信得过市场下载的东西吗
WordPress系统开源内容管理系统授权超过6千万网站或约18%网站最大优势之一是第三方写出大量插件,允许作者使用WordPress内部高级特征检验符生成自动化代码审查解决方案, 最近查看前50插件WordPress测试漏洞他们的分析发布于此发现前50名中20%易受最常用网络攻击更可怕的是,10大电子商务插件中7个易损
表示脆弱插件下载上网约800万次曾有机会与Maty Siman、CTO和Cripsarx共同创建者以及我的朋友Noa BarYosef通话,后者是Cripsmarx的顾问,在Infosec社区中人所共知。Maty和Noa告诉我安全或黑客WordPress插件前有报告TimThumbLFI漏洞暴露120万网站并重定位20万WordPress网页到流氓网站
清晰地说,我们正在谈论使用最基本黑客类型的脆弱性问题。SQL常用注入和跨站脚本类型攻击等用不着做邪恶天才 找这些亲戚
校验报告单选WordPress,Maty和Noa强调其他主CMS程序可能也是如此问题在于组织像自动化wordPress制作者发布某些编码标准和建议,但没有安全指南或要求插件开发者需要遵守
校验报告的一些关键发现如下:
开工最受欢迎的50 WordPress插件中20%易受常用Web攻击.即这些插件易受 SQL注入系统(SQLi)、跨站脚本编程系统(XSS)、跨站请求伪造系统(CSRF)和路径轨迹
二叉前10位中7位最受欢迎电子商务插件易受常见Web攻击超过170万次下载脆弱电子商务插件插件易受SQLi、XSS、CSRF、RFI/LFI和PT
3级代码行数与插件脆弱度无关每一行代码都具有潜在作用 引入漏洞Checkmarx发现反向不正确最小代码不一定表示安全代码恰恰相反 — — 某些插件只包含数千行代码比数万行代码插件含有更多类型漏洞
4级前50位通用插件类型不等包括但不限于插件用于:
- 电子商务,如购物车
- 内容管理,如进料聚合器、相关链路和破解链路检查
- 网站开发,例如网页开发APIs
- 社会网络-从联通脸书到建立内部组织网络
5级仅有6个插件半年完全固定-尽管所有插件都在此期间更新版本首次扫描于2013年1月显示易损插件比率较高,超过三分之一插件易损性(50分之18)。整体而言,这意味着下载近1 850万脆弱插件脆弱度第一次扫描还显示RFI/LFI漏洞的存在第二次扫描2013年6月初在所有插件更新版上进行但这些更新中只有6个没有先前发现的漏洞它们是:
- BuddyPress-为组织创建社交网络下载量:1 319 743由 Chistmarx警示弱点
- BBPress论坛软件下载量:483 283由 Chistmarx警示弱点
- 电子商务-购物车插件下载量2209352由 Chistmarx警示弱点
- Woo商务-电子商务商店下载量469 503由 Chistmarx警示弱点
- W3总缓存-通过缓存优化网站下载数:1 450 980极有可能固定为安全大修的一部分 后完全外部披露 一些漏洞
- 超级缓存-网站缓存优化下载量3 984 976极有可能固定安全大修与W3 Total缓存相同
对我而言,这是谷歌Play商店 和其他在线市场所见的同型事物应用或插件特征是向从手机和平板电脑到云实例和网站等一切添加功能和特征的极好方法,但你信任市场下载吗?
市场或应用商店今天在许多地方都成特征作为这些市场中的消费者,我们往往认为,仅仅因为某事已被批准用于ac商店或市场,它必须是安全的。Checkmarx报告再次显示它不一定属实安全期望对应用程序、插件或程序应是什么?
iTunes应用商店的强项之一是,大部分经批准的应用已被检查安全风险Google最近做了更好的安全检查第三方市场数目之多亚马逊和拉克空间云市场或WordPress插件
眼下,我们正处在野生西方市场时代希望在近期安全需求到位 所有插件、应用程序从市场使用在那之前,你最好记住这一点, 仅仅因为它可用, 并不意味着它安全
WordPress管理者特指,
开工仅从声望源下载插件WordPress表示WordPress.org既然任何人都能开发WordPress插件,黑客也可以利用这个漏洞隐藏自己的邪恶插件遍历声望市场并不能保证无害插件,但你应该视之为第一防线
二叉验证插件安全姿势时扫描安全性问题无法管理插件源码时,可运行WordPress动态安全扫描插件下坡路测试唯一特定场景 扫描仪失去覆盖
3级确保所有插件都更新wordPress插件甚至可用,通知管理员更新其他安装插件第三方服务提供插件更新通知和管理提供
4级删除未使用插件调度插件spring清理工作作为WordPress网站管理活动的一部分
