{"id":247514,"date":"2022-12-27T15:25:00","date_gmt":"2022-12-27T12:25:00","guid":{"rendered":"https:\/\/inform.click\/kuidas-kontrollida-kas-teie-wordpressi-susteem-on-xss-i-runnakute-eest-kaitstud\/"},"modified":"2022-12-27T15:36:00","modified_gmt":"2022-12-27T12:36:00","slug":"kuidas-kontrollida-kas-teie-wordpressi-susteem-on-xss-i-runnakute-eest-kaitstud","status":"publish","type":"post","link":"https:\/\/inform.click\/et\/kuidas-kontrollida-kas-teie-wordpressi-susteem-on-xss-i-runnakute-eest-kaitstud\/","title":{"rendered":"Kuidas kontrollida, kas teie WordPressi s\u00fcsteem on XSS-i r\u00fcnnakute eest kaitstud"},"content":{"rendered":"

\n Kogu maailmas on peaaegu 48 protsenti k\u00f5igist veebisaitidest saidi\u00fclese skriptimise (XSS) suhtes haavatavad. Kogu maailmas kasutab peaaegu t\u00e4pselt 25 protsenti k\u00f5igist veebisaitidest WordPressi platvormi.\n<\/p>\n

\n Sellest j\u00e4reldub, et XSS-i suhtes haavatavate veebisaitide ja WordPressi platvormi t\u00f6\u00f6tavate veebisaitide Venni diagrammil peab kattumine olema \u00fcsna suur.\n<\/p>\n

\n See ei ole koputus platvormile endale. WordPressi meeskond on muutnud turvalisuse oma missiooni lahutamatuks osaks ja parandab agressiivselt haavatavusi, kui need teatavaks saavad. See ei takista inimestel ebaturvalisi teemasid kodeerimast ega ebaturvalisi pistikprogramme installimast. Need probleemid on kaks peamist juurdep\u00e4\u00e4suteed XSS-i r\u00fcnnakutele WordPressi saitidel ja selles artiklis k\u00e4sitletakse nende peatamist.\n<\/p>\n

\n Sissejuhatus saidi\u00fclesesse skriptimisse
\n<\/h4>\n

\n Esiteks arutleme, kuidas XSS-i r\u00fcnnakuid l\u00e4bi viiakse. XSS-r\u00fcnnakuid on rohkem kui \u00fchte t\u00fc\u00fcpi, seega alustan lihtsustatud m\u00e4\u00e4ratlusega. \u00dcldjuhul algavad XSS-i r\u00fcnnakud desinfitseerimata sisenditega \u2013 kommentaarivormid, kommentaarikastid, otsinguribad jne. Nende r\u00fcnnakute keerukus on v\u00e4ga erinev. Tegelikult n\u00e4evad WordPressi kasutajad iga p\u00e4ev XSS-i r\u00fcnnaku lihtsaimat vormi: r\u00e4mpspostikommentaari. Teate, millest ma r\u00e4\u00e4gin: “T\u00e4name suurep\u00e4rase artikli eest. Muide, siin on minu sait, kus teenin 5000 dollarit n\u00e4dalas kodus t\u00f6\u00f6tades: www.only-an-idiot-would-click-this-link.co.uk.\n<\/p>\n

\n M\u00f5nes m\u00f5ttes on r\u00e4mpsposti kommentaarid suurep\u00e4rane n\u00e4ide XSS-i r\u00fcnnakust. Pahatahtlik \u00fcksus \u00f5\u00f5nestab teie saidi infrastruktuuri (kommentaarikast), et paigutada oma sisu (pahatahtlik link) teie saidile. Kuigi see on hea illustreeriv n\u00e4ide, on realistlikum XSS-r\u00fcnnak palju peenem. R\u00e4mpspostikommentaari loomiseks kulub kellelgi umbes viis sekundit. XSS-r\u00fcnnak on midagi, millele korralik h\u00e4kker kulutab natuke rohkem aega.\n<\/p>\n

\n T\u00f5eline must m\u00fcts p\u00fc\u00fcab \u00e4ra kasutada k\u00f5iki teie saidi aspekte, mis serverisse andmeid edastavad, kasutades neid sisuliselt miniatuurse tekstiredaktorina. Kui teie sisendid on kaitsmata, t\u00e4hendab see, et nad v\u00f5ivad s\u00f5na otseses m\u00f5ttes v\u00f5tta oma koodi ja sundida teie rakendust seda k\u00e4ivitama ja kasutaja brauseris renderdama (ja see v\u00f5ib h\u00f5lmata ka teie brauserit). Erinevalt r\u00e4mpspostikommentaaridest v\u00f5ib rikkumist avastada ainult teie saidi muudetud koodi \u00fcksikasjalik uurimine v\u00f5i veebisaidi interaktsioonide l\u00e4bikammimine. Nagu arvata v\u00f5ib, pole sellisest rikkumisest tuleneda v\u00f5ivate ebameeldivate asjade arvul l\u00f5ppu.\n<\/p>\n

\n Lihtne vandalism on XSS-i r\u00fcnnakute suhteliselt tavaline tagaj\u00e4rg, mille tulemusena n\u00e4idatakse teie kasutajatele teie sisu asemel groteskseid pilte v\u00f5i poliitilist propagandat. V\u00e4heste pikaajaliste plaanide v\u00f5i eetiliste probleemidega turundajad kasutavad neid inimestele vastu tahtmist reklaamimiseks. N\u00fcansirikkam ja peenem r\u00fcnnak v\u00f5ib varastada teie kasutajate sisselogimismandaadid. Kui \u00fchel neist on administraatori\u00f5igused, v\u00f5ib teie saidile salvestatud isiklik teave olla k\u00e4ttesaadav. Teise v\u00f5imalusena v\u00f5ivad nad kasutada esialgset XSS-i r\u00fcnnakut hoovana, et teie sait avada ja veelgi t\u00e4iustatud pahavara installida.\n<\/p>\n

\n R\u00fcnnakute peatamine
\n<\/h4>\n

\n Kui olete piisavalt kooditundlik inimene ja suhteliselt v\u00e4ikese WordPressi saidi ainuomanik, on turvalised kodeerimistavad t\u00f5en\u00e4oliselt parim viis saidi lukustamiseks saidi\u00fcleste skriptir\u00fcnnakute eest. Lisan selle hoiatuse, sest kui olete osa suuremast organisatsioonist, mis k\u00e4itab keerukamat rakendust, ei pruugi teil olla inimlikult v\u00f5imalik leida k\u00f5iki piirkondi, kuhu pahatahtlik r\u00fcndaja v\u00f5ib koodi sisestada. Kaasaegsed veebisaidid v\u00f5ivad olla tohutult suured ja v\u00f5ib-olla tasub teil palgata kogenud professionaal ja kulutada aega muudele tegevustele, et muuta oma veebisait lugejate jaoks veelgi paremaks.\n<\/p>\n

\n Veel \u00fcks hoiatus on see, et kui te ei ole eriti kooditundlik ja lasete kellelgi teisel teie saidi luua, siis \u00e4rge eeldage, et nad on kasutanud turvalisi kodeerimisv\u00f5tteid. On teada, et isegi k\u00f5ige kogenumad arendajad j\u00e4tavad turvalisuse k\u00f5rvale v\u00f5i teevad v\u00e4iksemaid vigu, ilma et keegi teine \u200b\u200boma t\u00f6\u00f6d kontrolliks. Teised arendajad ei pruugi lihtsalt teada, mida nad turvalisuse osas teevad, ja teised j\u00e4tavad turvalisuse s\u00e4\u00e4stmiseks siiski t\u00e4helepanuta. aega iseendale (vaatamata professionaalsuse puudumisele, mis puudutab seda). Kokkuv\u00f5tteks v\u00f5ib \u00f6elda, et palgake kindlasti tunnustatud professionaal, kes teie veebisaidi arendamisel ja kaitsmisel nurga alt \u00e4ra ei tee.\n<\/p>\n

\n Seda muret v\u00e4ljendades on \u00fcks esimesi ja lihtsamaid asju, mida saate saidi\u00fclese skriptimise v\u00e4ltimiseks teha, kasutajaandmete valideerimine.\n<\/p>\n

\n Oletame, et teie saidil on registreerumisvorm ja see vorm palub kasutajal oma nime sisestada. Pahatahtlik kasutaja v\u00f5ib selle asemel sisestada midagi sellist:\n<\/p>\n

\n<script>\n<![CDATA[\nCoughUpYourPreciousData();\n]]>\n<\/script><\/code><\/pre>\n
\n  See v\u00f5ib n\u00e4iteks p\u00f5hjustada selle, et j\u00e4rgmine inimene, kes seda lehte k\u00fclastab, saadab r\u00fcndajale oma k\u00fcpsiste koopia.\n<\/p>\n
\n  N\u00e4ete, et selles n\u00e4ites ei sarnane \u00fclaltoodud koodistring kellegi nimega. Teie server ei tea seda, kuid kasutades m\u00f5nda seatud parameetrit, saate seda \u00f5petada. N\u00e4iteks v\u00f5ite \u00f6elda, et see v\u00e4lja l\u00fckkab tagasi erim\u00e4rgid, nagu ,() ja ; (kommentaaride jaotises pole neid eriti vaja). Sellele v\u00e4ljale saate \u00f6elda, et inimese nimel pole t\u00f5en\u00e4oliselt numbreid. Kui soovite olla pisut karm, v\u00f5ite k\u00e4skida sellel v\u00e4ljal keelduda sisenditest, mis on pikemad kui viisteist m\u00e4rki (v\u00f5i saate v\u00e4\u00e4rtusi vastavalt oma soovile muuta). Nende sammude v\u00f5tmine piirab drastiliselt kahju suurust, mida r\u00fcndaja v\u00f5ib konkreetse v\u00e4ljaga teha.\n<\/p>\n
\"\"<\/a><\/p>\n
\n  Isegi andmete kontrollimisel v\u00f5ib esineda vorme v\u00f5i v\u00e4lju, kus te ei saa reaalselt piirata kasutatavate m\u00e4rkide t\u00fc\u00fcpi, n\u00e4iteks kontaktivormil v\u00f5i kommentaariv\u00e4ljal. Mida saate teha, on andmete desinfitseerimine. See protsess muudab v\u00f5imatuks HTML-i k\u00e4ivitamise antud v\u00e4ljal, teisendades k\u00f5ik, mis v\u00f5ib olla k\u00e4ivitatava koodi osana \u00e4ratuntav, mittekodeerivateks t\u00e4hem\u00e4rkideks. N\u00e4iteks h\u00fcperlinki ei kuvata seal, kus see muidu v\u00f5iks olla.\n<\/p>\n
\n  L\u00f5puks v\u00f5ib juhtuda, et teie sait v\u00f5ib kuvada kasutajate jaoks ohtlikke andmeid. Oletame, et keegi kirjutab m\u00f5nele teie lehele pahatahtliku kommentaari, mille seej\u00e4rel teie veebisaidi otsingufunktsioon indekseerib. Kui \u00fcks teie kasutajatest teeb otsingu, k\u00e4ivitatakse see pahatahtlik kood, kui nende brauser laadib otsingutulemused. Seda takistab andmete v\u00e4ltimine, mis tagab, et kui teie sait kasutajale andmeid edastab, t\u00f6\u00f6tab ainult see kood, mida soovite k\u00e4itada.\n<\/p>\n
\n  Andmete valideerimise, desinfitseerimise ja andmete p\u00f5genemise kohta lisateabe saamiseks on WordPress Codexil<\/a> suurep\u00e4rane ressurss. See selgitab \u00fclaltoodud m\u00f5isteid \u00fcksikasjalikult ja toob rohkem n\u00e4iteid, mida saab universaalselt rakendada.\n<\/p>\n
\n  Muud meetodid
\n<\/h4>\n
\n  Suurtel ettev\u00f5tetel on suuremad veebisaidid; see on fakt. V\u00f5ib-olla kasutavad teie saiti p\u00e4evas tuhanded inimesed. V\u00f5ib-olla on standardvormide ja -v\u00e4ljade asemel ka animatsioonid, erinevad portaalid, Javas kirjutatud osad jne. Isegi kui te seda k\u00f5ike j\u00e4lgite, v\u00f5ib-olla on \u00fches teie rakenduses null p\u00e4ev ja teil pole v\u00f5imalust end kaitsta.\n<\/p>\n
\n  Sellises olukorras, kui teil on selleks m\u00f5juv\u00f5imu ja raha kulutada, soovitan teil investeerida veebirakenduste tulem\u00fc\u00fcri (WAF). Heal WAF-il on korrelatsioonireeglid, mis tuvastavad ja blokeerivad automaatselt koodi sisestamise r\u00fcnnakutega k\u00f5ige sagedamini seotud HTML-stringid. Samuti saavad nad teid teavitada, kui rakendused hakkavad andmeid v\u00e4lja filtreerima, kui nad seda ei peaks tegema v\u00f5i teevad seda ebatavalises mahus, aidates seega kaitsta nullp\u00e4evar\u00fcnnakute ja muude arenenud ohtude eest. WAF ei ole h\u00f5bekuul, kuid see on hindamatu t\u00f6\u00f6riist turbeprofessionaalidele ja veebisaitide omanikele, kes loodavad kaitsta keerulisi rakendusi.\n<\/p>\n
\n  Samuti on mitmeid pistikprogramme, mis kaitsevad XSS-i r\u00fcnnakute eest. Tegelikult ma ei soovita neid. Riski v\u00e4hendamise asemel kujutavad paljud neist pistikprogrammidest h\u00e4kkeri jaoks lihtsalt j\u00e4rjekordset r\u00fcnnakupinda. Eelmisel aastal leiti, et isegi \u00fcks tuntumaid ja laialdasemalt kasutatavaid turbepluginaid Akismet on XSS-i r\u00fcnnakute suhtes haavatav .<\/a> Kui tegemist on XSS-i r\u00fcnnakute t\u00f5rjumisega, \u00e4rge lootke poolikutele meetmetele. Oma veebisaidi turvalisuse tagamiseks arendage vajalikke oskusi ja kasutage sobivat t\u00f6\u00f6riistakomplekti.\n<\/p>\n
\n  Muud praktilised rakendused
\n<\/h4>\n
\n  See teave v\u00f5ib asjatundmatule olla pisut keeruline, kuid mulle ei meeldiks, kui inimesi selle teabe v\u00f5imalik keerukus heidutaks. Kui peaks juhtuma XSS-r\u00fcnnak, v\u00f5ite olla kindel, et sellise s\u00fcndmuse tagaj\u00e4rgede likvideerimine on palju keerulisem kui oma veebisaidil muudatuste tegemine. Oma veebisaidi mainekulude puhastamine (tavalised lugejad p\u00f5genevad teie veebisaidilt \u00fcsna kergesti) on lisaprobleem, mille p\u00e4rast te ei taha muretseda.\n<\/p>\n
\n  Isegi kui panete kellegi teise teie veebisaidi arendamise ja turvalisuse eest hoolitsema, tehke k\u00f5ik endast oleneva, et v\u00e4hemalt h\u00e4daolukorrale reageerida ja teada saada, kus on teie n\u00f5rgad kohad. S\u00fcsteemi kontrollimise teadmine on pikas perspektiivis \u00fclioluline oskus ning see on aluseks muudele turbeteemadele ja veebisaitide arendusprojektidele. K\u00f5ik on v\u00f5rgus omavahel seotud ja kuigi XSS-i r\u00fcnnakud v\u00f5ivad olla viimaste aastate s\u00fcndmus (kuigi see on ebat\u00f5en\u00e4oline), ei ole teie veebisaidi l\u00e4bi ja l\u00f5hki tundmine kunagi aegunud.\n<\/p>\n
\n  Viimased M\u00f5tted
\n<\/h4>\n
\n  Interneti-turvalisuse maastik muutub pidevalt. Te ei saa kunagi olla t\u00e4iesti kindel selles, kuidas XSS-r\u00fcnnak v\u00f5ib ilmneda v\u00f5i kuidas seda teie vastu kasutada, kuid v\u00f5lgnete selle endale ja oma lugejatele selle eest, et teete k\u00f5ik endast oleneva nende peatamiseks. Hoidke end sellest ohust kursis ja kontrollige regulaarselt (soovitan v\u00e4hemalt kord kuus) k\u00fcberturvalisuse maailma asjakohaste arengute suhtes.\n<\/p>\n
\n  See ei t\u00e4henda ka seda, et v\u00f5ite teisi ohte ignoreerida. Avaliku v\u00f5rgu juurdep\u00e4\u00e4su tagamiseks on VPN-i kasutamine endiselt ohutu. Te ei saa t\u00e4helepanuta j\u00e4tta \u00fchegi oma veebisaidile juurdep\u00e4\u00e4suks kasutatava arvuti turvalisust. Sisselogimisandmeid tuleb endiselt sageli muuta ja olla kaitstud toore j\u00f5u r\u00fcnnakute eest. XSS-r\u00fcnnakud on julmad, kuid need pole ainus oht, millele t\u00e4helepanu p\u00f6\u00f6rata.\n<\/p>\n
\n  Samuti v\u00f5ib olla kasulik jagada seda teavet (v\u00f5i isegi seda artiklit) oma kaaslaste ja huvitatud osapooltega, et levitada vastupanu seda t\u00fc\u00fcpi r\u00fcnnakute vastu. Kuigi te ei pruugi ise liiga palju \u00e4ra teha, kui piisavalt inimesi end korralikult kaitseb, v\u00f5ime n\u00e4ha seda t\u00fc\u00fcpi r\u00fcnnakute \u00fcldist v\u00e4henemist, kuna h\u00e4kkerid p\u00fc\u00fcavad v\u00e4lja m\u00f5elda, kuidas vaestelt Interneti-kasutajatelt kasu teenida.\n<\/p>\n
\n  Kas teil on endal m\u00f5tteid, kuidas XSS-i r\u00fcnnakuid kontrollida ja end nende eest tulevikus kaitsta? Kas on muid avastamis- ja eemaldamisstrateegiaid, mida kasutate selle ohuga v\u00f5itlemiseks? Kas on mingeid t\u00f6\u00f6riistu, mida soovitaksite oma kaaslugejatele? Kui jah, siis j\u00e4tke allpool kommentaar ja j\u00e4tkake seda olulist vestlust oma kaaslugejatega.\n<\/p>\n<\/p>\n
\n  : instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Kogu maailmas on peaaegu 48 protsenti k\u00f5igist veebisaitidest saidi\u00fclese skriptimise (XSS) suhtes haavatavad. Kogu maailmas kasutab peaaegu t\u00e4pselt 25 protsenti k\u00f5igist veebisaitidest WordPressi platvormi. Sellest j\u00e4reldub, et XSS-i suhtes haavatavate veebisaitide ja WordPressi platvormi t\u00f6\u00f6tavate veebisaitide Venni diagrammil peab kattumine olema \u00fcsna suur. See ei ole koputus platvormile endale. WordPressi meeskond on muutnud turvalisuse oma missiooni lahutamatuks osaks ja parandab agressiivselt haavatavusi, kui need teatavaks saavad. See ei takista inimestel ebaturvalisi teemasid kodeerimast ega ebaturvalisi pistikprogramme installimast. Need probleemid on kaks peamist sissep\u00e4\u00e4suteed\u2026<\/p>\n","protected":false},"author":1,"featured_media":222525,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[104,52],"tags":[],"class_list":["post-247514","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-veebi-turvalisus","category-web-ja-wordpress"],"_links":{"self":[{"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/posts\/247514","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/comments?post=247514"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/posts\/247514\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/media\/222525"}],"wp:attachment":[{"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/media?parent=247514"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/categories?post=247514"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/et\/wp-json\/wp\/v2\/tags?post=247514"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}