Intereting Posts

Безопасность – инъекция инъекций шорткода

Это, наверное, глупый вопрос. Может ли кто-то потенциально использовать короткую инъекцию инъекций кода?

Что мешает кому-то вводить что-то подобное?

[shortcode]Do something[/shortcode] 

Я уверен, что WP уже подумал об этом, но мне просто интересно, какой механизм безопасности останавливает этот тип инъекционной атаки?

Solutions Collecting From Web of "Безопасность – инъекция инъекций шорткода"

  1. В общем, как и любая другая тема или плагин на вашей системе, нет ничего встроенного, которое может предотвратить все атаки

  2. Короткие коды – это своего рода макросы для генерации HTML. Штрих-коды, которые не делают больше, должны быть безопасными.

  3. Самая большая проблема с короткими кодами заключается в том, что их вставка и «исполнение» не зависят от проверки возможности. Если у вас есть доступный короткий код, даже участник может злоупотреблять им.

Так что делать? Особенно, если вы используете сайт с несколькими авторами, избегайте коротких кодов, которые нарушают пункт 2, особенно те, которые явно позволяют выполнять PHP-код и, как всегда, использовать темы и плагины только из респектабельных источников (к сожалению, популярность почти не имеет никакого отношения к тому, чтобы быть " уважаемый ").

Как и во всем, проблема в коде PHP. Как объяснил Марк, всегда используйте темы и плагины из респектабельных источников. Существует один инструмент RIPS, который вы также можете использовать.