In den letzten Tagen ist mir aufgefallen, dass die Schwachstelle CVE-2024-11205 (CVSS 8.5) im Wordpress WPForms-Plugin viel Aufmerksamkeit erregt hat. Hauptsächlich aus 3 Gründen:
- WPForms ist ein weit verbreitetes Plugin mit über 6 Millionen aktiven Installationen (Sites, die es verwenden)
- Es handelt sich um eine Sicherheitslücke mit hoher Kritikalität
- Es ist bizarr einfach zu verstehen
Der ursprüngliche Wordfence-Beitrag hat die Sicherheitslücke und ihre Folgen bereits hervorragend erläutert. Daher ist mein Ziel hier ein anderes: zu theoretisieren, wie eine so bizarr einfache Sicherheitslücke in einem der am häufigsten verwendeten WordPress-Plugins mehr als ein Jahr lang offen blieb.
Verletzlichkeit
Ich erinnere mich an die Informationen aus dem ursprünglichen Beitrag. Das Plugin verwendet die Funktionen ajax_single_ payment_refund() und ajax_single_ payment_cancel(), um Stripe-Zahlungsaktionen abzuwickeln. Es erfolgt jedoch keine Überprüfung, ob der angemeldete Benutzer die Berechtigung zur Durchführung solcher Aktionen hat ⚰️. Um das Ganze abzurunden, wurden die Funktionen durch die Methode wpforms_is_admin_ajax „geschützt“, die einfach nicht prüft, ob der Benutzer ein Administrator ist, wie manche vielleicht denken.
Fix
Beginnend mit der Schwachstellenminderung besteht die offizielle Lösung darin, auf Version 1.9.2.2 zu aktualisieren. In dieser Version des Codes wurde den beiden Funktionalitäten ajax_single_ payment_refund und ajax_single_ payment_cancel eine Autorisierungsvalidierung hinzugefügt. Allerdings wurde wpforms_is_admin_ajax unverändert beibehalten?.
Wann ist die Sicherheitslücke aufgetreten?
Die erste anfällige Version ist WPForms 1.8.4, die am 28. November 2023 veröffentlicht wurde. Die Version führte „Neue Stripe-Zahlungstools“ ein, darunter unter anderem „Synchronized Stripe Dashboard“ und „Logic for Recurring Payments“.
Als Änderungen brachte das Update das Hinzufügen von 15 neuen Dateien, das Löschen von 64 Dateien und die Bearbeitung von 425 Dateien. Klingt nach einer großartigen Veröffentlichung, die jemand manuell überprüfen kann ☠️.
Warum besteht die Sicherheitslücke?
Können automatisierte Sicherheitstools erkennen?
Um diese Frage zu beantworten, habe ich SAST Semgrep (das ich sehr gerne verwende) und Gepeto (auch bekannt als ChatGPT) getestet.
Semgrep
Ich habe ein Semgrep ausgeführt. im gesamten Projekt und er konnte die Schwachstelle nicht erkennen?.
Das Ergebnis ist wie erwartet. Offiziell gelten Sicherheitslücken bei Autorisierungsfehlern als Sicherheitslücken in der Geschäftslogik. Das bedeutet, dass sie von automatisierten Tools kaum erkannt werden.
Die Common Weakness Enumeration CWE-862 Missing Authorization scheint zu stimmen.
Geppetto
Ich habe ChatGPT gefragt, ob er irgendwelche Probleme im vergangenen Code identifizieren könnte. Ich habe ihm nur die Methoden ajax_single_paid_refund und wpforms_is_admin_ajax geschickt (weil ich mein kostenloses ChatGPT für diesen Tag nicht verbrauchen möchte?).
Und unglaublicherweise gelang es ihm, die Schwachstelle zu identifizieren und auf die Lösung hinzuweisen (die der tatsächlichen Behebung sehr ähnlich war?), neben anderen „möglichen Schwachstellen“ in diesem Code, wie z. B. keine Geschwindigkeitsbegrenzung oder Protokollierung.
„Ahh, aber Sie haben SAST für das gesamte Projekt ausgeführt und gleichzeitig die KI geleitet“ ist das Leben wirklich so? ?♂️
Warum besteht die Sicherheitslücke?
Wie man sieht, können herkömmliche Sicherheitstools Autorisierungsschwachstellen kaum erkennen.
Laut CWE-862 Missing Authorization kann diese Schwachstelle mithilfe manueller Analysen wie Codeüberprüfung, Pentest und Bedrohungsmodellierung erkannt werden. Und die Wirksamkeit wird nur als „mäßig“ eingestuft?.
Andere Materialien, in denen es um Autorisierungsschwachstellen geht, bekräftigen, dass es sich hierbei um eine Klasse von Schwachstellen handelt, deren Handhabung kompliziert und in der realen Welt häufig vorkommt, wie zum Beispiel OWASP Top 10 API Security 2019 und 2023, bei dem es an erster und dritter Stelle um Autorisierungsschwachstellen geht Position.
Ein weiterer Punkt ist, dass die zuvor als Validierung verwendete Methode (wpforms_is_admin_ajax) einen sehr schlechten Namen hat, der Entwickler und Codeprüfer verwirren soll, da diese Funktion nicht prüft, ob der angemeldete Benutzer ein Administrator ist.
Meine Theorie ist also, dass diese Sicherheitslücke besteht, weil 1) sie ohne manuelle Analyse fast unmöglich zu erkennen ist; 2) Die Methode wpforms_is_admin_ajax würde viele Prüfer verwirren, die den Code analysieren.
Ich hoffe, in Zukunft weitere Analysen wie diese anbieten zu können. Wenn es Ihnen gefallen hat, teilen Sie den Beitrag mit Tante und Oma. Zweifel? Ich bin immer auf Bluesky, Threads und Twitter.
Das obige ist der detaillierte Inhalt vonWarum besteht diese Sicherheitslücke? CVE-WPForms). Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Was ist der Unterschied zwischen absoluten und müßigen Sitzungszeitüberschreitungen?May 03, 2025 am 12:21 AMDie Absolute -Sitzungs -Zeitlimit startet zum Zeitpunkt der Erstellung der Sitzung, während eine Zeitlimit in der Leerlaufsitzung zum Zeitpunkt der No -Operation des Benutzers beginnt. Das Absolute -Sitzungs -Zeitlimit ist für Szenarien geeignet, in denen eine strenge Kontrolle des Sitzungslebenszyklus erforderlich ist, z. B. finanzielle Anwendungen. Das Timeout der Leerlaufsitzung eignet sich für Anwendungen, die die Benutzer für lange Zeit aktiv halten, z. B. soziale Medien.
Welche Schritte würden Sie unternehmen, wenn Sitzungen nicht auf Ihrem Server funktionieren?May 03, 2025 am 12:19 AMDer Serversitzungsausfall kann durch Befolgen der Schritte gelöst werden: 1. Überprüfen Sie die Serverkonfiguration, um sicherzustellen, dass die Sitzung korrekt festgelegt wird. 2. Überprüfen Sie die Client -Cookies, bestätigen Sie, dass der Browser es unterstützt und korrekt senden. 3. Überprüfen Sie die Speicherdienste wie Redis, um sicherzustellen, dass sie normal arbeiten. 4. Überprüfen Sie den Anwendungscode, um die korrekte Sitzungslogik sicherzustellen. Durch diese Schritte können Konversationsprobleme effektiv diagnostiziert und repariert werden und die Benutzererfahrung verbessert werden.
Welche Bedeutung hat die Funktion Session_start ()?May 03, 2025 am 12:18 AMSession_Start () iscrucialinphPFormAnagingUSSERSIONS.1) ItinitiatesanewSessionifnoneExists, 2) Wiederaufnahmen und 3) setaSessionCookieforContinuityAcrossRequests, aktivierende Anwendungen wie
Was ist für die Festlegung der HTTPonly -Flag für Sitzungs Cookies wichtig?May 03, 2025 am 12:10 AMDas Festlegen des HTTPonly -Flags ist für Sitzungscookies von entscheidender Bedeutung, da es effektiv verhindern und die Informationen zur Benutzersitzung schützen kann. Insbesondere 1) Das Httponly -Flag verhindert, dass JavaScript auf Cookies zugreift, 2) Das Flag kann durch SetCookies eingestellt werden und in PHP und Flasche 3), obwohl es nicht von allen Angriffen von allen Angriffen verhindert werden kann, Teil der Gesamtsicherheitsrichtlinie sein sollte.
Welches Problem lösen PHP -Sitzungen in der Webentwicklung?May 03, 2025 am 12:02 AMPhpSsionSsionSolvetheProblemofMaintainingStateAcrossmultipehttprequestsBoringDataontheserverandassociatingitittprequests.1) Sie starteten die Stundeataserver-Seite, typischerweise infileSordatabasen, undusaSasionIdinacookookookotenData
Welche Daten können in einer PHP -Sitzung gespeichert werden?May 02, 2025 am 12:17 AMPHPSSIONS CANSTORESTRINGEN, ZUGNALTEN, ARRAYS, ANDOBjekte.1.
Wie starten Sie eine PHP -Sitzung?May 02, 2025 am 12:16 AMTostartaphpSession, useSession_start () atthescript'Sbeginning.1) PlaCEITBEFOREANYOUTPUTTOTHESESSIONSCOOKIE.2) useSsionsforuserDatalikeloginStatusOrShopingCarts
Was ist eine Sitzungsregeneration und wie verbessert es die Sicherheit?May 02, 2025 am 12:15 AMDie Sitzung der Sitzung bezieht sich auf die Generierung einer neuen Sitzungs -ID und die Ungültigmachung der alten ID, wenn der Benutzer sensible Vorgänge bei festgelegten Sitzungsangriffen ausführt. Die Implementierungsschritte umfassen: 1. Erkennen sensibler Vorgänge, 2. Erstellen neuer Sitzungs-ID, 3..
Heiße KI -Werkzeuge
Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos
AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.
Undress AI Tool
Ausziehbilder kostenlos
Clothoff.io
KI-Kleiderentferner
Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!
Heißer Artikel
Heiße Werkzeuge
SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen
MantisBT
Mantis ist ein einfach zu implementierendes webbasiertes Tool zur Fehlerverfolgung, das die Fehlerverfolgung von Produkten unterstützen soll. Es erfordert PHP, MySQL und einen Webserver. Schauen Sie sich unsere Demo- und Hosting-Services an.
MinGW – Minimalistisches GNU für Windows
Dieses Projekt wird derzeit auf osdn.net/projects/mingw migriert. Sie können uns dort weiterhin folgen. MinGW: Eine native Windows-Portierung der GNU Compiler Collection (GCC), frei verteilbare Importbibliotheken und Header-Dateien zum Erstellen nativer Windows-Anwendungen, einschließlich Erweiterungen der MSVC-Laufzeit zur Unterstützung der C99-Funktionalität. Die gesamte MinGW-Software kann auf 64-Bit-Windows-Plattformen ausgeführt werden.
mPDF
mPDF ist eine PHP-Bibliothek, die PDF-Dateien aus UTF-8-codiertem HTML generieren kann. Der ursprüngliche Autor, Ian Back, hat mPDF geschrieben, um PDF-Dateien „on the fly“ von seiner Website auszugeben und verschiedene Sprachen zu verarbeiten. Es ist langsamer und erzeugt bei der Verwendung von Unicode-Schriftarten größere Dateien als Originalskripte wie HTML2FPDF, unterstützt aber CSS-Stile usw. und verfügt über viele Verbesserungen. Unterstützt fast alle Sprachen, einschließlich RTL (Arabisch und Hebräisch) und CJK (Chinesisch, Japanisch und Koreanisch). Unterstützt verschachtelte Elemente auf Blockebene (wie P, DIV),
Herunterladen der Mac-Version des Atom-Editors
Der beliebteste Open-Source-Editor
