📰 Новини
Уразливість, яка зачіпала понад 600 тисяч сайтів, вже виправлена
Команда Wordfence виявила уразливість міжсайтового скриптингу, що зберігається без аутентифікації в Limit Login Attempts. Це плагін WordPress, який встановлений на більш ніж 600 000 сайтів, що надає власникам сайтів можливість блокувати IP-адреси.
- Уразливість Wi-Fi можуть використовувати для стеження за людьми
- Хакери використовують старий трюк, щоб обійти захист Windows
- ChatGPT отримує більше «свободи» в інтернеті
Плагін вразливий у версіях до 1.7.1 включно. Патч, який усуває цю вразливість, був випущений 4 квітня 2023 року у версії 1.7.2. Всім власникам сайтів рекомендується оновитись до версії 1.7.2 якнайшвидше.
Як працювала уразливість
Плагін Limit Login Attempts пропонує кілька найпростіших параметрів конфігурації. До них належать максимальна кількість спроб входу в систему, тривалість блокування, час закінчення терміну блокування, а також деякі параметри реєстрації та сповіщень. Вразливість, позначена як CVE-2023-1912, потребує певного налаштування: для параметра підключення до сайту має бути встановлено значення «Через реверсивний [sic] проксі» і повинна бути ввімкнена реєстрація IP-адрес при блокуванні.
При ввімкненій опції виявлення зворотного проксі плагін використовує заголовок X-Forwarded-For визначення IP-адреси відвідувача. Хоча цей http-заголовок можна підробити, плагін пропонує його використання як альтернативу для тих, хто працює з балансувальником навантаження або обробником кешу. Типово цей параметр не використовується.
Коли функцію журналу плагіна увімкнено, блоки входу в систему реєструються та відображаються на сторінці конфігурації. Це виконується в наступному коді (злегка відредагованому для зручності читання).
Як видно, ця функція збирає таблицю інформації, але не уникає значень, які вона використовує. Коли очищення рекомендується при отриманні вхідних даних, екранування вихідних даних, навіть якщо вони вже очищені, є набагато ефективнішим засобом запобігання міжсайтовому скриптингу. На жаль, цей плагін не використовував ні очищення, ні екранування збереженого IP значення, яке могло бути надано через заголовок X-Forwarded-For.
Щоб скористатися цією вразливістю, зловмисник може надіслати запит на вхід з наступним набором заголовків X-Forwarded-For:
X-Forwarded-For: <span onmouseover=alert(1)>23.23.23.23</span>
Цей заголовок можна встановити багатьма способами, наприклад, за допомогою плагіна для браузера або перехоплення запиту на вхід і додавання його вручну. Як тільки буде досягнуто поріг блокування плагіна, він запише наведений вище код як заблоковану IP-адресу і виконає шкідливий код JavaScript, коли адміністратор відвідає сторінку конфігурації, де відображається список заблокованих IP-адрес. Цей шкідливий код виконується під аутентифікацією адміністратора і може використовуватись для полегшення захоплення сайту.
Правила коментування
Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.
- Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
- На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
- Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
- Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
- Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
- Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
- Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.
Схожі новини
SEO просування сайтів: перевірені кроки для стрімкого зростання
У сучасному цифровому середовищі SEO просування сайтів виступає фундаментом, на якому будується успішна стратегія залучення клієнтів і зростання продажів. Люди щодня здійснюють понад мільярд пошукових запитів, і саме органічні результати забезпечують більше половини усього інтернет-трафіку. Підписуйтесь на наш Telegram-канал Важливо не просто опинитися серед перших позицій Google, а й створити сайт, що швидко завантажується. Він […]
Перенесення сайту на VPS: покрокова інструкція для українських користувачів
Іноді трапляється так, що сайт починає повільніше працювати. Причин цьому може бути багато, і одна з них – це обмежена функціональність вашого хостингу. У такому випадку варто замислитися над перенесенням вашого сайту на віртуальний приватний сервер (VPS). VPS – це потужна хостинг-опція, що має високу швидкість роботи, кращу безпеку ніж звичайний хостинг, та нижчу вартість […]