Архив на 9 февраля, 2008

    Критическое Обновление плагина Anti-XSS attack

    9 февраля, 2008 в 07:10 · Специально для Wordpress, Полезное

    Как я уже писал Максим написал плагин Anti-XSS attack, так вот он выпустил обновление:

    Как мне подсказали (спасибо, Kesha) плагин Anti-XSS attack всё-таки можно обойти. Если кратко, то в плагине проверяется вхождение «родного» адреса в адрес реферера. Таким образом можно сформировать url, содержащий адрес атакуемого сайта и выполнить POST. Плагин в данном случае не сработает, поскольку в referer будет содержаться адрес атакуемого сайта.

    По этой причине я переписал плагин. Теперь он строго проверяет входящий и «родной» host'ы и в случае несовпадения выдает соответствующее предупреждение.

    Если вы использовали предыдущую версию, то я бы рекомендовал его обновить. Текущая версия 0.4 beta.

     

    Скачать обновлённый плагин можно на странице автора.


    news2.ru     vaau.ru newsland.ru | bobrdobr.ru linkstore.ru mister-wong.ru rumarkz.ru memori.ru moemesto.ru | google.com del.icio.us technorati.com