Un usuario preguntó 👇
como sabemos, agrega WP add_magic_quotes
para todas las variables POST + GET. Entonces, estoy interesado, ¿cuáles son las amenazas de seguridad (ejemplos, por favor), cuando la gente dice que tales páginas de administración son vulnerables a XSS (digo, no está protegido con void ni nada):
es decir
admin_page_output_callback()
{
....
$id= $_POST['id'];
?>
...
<input name="smth" value="<?php $id;?>" />
<input save>
...
<?php
}
Por lo que puedo ver, si el usuario administrador SAVE no hace clic, no hay amenaza, ¿verdad?
(@ alegremente)
Hace 2 años, 2 meses
Leer https://wordpress.org/about/security/ https://codex.wordpress.org/Hardening_WordPress
y otros artículos del sitio sobre este tema. HackerOne tiene un buen libro electrónico sobre todos los detalles.
(@bcworkz)
Hace 2 años, 2 meses
Si un actor malintencionado PUBLICARÁ una solicitud de datos { id: <malicious script here> }
procesado con su código de muestra sin saneamiento, salida $ id valor indiferenciado i value="<?php echo $id; ?>"
, el navegador del usuario puede estar en riesgo de un ataque de script si el usuario no tiene que hacer nada más que ver la página. No voy a revelar cómo se puede ejecutar realmente un script de este tipo (ni nadie más aquí debería modificarlo). Tal ataque es posible. Un script de este tipo podría enviar incluso más datos maliciosos a su servidor. Si su servidor y el código correspondiente no están protegidos adecuadamente, su SS puede contener código malicioso y difundirlo sin el conocimiento de otros usuarios.
A veces tiene múltiples fallas que se unen antes de que un ataque tenga éxito, pero es una tontería permitir una falla suponiendo que las otras no están presentes.
(@tazotodua)
Hace 2 años, 1 mes
gracias, lo que no entiendo es que cada carácter es una « barra invertida », así que es algo sanitario. , esa sigue siendo la amenaza, por eso hice la pregunta.
Esta respuesta fue modificada hace 2 años, hace un mes por.
¿Solucionó tu problema??
0 / 0