MaxSite.org
MaxSite.org
Как создать свой сайт на MaxSite CMS
Обратите внимание, что вместо WordPress
лучше использовать современную и качественную
систему управления сайтом - MaxSite CMS!

Обновление плагина «Anti-XSS attack»

9 февраля 2008 г. Просмотров: 11049 RSS 10
WordPress » Плагины и хаки

Как мне подсказали (спасибо, Kesha) плагин Anti-XSS attack всё-таки можно обойти. Если кратко, то в плагине проверяется вхождение «родного» адреса в адрес реферера. Таким образом можно сформировать url, содержащий адрес атакуемого сайта и выполнить POST. Плагин в данном случае не сработает, поскольку в referer будет содержаться адрес атакуемого сайта.

По этой причине я переписал плагин. Теперь он строго проверяет входящий и «родной» host'ы и в случае несовпадения выдает соответствующее предупреждение.

Если вы использовали предыдущую версию, то я бы рекомендовал его обновить. Текущая версия 0.4 beta.

Плагин «Anti-XSS attack» 950


twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru friendfeed.com google.com yandex.ru
Еще записи по теме
Комментариев: 10
  1. 2008-02-09 в 01:50:31 | Игорь Долбин

    Обновился smile.

    Безопасность прежде всего!

  2. 2008-02-09 в 05:43:52 | Абсурдный Людь

    +1

  3. 2008-02-09 в 06:23:48 | Maksus

    Спасибо огромное! Что бы мы без тебя делали?!

  4. 2008-02-09 в 19:16:11 | Dimox

    Максим, спасибо за благородное дело!

  5. 2008-02-09 в 19:57:17 | mekaL

    спасибо, обновился) вроде работает)

  6. 2008-02-10 в 03:24:32 | sonika

    Спасибо!

  7. 2008-02-11 в 01:23:37 | Оптимизатор

    Спасибо. скачаем заново smile

  8. 2008-05-19 в 11:58:53 | selfer==

    Приятно, что я не зря создал топик про уязвимость XSS 2.0 и это помогает людям =)

  9. 2009-01-07 в 13:21:44 | Охотник на зелёных link

    Максим, а этот плаг на WP2.3.3 идёт? Я имею ввиду обновлённый вариант...

  10. 2010-09-30 в 02:59:04 | Ripper link

    Спасибо за плагин, но у меня вопрос (возможно глупый): он делает тоже самое что и код .htaccess, расположенный ниже question cool hmm

    Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\< |<).*script.*(\>|>) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Оставьте комментарий!

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

Комментарий будет опубликован после проверки

(войти без комментирования)

Имя и сайт используются только при регистрации

Авторизация: Loginza.

(обязательно)

РЕКЛАМА intergraph Петербург предлагаем shipconstructor Платина группа с стс зажигает супер-звезду. Группа платина стс.
Какие новые статьи на сайте вам были бы интересны?
   Результаты
Идет загрузка…

Идет загрузка…

Полезное
Подписка по email

Поиск по сайту
Инфо
Рейтинг@Mail.ru Rambler Top100
Чужие статьи
Создание функциональных и красивых сайтов является главной
Система Orphus
© MaxSite.org, 2006-2012
Работает на MaxSite CMS | Время: 0.0939 | SQL: 17 | Память: 1.98MB | Вход