Yoast SEO - Vulnerabil la atacuri de tip XSS

Ovidiu Bokar

It's not a bug, it's a feature!
Administrative
Registered
Full Member
Pluginul Yoast SEO (Wordpress SEO) are o vulnerabilitate de tip XSS (Cross-side Scripting), a fost anuntata astazi, astfel, pentru cine foloseste pluginul, este recomandat sa faceti update, iar daca cumva vedeti cod de JavaScript in footer la pagina, atunci va trebuii sa il stergeti (manual de pe toate paginile afectate) si sa va schimbati parola la CMS.

Deobicei, atacurile de tip XSS, incearca sa va preia informatiile de logare (username & password) pe website fie a utilizatorilor cat si a administratorului pentru a prelua controlul websiteului sau a adauga spam content.

Vulnerabilitatea se poate gasi aici, iar daca folositi pluginuri oficiale va recomand sa le verificati aici inainte de a le folosii pentru a vedea daca sunt vulerabilitati existente.
 
ce bine ca avem cate un decodor printre noi, care ne m-ai atentioneaza din cand in cand, multumim! :))
 
Incep sa cred ca cei de la Yoast sunt o adunatura de prosti pe partea de securitate si updateuri.
A fost un haos total cu lansarea versiunii 3, acum brese mari in securitate cu toate pluginurile lor...Cel de la Yoast fac niste clipuri video si explica anumite chestii = defapt nu zic/reiese nimic...

Pe langa faptul ca versiunea Premium aduce doar un plugin de redirect atasat. Daca ai premium si ti-a expirat trebuie sa platesti ca prostii de ei au vulnerabilitati la toate versiunile sub si egal 3.4 . Si totusi nu poti folosi in continuare o versiune veche (versiune veche adica 1-2 saptamani), ca dabea a fost facut updateul.
Gramada de idioti. Sa ai vulerabilitate xss pe toate versiunile si sa te trezesti acum, ca le-a zis cineva ca au, ca ei habar nu aveau.

Mai au tupeu sa ceara sute, mii de euro pentru verificat site-uri si promit nu stiu cate chestii.
 
@crystygye este normal ca sa fie vulnerabilitati, in momentul actual nu exista un developer care sa scrie cod si sa nu creeze vulnerabilitati (fie ca sunt intentionate, fie ca nu sunt intentionate). Deasemenea, majoritatea pluginurilor WP si themes, nu sunt securizate din fabricatie, fiindca programatorii care le fac nu au experienta necesara.

Pentru faptul ca platesti pentru plugin... imi pare rau, deobicei pluginurile pot fi hacked si nu trebuie platitie, dar daca chiar vrei un plugin anume, e mai bine sa angajezi un freelancer si sa iti faca pluginul, astefel nu trebuie sa platesti anual pluginul.

*EDIT*
@crystygye, uite un exemplu: siteul ce il ai la semnatura, tocmai ti lam verificat si htaccess-ul tau e gresit fiindca pot sa iti vad fisierele din pluginul Jetpack si Yet Another Stars Rating, deasemenea folderul wp-includes, dar apreciez faptul ca ai pus cloudflare in fata, si sper ca serverul iti este securizat fiindca chiar daca ai cloudflare tot pot sa iti gasesc IPul de la server.

Incep sa cred ca cei de la Yoast sunt o adunatura de prosti pe partea de securitate si updateuri.
A fost un haos total cu lansarea versiunii 3, acum brese mari in securitate cu toate pluginurile lor...Cel de la Yoast fac niste clipuri video si explica anumite chestii = defapt nu zic/reiese nimic...

Pe langa faptul ca versiunea Premium aduce doar un plugin de redirect atasat. Daca ai premium si ti-a expirat trebuie sa platesti ca prostii de ei au vulnerabilitati la toate versiunile sub si egal 3.4 . Si totusi nu poti folosi in continuare o versiune veche (versiune veche adica 1-2 saptamani), ca dabea a fost facut updateul.
Gramada de idioti. Sa ai vulerabilitate xss pe toate versiunile si sa te trezesti acum, ca le-a zis cineva ca au, ca ei habar nu aveau.

Mai au tupeu sa ceara sute, mii de euro pentru verificat site-uri si promit nu stiu cate chestii.
 
Ultima editare:
Nu platesc pentru nimic, le fac rost premium for free. Chiar daca nu gaseam faceam pe free. Dar totusi oamenii fac bani seriosi din plugin. Puteau sa angajeze pe cineva sa aiba grija de asta, sau alternative precum: gasesti xss, castigi x...etc
Lucrez la site zilele astea.

Nu vorbim de windows ci de un script de circa 20mb. O vulerabilitate mare in toate versiunile nu e ceva minor.
 
@crystygye Nu se merita sa faci bug hunt pentru un plugin, dar cum spuneam, majoritatea programatoriilor care scriu pluginuri si themes nu sunt programatorii, sunt amatori, si da, fac bani din asta si nu ii intereseaza sa mentina pluginul cum trebuie cat sa faca cat mai multi bani cu investitie minima.
 
Yoast este o firma cu peste 20-30 de angajati, ce au sediu, organizeaza evenimente, participa la evenimente, tin prezentari, etc.. Ca pana la urma despre Yoast vorbeam.
Au profituri foarte mari comparativ cu altii din nisa.

Ai zis:
este normal ca sa fie vulnerabilitati, in momentul actual nu exista un developer care sa scrie cod si sa nu creeze vulnerabilitati

Atunci daca toate sunt vulnerabile de ce ne-ar mai interesa vulnerabilitatile? Vezi tu, nu este chiar asa. Cu un xss bun, intri in 5 minute pe admin si faci ce vrei la server. Totusi au o limita vulerabilitatile in astfel de situatii.
Sa zicem ca erai unul care platea si investeai peste 2000 euro sau 1 an din viata, in website si cineva il facea praf in 2 zile din cauza unui plugin platit, ce parere aveai? Sau fura toata munca ta. Ziceai, asta este, ca toate au vulnerabilitati?

Daca in cazuri de greseli mari, multi ar renunta la servicii iar firma sau programatorul ar ramane pe 0 peste noapte, iti zic eu ca ar da toti atentie la toate detaliile si nu ar lansa versiune in fiecare zi ca se grabesc si fac "probe" pe site-urile altora. Ca la versiunea 3 cand au distrus toate site-urile si nu mergea nimic la multi...raspunsul lor a venit dupa 2 saptamani si...asteptati sau faceti ce vreti.
 
Dupa modul inca care ai pus problema, presupun ca, ori esti programator or esti fan Wordpress.

Atunci daca toate sunt vulnerabile de ce ne-ar mai interesa vulnerabilitatile?
Te intereseaza fiindca daca imi fura cineva informatiile, eu ca persoana fizica am dreptul de a da firma in judecata. Pe scurt sunt legi care te obliga sa securizezi informatiile.

Vezi tu, nu este chiar asa
Ba da, e chiar asa. Nu exista programator care sa nu faca vulnerabilitati, fie ca sunt intentionate fie ca nu sunt intentionate.

Cu un xss bun, intri in 5 minute pe admin si faci ce vrei la server.
Din pacate nu e asa, ci interesul este sa furi cat mai multe informatii, nu sa intrii doar 5 minute.

Totusi au o limita vulerabilitatile in astfel de situatii.
Intradevar au o limita, totul depinde de hacker si ce interes are, daca vreau iti fura toate informatiile sau iti inchide serverul, totul este la dorinta hackerului.

Sa zicem ca erai unul care platea si investeai peste 2000 euro sau 1 an din viata, in website si cineva il facea praf in 2 zile din cauza unui plugin platit, ce parere aveai? Sau fura toata munca ta. Ziceai, asta este, ca toate au vulnerabilitati?
Da, iar motivul pentru care zic da, este ca mi sa intamplat exact asta, iar raspunsul meu a fost un email de multumire la hacker pentru ca a descoperit o gramada de vulnerabiliati (eu am automatic backup tot timpul, iar cel mai mult ce pot sa pierd sunt datele de pe 1 zi).

Daca in cazuri de greseli mari, multi ar renunta la servicii iar firma sau programatorul ar ramane pe 0 peste noapte, iti zic eu ca ar da toti atentie la toate detaliile si nu ar lansa versiune in fiecare zi ca se grabesc si fac "probe" pe site-urile altora. Ca la versiunea 3 cand au distrus toate site-urile si nu mergea nimic la multi...raspunsul lor a venit dupa 2 saptamani si...asteptati sau faceti ce vreti.
Din pacate trebuie sa te contrazic si aici, fiindca nu este adevarat ceea ce crezi. Cand vine vorba de Wordpress, Drupal, Joomla, etc, un programator expert stie sa faca diferenta de gandire si modaliate de a face un plugin/tema/etc. Dar fiindca acum vorbim de Wordpress, "marile" firme care detin pluginuri lucreaza cu progamatori amatori, iar necesitatea de a face update tot la 2-3 zile este necesara din cauza programatorilor amatori, fiindca introduc vulnerabiliati sau probleme de compatibiliatate.

Ceea ce tiam scris mai sus, nu este nimic personal cu tine sau Wordpress in sine, cat, este sa intelegi ca un programator expert stie dupa ce anume sa se uite (sau sa aibe grija) cand scrie cod, iar cand gasesti pluginuri de wordpress care au 4-5 updateuri pe an, uitate sa vezi si cate vulnerabilitati au, fiindca, deobicei, firma respectiva/programatorii sunt cu cunostinte avansate de programare, iar daca gasesti in plugin si cate un unit test/functional test, atunci poti avea incredere ca ceea ce folosesti.
 
Din pacate nu e asa, ci interesul este sa furi cat mai multe informatii, nu sa intrii doar 5 minute.
Am zis: cu un xss bun intri si ai acces total la server/site in 5minute. Ce faci dupa si cat timp, e alta treaba.

Nu am luat-o personal, stai linistit. Nu asta a fost intentia mea. Sunt un vechi membru RST.

Chiar daca un script este vulerabil, nu inseamna ca un hacker poate prelua tot sau face ceva semnificativ. La asta ma refeream. Una este o vulerabilitate mica si una este una mare in care poti uploada script si prelua accesul la site si server.
La asta ma refeream. Daca toate au vulerabilitati prin care se putea avea acces complet, nu mai erau site-uri pe internet ca toate erau "hacked".
Cand se facea rost de o vulerabilitate ce oferea acces complet si era postata pe net, in 30 minute toate siteurile vulnerabile din google erau jos. Daca era o asemenea vulnerabilitate pe scriptul de la wordpress iti garantez ca google in 2-3 zile era gol.

Stiu cat de greu era sa faci rost de o vulnerabilitate ce iti oferea acces complet. Cu peste 50% din vulerabilitati nu puteai face mai nimic.
La ce scannere si softuri au aparut de ceva ani, a gasii o vulerabilitate este usor. Greu este sa securizezi complet un site.

Cand spui ca trebuie sa cautam in footer scripturi, schimbam parole, face updateuri, nu este o situatie minora in care a fost o mica greseala ce nu facea cine stie ce rau. Iar pentru o firma ce a functionat de cativa ani pe toate versiunile cu o astfel de vulnerabilitate, nu e ceva normal.

Sau poate totusi era un xss minor si nu major. Si informatiile nu au fost tocmai corecte.
In fine :)
 
Si eu am fost membru RST, dar cand am incercat sa ajut un membru au sarit toti in sus, pentru ca am scanat platforma userului is iam spus ce sa faca, iar pe urma mam treziti cu atacuri pe serverele mele.

Este normal ca o firma sa stea cu vulnerabilitati in aplicatie ani de zile, deobicei, firmele mici si mijlocii nu prea pun accent pe securitate, firmele mari (depinde de domeniul firmei) au interes mai mare cand vine vorba de securitate. Ca un exemplu, eu lucrez la una dintre cele mai mari firme in lume, iar codul care il vad prin platforme, cateodata ma uimeste.

Cand vine vorba de XSS nu ai minor sau major, e tot timpul major. Daca vrei sa citesti cateva exemple de atacuri XSS si puterea XSS, iti recomand http://securitymusings.com/article/2727/xss-more-than-just-alert-boxes
 
Loading...
Back
Sus