Записки самоучки

Сентябрь 8, 2006

В wordpress’е некорректно обрабатываются клиентские данные

Filed under: Глюки,Движки — 4matic @ 5:07 пп

Не ожидал такого от WP. На странице администрирования, ну, там где виден список поисковых слов, вместо текста — элементы управления. Т.е. поисковая фраза состояла из тега, который WP некорректно переварил, выдавая на клиента. В частности, поисковая фраза выглядит как

<input type checked>+javascript

А на странице видно поле для ввода данных. Я не собираюсь крутить это дыру, но не исключаю варианта, что через поисковый запрос можно выполнить неприятный XSS. Единственное замечу, что так не должно быть: ни с точки зрения безопасности, ни с точки зрения отображения.
В общем, бдите, господа программисты и будьте более внимательны при написании приложений!

Более родвинутые знатоки движка WP меня могут поправить. AFAIK, WP обрезает поисковую строку. И еще замечание. По поисковому запросу-эксплоиту должен быть найден блог.

Не в тему. Мой блог был найден по фразе «не крути мне яйца» :-))). Без комментариев.

2 комментария »

  1. Данные тут и в правду хреново обрабатываются, всяческие strip_tags и прочая фигня сильно портит этот двиг. Хотя не смотря на то что он дерьмо, лучше него не найлёшь (разве что самому написать, но это долго, да и за всеми мелочами не уследишь)

    комментарий от Vladson — Сентябрь 14, 2006 @ 5:24 дп

  2. Если есть желание и цель, то можно написать и самому. А если есть возможность доработать напильником вопросы секурности, то почему бы и нет?

    комментарий от 4matic — Сентябрь 14, 2006 @ 9:27 дп


RSS feed for comments on this post. TrackBack URI

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

Блог на WordPress.com.

%d такие блоггеры, как: