Sidebar
ein-/ausblenden

Plugin WP-FeedStats in neuer Version

Plugin für WordPress SEO

Anzeige

Das Plugin WP-FeedStats hatte wohl eine Sicherheitslücke, die ich allerdings nicht nachvollziehen kann. Auf meinen Testservern kann ich keine Scripte injizieren. Ich habe nun alle Ausgaben des Plugins mit der Funktion htmlspecialchars versehen, so dass es theoretisch nicht mehr möglich ist, Zeichen für Code zu übergeben.

Ich habe mehrere Tests gefahren - ohne Erfolg. Vielleicht ist ein Leser unter euch, der sich wesentlich besser mit dem injizieren von Webseiten auskennt. Schön wäre es, wenn sich einige Tester finden und mir mal eine Information zukommen lassen. Ebenso habe ich Blogsecurity eine Version zukommen lassen, bisher leider unbeantwortet - aber ich denke, David wird sich nochmal zu einem Test hinreisen lassen.

Für die Nicht-XSS-Leser, die aber auch mal testen wollen, folgende Möglichkeit:

Die URL zum Feed aufrufen und auf den folgenden Syntax erweitern, zum Beispiel wie der folgende Syntax. Ist das Blog unsicher, so wird ein Popup erzeugt.

http://deinblog/_wp1/?feed=rss2&<script>alert(1)</script>

Update
Nun habe ich doch noch einen Fehler im Plugin gefunden - bitte die aktuelle Version 2.4 aufspielen. Ich hoffe, dass nun Schluss mit den möglichen Lücken ist.

Update 2
David von Blogsecurity hat sich nun die neue Version nochmal vorgenommen und kann keinerlei Sicherheitslücke finden, er ist mit dem Resultat sehr zu frieden und nutzt das Plugin wieder.

Artikel #481, 20. Juli 2007 · WordPress · 10 Kommentare · Kommentar schreiben
Tags: , ,
Kommentar-Feed zum Artikel · TrackBack URL · Kurzlink

«
»

6 Kommentare und 4 Trackbacks zu „Plugin WP-FeedStats in neuer Version“

  1. 1
    Kommentar von Sven
    20. Juli 2007 um 17:59

    Seit dem Update sieht mein Eintrag im Tellerand so aus:

    Gesamt: 581 (Letzten 20 Tage)
    Maximum: 60 (attribute_escape()
    Durchschnitt: 29

    Kann es sein, dass sich da irgendwo ein Fehler eingeschlichen hat?

  2. 2
    Kommentar von Frank Bültge
    20. Juli 2007 um 19:57

    Es ist eben nie perfekt, wurde aber soeben behoben - 2.4. Hoffe, es passt jetzt. Was so ein kleines Hochkomma doch ausmacht ;-)

  3. 3
    Kommentar von Sven
    20. Juli 2007 um 23:37

    Das sieht jetzt guuut aus! :-)

  4. 4
    Pingback von Feedstats Sicherheitslücken behoben » Beitrag » Blogalltag
    22. Juli 2007 um 15:46
  5. 5
    Kommentar von Michael
    23. Juli 2007 um 22:17

    Danke für dein rasches Handeln!

  6. 6
    Kommentar von mario_KND
    25. Juli 2007 um 14:55

    Danke für den Post. Interessantes Plug-In. Kannte ich noch gar nicht. Werd ich glaub in meinen neuen Blog auch einbauen.

  7. 7
    Kommentar von caesar
    25. Juli 2007 um 18:29

    Was mich immernoch stört ist, wenn man das Plugin in ein Unterverzeichnis z.B. /feedstats wegen besserer Übersichtlichkeit legt, stimmen sämliche Pfadangaben nicht mehr. Ich muss die erst jedes Mal in der wp-feedstats.php anpassen. Liegt das an mir bzw. meinen Server oder ist das ein allgemeines Problem?

  8. 8
    Pingback von BlogSecurity » wp-feedstats persistent XSS
    26. Juli 2007 um 21:12
  9. 9
    Pingback von BlogSecurity » WordPress BlogWatch
    26. Juli 2007 um 21:14
  10. 10
    Pingback von WordPress Ticker (10) — Software Guide
    31. Juli 2007 um 01:02

Kommentar schreiben

Kommentarregeln: Bleib cool, kritisch ist in Ordnung, aber wenn du unhöflich bist, dann lösche ich deinen Kommentar. Bitte benutze deinen persönlichen Namen oder Initialen und nicht den Namen eines Unternehmens, dies würde als Spam gewertet und wird gelöscht. Der Zusammenhang zwischen Namen und URL sollte nicht offensichtlich auf Spam hindeuten! ♥ Ansonsten, vielen Dank für den Kommentar und viel Spaß mit meinem Blog.

E-Mail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kommentar-Hilfe

händischer Spam:
Beachte die Kommentarregeln, jede Form von versuchtem Spam wird gelöscht. Warum und wieso steht in einem meiner Beiträge.

Bezug auf Textstellen:
Du kannst direkt bezug auf Textstellen im Beitrag nehmen. Dazu muss lediglich der Bereich im Artikel markiert werden; daraufhin erscheint ein Button, der den markierten Text in das Kommentarfeld übernimmt und als Zitat auszeichnet. Die Funktion ist nur bei aktivem JavaScript nutzbar.

xHTML:
Du kannst folgende Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <blockquote cite=""> <code> <pre> <em> <strong> <strike> <ul> <ul> <li>

Achte darauf, wenn du Code im Kommentar hinterlegen willst, dann muss der Code maskiert sein. Dann wird er nicht interpretiert. Der Code muss mit Hilfe von HTML-Entities dargestellt werden, d.h. dass man z.B. < als &lt; und > als &gt; einfügt.

E-Mail-Benachrichtigung bei neuen Kommentaren ?
Wenn der Haken in der Checkbox gesetzt ist, dann wirst du über neue Kommentare vie E-Mail informiert. Der Versand erfolgt nur, wenn du die URL in der Bestätigungs-E-Mail genutzt hast oder schon Abonnent hier im Blog bist.

Kommentar erscheint nicht:
Alle Kommentare werden manuell geprüft, freigegeben und nach Möglichkeit beantwortet. Bitte um etwas Geduld und Nachsicht.

Identifikationsbilder (Avatare):
Auf Gravatar.com kann man sich mit seiner E-Mail-Adresse registrieren und ein Bild hochladen, dann erscheint dieses Gravatar hier und in vielen weiteren Blogs.

Spamschutz:
Das Kommentarformular ist mit einem Spamschutz ausgerüstet. Solltest du diesen Artikel ohne JavaScript besuchen und kommentieren wollen, so muss du die Frage beantworten und das jeweilige Wort in das Textfeld eingeben.