+- باشگاه کاربران روماک (https://forum.romaak.ir)
+-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3)
+--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5)
+--- موضوع: آسیب پذیری اغلب افزونه های وردپرس در مقابل حملات xss (/showthread.php?tid=72)
آسیب پذیری اغلب افزونه های وردپرس در مقابل حملات xss - saberi - ۹۴/۴/۲۸
یکی از روش های نفوذ علیه وب گاه های برخط و اگر در یک وب گاه امکان بروز چنین حملاتی وجود داشته باشد، آن وب گاه را آسیب پذیر می گویند.
به گزارش آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , در این نوع حملات مهاجمان سایبری با تزریق اسکریپت های مخرب به وب گاه، در واقع بازدید کننده ی این وب گاه را هدف قرار می دهند و می توانند اطلاعات کاربران را به سرقت ببرند. XSS کوتاه شده ی عبارت Cross Site SCripting است، البته سرنام واقعی این عبارت به صورت CSS است که چون این مخفف در دنیای وب از چندین سال پیش استفاده می شده است، عبارت XSS جایگزین آن شده است.
واقعیت این است که آسیب پذیری XSS یکی از رایج ترین آسیب پذیری در وب گاه ها محسوب می شود. زمانی که وب گاه بر اساس یک سامانه ی مدیریت محتوا یا CMS توسعه پیدا کرده باشد، این آسیب پذیری می واند از طریق افزونه های به کار رفته در این CMS در وب گاه وجود داشته باشد. با همه ی این توضیحات تصور کنید، چندین میلیون وب گاه مبتنی بر سامانه ی مدیریت محتوای وردپرس وجود دارد و چندین هزار افزونه در این وب گاه ها به کار رفته است، اگر چندین افزونه به صورت مشترک دارای مشکلی باشند که آسیب پذیری XSS را به همراه داشته باشد، چه اتفاقی می افتد؟
یکی از توسعه دهندگان افزونه های وردپرس به نام Joost de Valk به تازگی با کشف یک مشکل مهم در بسیاری از افزونه ها، از جمله دو افزونه ای که خودش توسعه داده یعنی WordPress SEO و Google Analystic که توسط میلیون ها وب گاه استفاده می شود، هشداری در مورد آسیب پذیری XSS منتشر کرده است.
وردپرس نزدیک به ۴۰ هزار افزونه دارد و به همین دلیل امکان بررسی تک تک افزونه ها وجود ندارد، اما در بررسی های ٪۱ برتر، مشخص شده است که اغلب آن ها دارای آسیب پذیری XSS هستند و این نشان میدهد که احتمالاً در ٪۹۹ دیگر هم این آسیب پذیری وجود دارد.
فهرست برخی از افزونه های آسیب پذیر در ادامه آورده شده است:
Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms
شما به عنوان یک مدیر وب گاه برای امنیت وب گاه خود چه برنامه ای دارید؟
ابتدا لازم است با مراجعه به wp-admin به روزرسانی های افزونه ها را دریافت کنید، سپس از یک دیواره ی آتش نرم افزاری استفاده کنید تا احتمال سوء استفاده از آسیب پذیری XSS را کاهش دهید.
دریافت وصله هایی که بعد از کشف یک آسیب پذیری معرفی می شود، بسیار ضروری است و نباید اعمال آن ها را به تعویق انداخت. همیشه به خاطر داشته باشید که شاید وب گاه شما خیلی مهم نباشد، اما یک مهاجم سایبری ترجیح می دهد هزاران وب گاه نه چندان مهم داشته باشد و شاید وب گاه شما یکی از آنها باشد
به گزارش آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , در این نوع حملات مهاجمان سایبری با تزریق اسکریپت های مخرب به وب گاه، در واقع بازدید کننده ی این وب گاه را هدف قرار می دهند و می توانند اطلاعات کاربران را به سرقت ببرند. XSS کوتاه شده ی عبارت Cross Site SCripting است، البته سرنام واقعی این عبارت به صورت CSS است که چون این مخفف در دنیای وب از چندین سال پیش استفاده می شده است، عبارت XSS جایگزین آن شده است.
واقعیت این است که آسیب پذیری XSS یکی از رایج ترین آسیب پذیری در وب گاه ها محسوب می شود. زمانی که وب گاه بر اساس یک سامانه ی مدیریت محتوا یا CMS توسعه پیدا کرده باشد، این آسیب پذیری می واند از طریق افزونه های به کار رفته در این CMS در وب گاه وجود داشته باشد. با همه ی این توضیحات تصور کنید، چندین میلیون وب گاه مبتنی بر سامانه ی مدیریت محتوای وردپرس وجود دارد و چندین هزار افزونه در این وب گاه ها به کار رفته است، اگر چندین افزونه به صورت مشترک دارای مشکلی باشند که آسیب پذیری XSS را به همراه داشته باشد، چه اتفاقی می افتد؟
یکی از توسعه دهندگان افزونه های وردپرس به نام Joost de Valk به تازگی با کشف یک مشکل مهم در بسیاری از افزونه ها، از جمله دو افزونه ای که خودش توسعه داده یعنی WordPress SEO و Google Analystic که توسط میلیون ها وب گاه استفاده می شود، هشداری در مورد آسیب پذیری XSS منتشر کرده است.
وردپرس نزدیک به ۴۰ هزار افزونه دارد و به همین دلیل امکان بررسی تک تک افزونه ها وجود ندارد، اما در بررسی های ٪۱ برتر، مشخص شده است که اغلب آن ها دارای آسیب پذیری XSS هستند و این نشان میدهد که احتمالاً در ٪۹۹ دیگر هم این آسیب پذیری وجود دارد.
فهرست برخی از افزونه های آسیب پذیر در ادامه آورده شده است:
Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms
شما به عنوان یک مدیر وب گاه برای امنیت وب گاه خود چه برنامه ای دارید؟
ابتدا لازم است با مراجعه به wp-admin به روزرسانی های افزونه ها را دریافت کنید، سپس از یک دیواره ی آتش نرم افزاری استفاده کنید تا احتمال سوء استفاده از آسیب پذیری XSS را کاهش دهید.
دریافت وصله هایی که بعد از کشف یک آسیب پذیری معرفی می شود، بسیار ضروری است و نباید اعمال آن ها را به تعویق انداخت. همیشه به خاطر داشته باشید که شاید وب گاه شما خیلی مهم نباشد، اما یک مهاجم سایبری ترجیح می دهد هزاران وب گاه نه چندان مهم داشته باشد و شاید وب گاه شما یکی از آنها باشد