MaxSite CMS - бесплатный «движок» вашего сайта! Легкая, мощная и надежная CMS - система управления сайтом. Никаких тормозов!

Обновление плагина «Anti-XSS attack»

9 февраля 2008 г.

RSS

WordPress » Плагины и хаки WordPress

Как мне подсказали (спасибо, Kesha) плагин Anti-XSS attack всё-таки можно обойти. Если кратко, то в плагине проверяется вхождение «родного» адреса в адрес реферера. Таким образом можно сформировать url, содержащий адрес атакуемого сайта и выполнить POST. Плагин в данном случае не сработает, поскольку в referer будет содержаться адрес атакуемого сайта.

По этой причине я переписал плагин. Теперь он строго проверяет входящий и «родной» host'ы и в случае несовпадения выдает соответствующее предупреждение.

Если вы использовали предыдущую версию, то я бы рекомендовал его обновить. Текущая версия 0.4 beta.

Плагин «Anti-XSS attack» ¹¹¹³

Еще записи по теме

Комментариев: 10

2008-02-09 в 01:50:31 | Игорь Долбин#1

Обновился .

Безопасность прежде всего!
2008-02-09 в 05:43:52 | Абсурдный Людь#2

+1
2008-02-09 в 06:23:48 | Maksus#3

Спасибо огромное! Что бы мы без тебя делали?!
2008-02-09 в 19:16:11 | Dimox#4

Максим, спасибо за благородное дело!
2008-02-09 в 19:57:17 | mekaL#5

спасибо, обновился) вроде работает)
2008-02-10 в 03:24:32 | sonika#6

Спасибо!
2008-02-11 в 01:23:37 | Оптимизатор#7

Спасибо. скачаем заново
2008-05-19 в 11:58:53 | selfer==#8

Приятно, что я не зря создал топик про уязвимость XSS 2.0 и это помогает людям =)
2009-01-07 в 13:21:44 | Охотник на зелёных #9

Максим, а этот плаг на WP2.3.3 идёт? Я имею ввиду обновлённый вариант...

2010-09-30 в 02:59:04 | Ripper

#10

Спасибо за плагин, но у меня вопрос (возможно глупый): он делает тоже самое что и код .htaccess, расположенный ниже

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\< |<).*script.*(\>|>) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Оставьте комментарий!