FB मैसेंजर लाइव चैट में गंभीर XSS भेद्यता

वर्डप्रेस की व्यापक उपस्थिति के कारण, हैकर्स, वास्तव में, हर लोकप्रिय वर्डप्रेस प्लगइन को पार करने के लिए लगातार प्रयास करते हैं। नतीजतन, वर्डप्रेस प्लगइन्स में भेद्यता प्रकटीकरण लगभग कभी न खत्म होने वाली प्रक्रिया की तरह लगता है। इस बार इसका एफबी मैसेंजर ज़ोटाबॉक्स द्वारा लाइव चैट करता है। इसलिए, Zotabox द्वारा FB मैसेंजर लाइव चैट में लगातार XSS भेद्यता का खुलासा हुआ है।

आधिकारिक वर्डप्रेस प्लगइन निर्देशिका के अनुसार इस वर्डप्रेस प्लगइन में 30,000 से अधिक सक्रिय इंस्टॉलेशन हैं। WordPress.org के अनुसार, इसे एक दिन पहले पैच किए गए भेद्यता के एक नए संस्करण 1.4.9 के साथ अपडेट किया गया है।

XSS भेद्यता का विवरण FB मैसेंजर लाइव चैट में

वर्डप्रेस AJAX कार्यक्षमता के माध्यम से, जो स्क्रिप्ट को डेटा भेजने और फिर पृष्ठ को पुनः लोड किए बिना डेटा वापस प्राप्त करने के लिए ज़िम्मेदार है, फ़ंक्शन update_zb_fbc_code किसी के लिए भी पहुंच योग्य है।

जैसा कि आप कोड की निम्नलिखित पंक्तियों में देखेंगे कि wp_ajax_update_zb_fbc_code (प्रमाणित उपयोगकर्ताओं के लिए) और wp_ajax_nopriv_update_zb_fbc_code (विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए), दोनों एक ही फ़ंक्शन का उपयोग करते हैं "update_zb_fbc_code ". इस प्रकार, किसी भी उपयोगकर्ता (लॉग इन या नहीं) को प्लगइन सेटिंग्स को संशोधित करने की अनुमति देता है। मैं इस पर पर्याप्त जोर नहीं दे सकता कि यह कितना महत्वपूर्ण है और इसका किस तरह से दुरुपयोग किया जा सकता है।

154 add_action("wp_ajax_update_zb_fbc_code", "update_zb_fbc_code");
155 add_action("wp_ajax_nopriv_update_zb_fbc_code", "update_zb_fbc_code");

इसके अलावा, update_zb_fbc_code फ़ंक्शन चेक नहीं करता है जिसमें चेक करने की क्षमता नहीं है या क्रॉस-साइट अनुरोध जालसाजी (CSRF) को रोकने के लिए चेक नहीं है। प्लगइन सेटिंग्स को बदलने की अनुमति देने से पहले। इसके अलावा, इस फ़ंक्शन द्वारा सेटिंग्स को संशोधित करने के लिए इनपुट की स्वच्छता और सत्यापन बहुत सीमित है। केवल फ़िल्टरिंग ही () को सैनिटाइज़ करना है, जो अपर्याप्त है क्योंकि बदली हुई सेटिंग्स सामने के छोर पर प्रदान की जाती हैं।

157 function update_zb_fbc_code(){
158 header('Access-Control-Allow-Origin: *');
159 header('Access-Control-Allow-Credentials: true');
160 $domain = addslashes($_REQUEST['domain']);
161 $public_key = addslashes($_REQUEST['access']);
162 $id = intval($_REQUEST['customer']);
163 $zbEmail = addslashes($_REQUEST['email']);
164 if(!isset($domain) || empty($domain)){
165 header("Location: ".admin_url()."admin.php?page=zb_fbc");
166 }else{
167 update_option( 'ztb_domainid', $domain );
168 update_option( 'ztb_access_key', $public_key );
169 update_option( 'ztb_id', $id );
170 update_option( 'ztb_email', $zbEmail );
171 update_option( 'ztb_status_disconnect', 2 );
172 wp_send_json( array(
173 'error' => false,
174 'message' => 'Update Zotabox embedded code successful !' 
175 )
176 );
177 }
178 }

एफबी मैसेंजर लाइव चैट में इस एक्सएसएस भेद्यता के कारण, बाद की प्रक्रियाएं भी प्रभावित होती हैं। प्लगइन रजिस्टर करता है insert_zb_fbc_code() वर्डप्रेस पेज लोड होने पर चलाने के लिए:

151 add_action( 'wp_head', 'insert_zb_fbc_code' );

फिर यह print_zb_fbc_code() फंक्शन वगैरह में ट्रांसमिट हो जाता है।

139 function insert_zb_fbc_code(){
140 if(!is_admin()){
141 $domain = get_option( 'ztb_domainid', '' );
142 $ztb_source = get_option('ztb_source','');
143 $ztb_status_disconnect = get_option('ztb_status_disconnect','');
144 $connected = 2;
145 if(!empty($domain) && strlen($domain) > 0 && $ztb_status_disconnect == 146$connected){
147 print_r(html_entity_decode(print_zb_fbc_code($domain)));
148 }
149 }
150 }

180 function print_zb_fbc_code($domainSecureID = "", $isHtml = false) {
181
182 $ds1 = substr($domainSecureID, 0, 1);
183 $ds2 = substr($domainSecureID, 1, 1);
184 $baseUrl = '//static.zotabox.com';
185 $code = <<<STRING
186 <script type="text/javascript">
187 (function(d,s,id){var z=d.createElement(s);z.type="text/javascript";z.id=id;z.async=true;z.src=" {$baseUrl}/{$ds1}/{$ds2}/{$domainSecureID}/widgets.js";var sz=d.getElementsByTagName(s)[0];sz.parentNode.insertBefore(z,sz)}(document,"script","zb-embed-code"));
188 </script>
189 STRING;
190 return $code;
191 }

सुरक्षित रहने के लिए अपडेट करें

सबसे स्पष्ट लेकिन महत्वपूर्ण सुरक्षा उपाय प्लगइन के पैच किए गए संस्करण में अपडेट करना है। FB मैसेंजर लाइव चैट प्लगइन को संस्करण 1.4.9 में अपडेट कर दिया गया है . सुनिश्चित करें कि आप किसी भी शोषण के प्रयास को कम करने के लिए इस संस्करण को जल्द से जल्द अपडेट करें।

इसके अलावा, एक मजबूत स्वच्छता और सत्यापन प्रणाली आपकी वेबसाइट को एक्सएसएस और सीएसआरएफ आदि जैसे मामलों से बचा सकती है।

एक व्यापक सुरक्षा समाधान

सुरक्षा को हल्के में लेना आपको इस समय बहुत महंगा पड़ेगा। आपकी वेबसाइट के लिए एक सतत और व्यापक निगरानी प्रणाली होने से आपकी वेबसाइट को सुरक्षित रखने में काफी मदद मिलेगी। एस्ट्रा वर्डप्रेस सिक्योरिटी सूट जैसे सुरक्षा समाधान, वर्डप्रेस के अनुरूप एक तारणहार हो सकते हैं। एस्ट्रा आपकी वेबसाइट के लिए फ़ायरवॉल प्रदान करता है, जो एक्सएसएस, सीएसआरएफ, बैड बॉट्स, एसक्यूएलआई और 100+ अन्य संभावित हमलों के खिलाफ बाधा डालता है। अभी एस्ट्रा डेमो प्राप्त करें या हमें यहां एक संदेश भेजें, और हमें मदद करने में खुशी होगी।