Facebook脚本(Facebook引流脚本)
专门寻找WordPress外挂程序漏洞的Plugin Vulnerabilities,本周揭露了两个脸书WordPress外挂程序的零时差漏洞,还公布概念性验证攻击程序,由于Plugin Vulnerabilities事前并未通知脸书,违反了安全社群的责任揭露共识,因而再度惹人非议。
这两个由脸书打造的WordPress外挂程序,分别是Facebook for WooCommerce与Messenger Customer Chat,前者可用来连结电子商务平台WooCommerce及脸书,安装数量超过20万;后者则是专门支持WordPress网站的Messenger通讯工具,约有2万个WordPress网站安装。
Plugin Vulnerabilities表示,Facebook for WooCommerce缺乏了预防跨站请求伪造的措施,使得黑客能够发动CSFR攻击;而Messenger Customer Chat除了也有同样的CSRF漏洞之外,还缺少限制访客存取的检查能力,将允许黑客关闭外挂程序的功能或玷污网站首页。
Plugin Vulnerabilities不只公布了漏洞细节,也公布相关漏洞的概念性验证程序。但其实近来Plugin Vulnerabilities也曾发表其它WordPress外挂程序的零时差漏洞,为的只是跟WordPress支持论坛赌气。
Plugin Vulnerabilities批评WordPress支持论坛的版主胡乱删除他的文章、联手遮掩外挂程序的安全问题,只是WordPress支持论坛原本就禁止研究人员藉由该论坛公布安全漏洞,而是要求研究人员先以邮件通知WordPress团队,再由WordPress团队接洽外挂程序作者,而Plugin Vulnerabilities则无视禁令持续张贴漏洞消息,蕞后导致论坛帐号被阻止。
为了抗议被封杀,Plugin Vulnerabilities选择在自己的博客上公布外挂程序的详细漏洞资讯,还附带了概念性验证攻击程序。
多数的科技媒体认为Plugin Vulnerabilities的作法并不恰当,不应只为了私人恩怨,就弃广大WordPress用户的安危而不顾。
资料来源:iThome Security
海外精品引流脚本–最强海外引流
唯一TG:https://t.me/Facebook181818
