Pregunta sobre Developing with WordPress de Wordpress:

¿Cuáles son las vulnerabilidades de una página no especificada?

Un usuario preguntó 👇

como sabemos, agrega WP add_magic_quotes para todas las variables POST + GET. Entonces, estoy interesado, ¿cuáles son las amenazas de seguridad (ejemplos, por favor), cuando la gente dice que tales páginas de administración son vulnerables a XSS (digo, no está protegido con void ni nada):

es decir

admin_page_output_callback()
{ 
  ....
  $id= $_POST['id'];
  ?>
  ...
  <input name="smth"  value="<?php $id;?>" />
  <input save>
  ...
 <?php
}

Por lo que puedo ver, si el usuario administrador SAVE no hace clic, no hay amenaza, ¿verdad?

(@ alegremente)

Hace 2 años, 2 meses

Leer https://wordpress.org/about/security/ https://codex.wordpress.org/Hardening_WordPress

y otros artículos del sitio sobre este tema. HackerOne tiene un buen libro electrónico sobre todos los detalles.

(@bcworkz)

Hace 2 años, 2 meses

Si un actor malintencionado PUBLICARÁ una solicitud de datos { id: <malicious script here> } procesado con su código de muestra sin saneamiento, salida $ id valor indiferenciado i value="<?php echo $id; ?>", el navegador del usuario puede estar en riesgo de un ataque de script si el usuario no tiene que hacer nada más que ver la página. No voy a revelar cómo se puede ejecutar realmente un script de este tipo (ni nadie más aquí debería modificarlo). Tal ataque es posible. Un script de este tipo podría enviar incluso más datos maliciosos a su servidor. Si su servidor y el código correspondiente no están protegidos adecuadamente, su SS puede contener código malicioso y difundirlo sin el conocimiento de otros usuarios.

A veces tiene múltiples fallas que se unen antes de que un ataque tenga éxito, pero es una tontería permitir una falla suponiendo que las otras no están presentes.

(@tazotodua)

Hace 2 años, 1 mes

gracias, lo que no entiendo es que cada carácter es una « barra invertida », así que es algo sanitario. , esa sigue siendo la amenaza, por eso hice la pregunta.

Esta respuesta fue modificada hace 2 años, hace un mes por.

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada.