انجمن


گزارش حفره امنیتی در پلاگین Advanced Custom Fields  (۲ نوشته)

  • T_Babak

    آفلاین
    عضو
    تعداد نوشته‌ها: ۴
    تشکر شده: ۱ بار
    # نوشته شده: ۹ سال پیش
    ۱۷ مهر ۱۳۹۴ - ۱۴:۴۵

    بسم الله الرحمن الرحیم
    سلام دوستان
    امروز قصد اگاه سازی شما دوستان از حفره امنیتی (باگ) افزونه Advanced custom fields را دارم
    این پلاگین طرفداران زیادی در سرتاسر دنیا دارد و تا به حال حدود ۱میلیون بار این افزونه روی سایت ها وردپرسی نصب و در حال اجرا است
    پلاگین advanced custom fields حفره امنیتی xss دارد

    xss مخفف Cross site Scripting می باشد
    هکر از طریق حمله با این باگ کوکی های ادمین را بدست میاورد و با استفاده از کوکی ها اقدام به لاگین شدن به سایت می کند
    با استفاده از باگ xss می توان:

    به پنل ادمین لاگین کرد
    پسورد ادمین و یوزرنیم را تغییر داد
    کد مخرب به سایت طزریق کرد
    سایت را از دسترس خارج کرد
    و …

    پس حفره خطرناکی هست

    خب برای این که شک دوستان درباره حرف من «حفره امنیتی در پلاگین Advanced Custom Fields» برطرف شود به صورت عملی به ثابت کردن حفره امنیتی در پلاگین Advanced Custom Fields می پردازیم

    پس از نصب و فعال سازی پلاگین به مسر زیر بروید:

    site.com/wp-admin/edit.php?post_type=acf

    سپس روی گزینه اضافه کردن add new کلیک کنید و سپس روی add fied
    در فیلد های خالی این قطعه کد را وارد کنید:

    <scripT>alert(/x/)</scripT>

    توضیحات راجع به قطعه کد بالا:
    این کد برای تست باگ xss به کار می رود
    خب همان طور که مشاهده می کنید alert می دهد پس حفره وجود دارد
    تصویر
    این تست نفوذ بر روی ورژن اخر افزونه یعنی نسخه ۴٫۴٫۳ صورت گرفته است

    مهم نیست یک افزونه چقدر طرفدار داشته باشد،مهم نیست چه امتیازی داشته باشد،مهم نیست چقدر نصب و فعال شده داشته باشد!
    مهم امنیت ان افزونه هست
    کپی و انتشار این پست با رعایت حق مولف یعنی مستروب مجاز می باشد
    از دوستانی که این مطلب را مطالعه کردند خواهشمندیم در شبکه های اجتماعی،انجمن ها و… به اشتراک بگذارند
    هدف از این پست اگاه سازی وبمستران عزیز کشورمان و کمک به تامین امنیت سایت های وردپرسی می باشد
    سوالی،مشکلی چیزی بود خوشحال میشم از طریق قسمت نظرات اعلام بفرمایید
    با تشکر مدیریت مستروب
    یاعلی.

    منبع:مستروب

  • T_Babak

    آفلاین
    عضو
    تعداد نوشته‌ها: ۴
    تشکر شده: ۱ بار
    # نوشته شده: ۹ سال پیش
    ۱۸ مهر ۱۳۹۴ - ۱۳:۳۴

    سلام
    صدرصد باید بررسی و فیکس شه در غیر این صورت....
    امنیت یک میلیون کاربر در خطر هست

درباره‌ی این موضوع



برچسب‌ها

هیچ برچسبی نیست.