Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Исследователь опубликовал новый метод обхода CSP с помощью WordPress

06/06/22

Wordhack2-2Техника взлома, разработанная исследователем безопасности Паулосом Йибело , основана на использовании уязвимости вида «same origin method execution», позволяющая атакующему выполнять от имени пользователя непредусмотренные действия.

Техника также использует JSONP(дополнение к базовому формату JSON) для вызова функции. Подобные вещи могут позволить скомпрометировать учетную запись WordPress, но только при наличии эксплойта для межсайтового скриптинга (XSS), которого у исследователя пока нет.

Йибело рассказал, что он не пытался использовать этот трюк на реальных сайтах, ограничив применение эксплойта тестовым сайтом.

"Для теста мне бы пришлось ждать пользователя WordPress, затем устанавливать плагин и делать HTML-инъекцию. Это незаконно даже в рамках моей задачи.", – объяснил исследователь.

По словам Йибело, он проинформировал WordPress об этом методе взлома еще три месяца назад. Но не получив ответа, исследователь решил опубликовать результаты своих трудов в техническом блоге.

Использование подобного метода атаки возможно в двух сценариях:

1) Веб-сайт не использует WordPress напрямую, но имеет на нем конечную точку.

2) Веб-сайт размещён на WordPress с заголовком CSP.

Последствия подобной атаки серьезны, пишут в Securitylab. Если злоумышленник сможет осуществить HTML-инъекцию, то используя найденную Паулосом уязвимость, хакер сможет модернизировать HTML-инъекцию до полноценного XSS , который в свою очередь может быть повышен до выполнения RCE (удаленного выполнения кода).

Издание The Daily Swig предложило основной команде разработчиков WordPress прокомментировать исследование, но ответа от компании пока не последовало.

Темы:WordPressУгрозы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...