В WordPress виправили критичну XSS-уразливість.

22 листопада 2014, 22:42 | Технології
фото з InternetUA
Розмір тексту:

Пролом приводила до помилок у процесі перевірки безпеки HTML-тегів в полі коментарів, що дозволяло здійснити XSS-атаки.

Розробники популярного CMS WordPress випустили оновлення 4. 1, про що повідомляється в офіційному блозі компанії. Крім іншого, апдейт виправляє критичну XSS-уразливість, що дозволяє зловмисникам отримати доступ до ресурсу під управлінням цієї платформи.

Проблема полягала в тому, що WordPress дозволяє оформляти коментарі з допомогою HTML-тегів. Розробники CMS спробували ввести захисні заходи, обмеживши кількість дозволених для використання тегів і ввівши додаткові перевірки HTML-коду в коментарях на наявність небезпечних елементів. В деяких випадках ці перевірки не спрацьовували, а браузер виконував розбір некоректного HTML-коду. Це дозволяло вставити шкідливу корисну навантаження в полі коментарів, здійснивши таким чином XSS-атаки на уразливий сайт.



Одним з рішень для запобігання подібних ситуацій могло бути використання стандартної бібліотеки зразок HTML Purifier. Багато розробники відмовляються від її використання, віддаючи перевагу більш легкі альтернативи. Тим не менш, HTML Purifier надає цілий ряд вбудованих засобів безпеки: він нормалізує HTML-код і знищує некоректні елементи, а також надає гнучкий файл конфігурації. Рішення, що використовується в WordPress, замість цього покладається на регулярні вирази, які не завжди можуть забезпечити достатній рівень безпеки.




Додати коментар
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введіть вірну відповідь         
Новости на русском