惊恐的事件!
WordPress插件生态系统的安全性可能比许多人所担心的要差得多,因为新的研究表明,全球最受欢迎的内容管理系统成千上万的附加组件容易受到基于Web的利用的影响。beplay体育能用吗
在进行了84,508个WordPress插件的分析后,西班牙安全研究人员Jacinto Sergio Castillo Solana和Manuel Garcia Cardenas发现了5,000多个漏洞,包括4,500个漏洞SQL注入(SQLI)缺陷。
分析的许多插件都显示了多个漏洞,范围从跨站脚本((XSS)和本地文件包含以及SQLI。
在分析的84,000个WordPress插件中,共有1,775个具有易于识别的软件错误。
“我们在同一插件中找到了多达250个不同漏洞的插件,”每日swbeplay2018官网ig。“在我们的研究中,最脆弱的插件是电子商务。”
假积极关注
WordPress平台在Web托管和服务公司34SP.com的领导者Timbeplay体育能用吗 Nash欢迎了两位安全研究人员的工作,但对潜在的误报表示担忧。
“自动化工具是测试漏洞的一种非常宝贵的方法,并且有效使用时可以帮助开发人员快速有效地修补。纯粹依靠自动化工具进行漏洞报告不是我提交报告的选择,”纳什告诉每日swbeplay2018官网ig。
“如果他们经过并确认了所有5,000个漏洞,那么我的帽子就会向他们伸出,否则,我怀疑有很高的误报。
他补充说:“看来他们正在谈论有超过5,000个漏洞的1,775个插件,因此,由于自动化性质,我再次怀疑他们可能会遇到相同的漏洞并将其分类为每次引用的新漏洞。”
尽管有这些疑虑,但纳什澄清说,他认为这项研究仍然值得。
WordPress和Infosec社区的活跃成员Nash指出:“这些都不是摆脱成就或所做的研究 - 他们发现了存储库中2%的插件的潜在漏洞。”
我们要求加西亚确认发现的WordPress漏洞已被手动验证。
加西亚回答说:“我们已经手动验证了一些,并说他们中的大多数很脆弱。我们尚未包含逃脱特殊字符的功能……我们仅确定了未验证参数的弱势插件。”
“我们知道也许有误报,但我们不包括漏洞代码行,具有验证功能,例如ESC_SQL()或者htmlspecialshars(),因此我们没有超过5,000个潜在漏洞,但最主要的是开发人员没有验证SQL注射。”
rootedcon
两位西班牙研究人员在rootedcon网络安全大会上周末在马德里。
两人开发了一个称为WordPress Throre的代码分析工具,该工具分析了插件。据加西亚说,没有直接计划向更广泛的社区释放WordPress恐怖。
纳什(Nash)表示,纳什(Nash)表示,沃德佩拉斯(WordPress)恐怖在发现真正的缺陷的情况下仍未确定,他敦促安全研究人员将其工具释放给更广泛的社区。
纳什说:“因此,在舞台上看起来很棒,在第一次检查时听起来很恐怖,但是如果没有基础数据,甚至没有样本,我就无法评论。”
“有趣的是,如果他们释放工具并允许人们查看他们如何收集数据,因为这可能确实有用。”
安全错误分类学
尽管WordPress平台本身的严重缺陷本身并不常见,但涉及WordPress插件的漏洞已成为有据可查的次要问题来源影响网站。beplay体育能用吗
在WordPress恐怖研究的情况下,在多个WordPress插件中重复了许多类型的编码错误,从而产生了类似脆弱性的多个实例。
加西亚解释说:“这是因为开发人员未验证执行功能的参数(获取,发布,请求),例如在“选择SQL查询”中,他们输入具有未验证的get参数的ID参数,从而允许SQL注入。”
卡斯蒂略(Castillo)和加西亚(Garcia)已向WordPress安全团队透露了他们的发现。加西亚(Garcia)拒绝谈论受影响的插件,等待此过程的结果,不说一些“有些安装”。
Garcia总结说:“我们决定研究WordPress插件,因为35%的Internet网站使用WordPress,最弱的链接是插件。”beplay体育能用吗
“该工具已经分析了在官方WordPress网站上发布的84,000个插件,我们分析了每个人的代码,获得了很高的漏洞。beplay体育能用吗
“此外,我们所有人都库存了所有版本,我们希望在一年内进行另一个演示文稿,以查看漏洞是否已解决,并与WordPress团队合作以帮助他们。”
