Siga o Suporte Ninja por email

quinta-feira, 23 de abril de 2015

Plugins famosos do Wordpress vulneráveis a XSS - Cross-site Scripting



Plugins famosos do WordPress vulneráveis a XSS - Cross-site Scripting


Muitos Plugins famosos e comuns em sites WordPress foram atualizados para corrigir as vulnerabilidades que permitem que os hackers possam injetar códigos maliciosos nos navegadores das pessoas que visitam ‘sites confiáveis’.


Administradores responsáveis ​​por sites de WordPress deve certificar-se que as correções sejam instaladas o mais rápido possível.

A vulnerabilidade consiste em um cross-site scripting cross-site scripting (XSS)


Que permitem que hackers possam para inventar URLs endereço especiais que injetam um código javascript para rodar no navegador da vítima em sites vulneráveis​. Exploits pode roubar cookies de autenticação altamente sensíveis, que dão aos usuários o acesso às suas contas pessoais sem ter que digitar uma senha. Ataques XSS também pode alterar o conteúdo dentro de uma página Web vulnerável. Juntamente com o SQL inject os ataques XSS estão entre os ataques mais comum na Internet.


Nos últimos dias, mais de uma dúzia de plugins WordPress foram atualizados para corrigir as vulnerabilidades cross-site scripting (XSS).


De acordo com um comunicado publicado pela empresa de segurança de aplicativos Blog-Sucuri, os Plugins vulneráveis são:

Os furos cross-site scripting (XSS) ocorrem sempre que uma aplicação obtém as informações fornecidas pelo

usuário e as envia de volta ao navegador sem realizar validação ou codificação daquele

conteúdo. O cross-site scripting (XSS) permite aos atacantes executarem scripts no navegador da vítima, o qual

pode roubar sessões de usuário, pichar sites Web, introduzir worms, etc.

As vulnerabilidades são o resultado de desenvolvedores que abusaram de duas funções de escape para adicionar seqüências de consulta do URLs, especificamente add_query_arg() e remove_query_arg().


Muitos desenvolvedores equivocadamente acreditaram que as funções iria “escapar”, ou limpar a entrada do usuário. Para as funções de escapar entrada do utilizador, que tem de ser seguido por funções tais como esc_url() ou esc_url_raw(). A equipe de desenvolvedores do WordPress tem mais orientação aqui.
Plugins famosos do WordPress vulneráveis a XSS - Cross-site Scripting

Dicas do Suporte Ninja para evitar desenvolver aplicativos vulneráveis a cross-site scripting (XSS):

Validar os dados de entrada feitos pelo usuário, isso é extremamente importante.


0x01 – Um exemplo bem prático: num campo do site aonde permite a entrada de dados somente numéricos a aplicação deve verificar que realmente os dados inseridos pelo usuário são apenas números,

0x02 – Especifique a codificação de saída

0x03 – Cuidado com os erros de conversão.

0x04 – Não use validação de “lista negra”

0x05 – Outra possibilidade e especificar a quantidade de caracteres para prevenir injects mais longas (como as de redirecionamento e roubo de cookies de autenticação).

Para os Plugins vulneráveis do WordPress listados acima já existem atualizações de segurança,


Quem trouxe a tona a vulnerabilidade foi o Blog-Sucuri e outros sites que analisaram os 300 melhores ou mais populares Plugins do WordPress. Todos os sites que usam esses Plugins devem garantir que eles foram atualizados nos últimos dias para corrigir o bug. É provável que Plugins WordPress adicionais continuem vulneráveis, os administradores devem analisar todos os plugins que funcionam em seu site para se certificar de que eles não são suscetíveis aos mesmos tipos de ataques cross-site scripting (XSS).

REFÊRENCIAS:

WASC Threat Classification
OWASP – Cross site scripting
cross-site scripting (XSS)


Todos os direitos reservados a Suporte Ninja Visite nosso Blog: Suporte ninja


O Suporte Ninja fechou parceria com um dos melhores serviços de proteção digital do mundo a VyprVPN usamos criptografia militar! Proteção digital Ninja para sua empresa e sua família. (Em breve com suporte direto atravez do nosso site "Suporte NInja" em Português)