yoast的乔斯特),最近认真研究了WordPress的存储库,试着寻找解决方法,尽可能通知插件开发者,帮助他们解决这个问题。
漏洞的披露
上周,我们首次发现了这个漏洞。由于问题严重性不同,更重要的是受到影响的插件数量太多,我们和所有其他开发者以及WordPress核心安全团队合作,共同研究这个漏洞。这么多的开发者联合起来,为了美好的目标共同努力,这是伟大的团队合作,也是一次愉快的经历。我们自豪的宣布,所有插件都被修复了,到今天上午,所有用户都能进行更新了(2小时前,每个人都能进行更新了)。
若你使用WordPress,现在你已经能更新插件了!
如果你能自动更新,那么你的网站已经得到了修补,尤其是最严重的地方。
还是有很多插件易受攻击
我们的团队已经分析了前300-400个插件,但这个数量远不及有漏洞的插件的数量。因此,还有许多插件存在漏洞。如果你是开发者,那么请检查你的代码。看看你该如何使用这两个函数:
add_query_arg
remove_query_arg
要确保在使用前避开漏洞。我们建议一起使用 esc_url() (or esc_url_raw())功能。你不必担心这两个函数会忽略用户输入。 WordPress团队在这里发布了add_query_arg 和remove_query_arg的更多细节。
该更新了!
如果你用了这些插件,现在就进行更新!我们会继续研究,寻找更多插件漏洞,实时更新插件列表。
我们在这里也提醒大家,所有软件都有bug,而有一些bug不可避免地会产生安全漏洞,就像在生活中,不可避免地会发生意外。这些与插件、主题、网络服务器、CMS等有关的应用都是人们基于代码编写的。开发者想要缩小它们的体积,部署安全编码原则(secure coding principles),就不可避免地会有错误。我们只需做好准备,想办法降低漏洞带来的影响,今天你所看到的我们联合发布的信息就是完美的解决方式。
这里有一些技巧,能够降低你的威胁风险,有利于提升安全系数:
修补。更新你的网站。
限制。限制访问控制。限制你的wp-admin目录,只允许列出来的IP地址访问。只允许真正需要的用户进行管理员访问。除非你真的要做管理员的工作,否则不要注册为管理员。一些限制访问控制的方法,能够降低网站中的漏洞产生的影响。
监控。监控你的日志。日志可能会有一些线索,帮助你了解你的网站发生了什么。
减小范围。只用你的网站真正需要的插件(或主题)。
检测。预防可能没用,所以我们建议你扫描入侵标志或过时软件。Our plugin 和Sitecheck能免费检测。
深度防御。如果你有入侵防御系统(IPS)或Web应用防火墙(WAF),它们就可以阻止大部分普通的XSS攻击。你甚至可以用云代理来阻止攻击。如果你喜欢开源路径,可以试试OSSEC,Snort 和 ModSecurity。
这些规则能普遍应用于大部分安全网络(或任何兼容PCI的网络),但是,只有少数网站所有人认为它们有利于自己的网站或环境。
我们还有一些别的更高级的方法;希望你们能仔细查看我们的博客,获取更多方式,来保护你的网站、预防威胁。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
页:
[1]