如果你使用过这个WordPress插件,你必须尽快更改你的Twitter密码!

A WordPress Plugin Leaks Access Tokens

软件应用程序,网站和在线平台应该是生机勃勃的东西。如果他们要生存,他们需要更新并适应互联网每天投掷的不同事物。让他们休眠,迟早,他们会给你或其他人带来很多麻烦。一位法国研究员通过Twitter处理@ fs0c131y向我们展示了旧软件存在多大问题。

什么是社交媒体标签?

他在社交媒体标签中发现了一个安全漏洞,这是一个WordPress插件,于2012年首次发布。社交媒体标签旨在将小标签整合到WordPress网站中,该网站在用户点击它们时展示所有者的社交媒体供稿。发布后,社交媒体标签获得了一些积极评价 ,在接下来的几个月里,开发它的香港公司Design Chemical推出了一些新功能。然而,根据变更日志 ,发展于2013年8月被查封。

社交媒体标签做错了什么?

毋庸置疑,为了显示您的推文和帖子,该插件必须能够访问您的社交媒体帐户。在这些页面上,我们讨论了一些示例,向我们展示了当您使用软件访问数据时需要多么谨慎,但很明显,大多数人根本不会认真对待这个问题,尤其是在某些事情发生时看起来像WordPress插件一样无害。正如您现在所看到的,这是一个很大的错误。

在社交网络选项卡的情况下,问题的根源在于插件存储其访问Twitter的访问权限的方式 - 允许用户查看所有推文的令牌。出于某种原因,从页面的源代码中可以看到访问令牌以及配置文件句柄。众所周知,源代码总是只需点击几下即可。

根据TechCrunch的Zack Whittaker的说法,尽管目前还没有积极开发社交媒体标签,但它仍然设法获得了大量的下载量。事实上,当@ fs0c131y首次发现错误时,他进行了扫描,发现了不到540个易受攻击的网站。

然后,他编写了一个概念验证脚本,该脚本贯穿上述网站,并删除了暴露的数据。几分钟后,他获得了超过400个推特账号的访问权限,但他很想知道他能用他们做什么样的恶作剧。他选择了一条推文并使用令牌“赞”它超过100次,这确保了他有读/写权限。有些帐户几乎被遗忘了,尽管在研究时,有些人发布了一些相当奇怪的推文 。并非所有受影响的配置文件都是休眠有几个经过验证的帐户,不少有几千个粉丝。换句话说,对故障的利用可能会产生严重的后果。

12月1日,@ fs0c131y通知Twitter,违规访问令牌被迅速撤销. 然而,昨天,在漏洞引起公众注意后不久,@ fs0c131y 透露 ,使用谷歌,您可以找到更多易受攻击的网站和帐户。希望这个问题能够尽快得到解决。

你需要做什么?

如果您尚未使用社交媒体标签,则您的Twitter个人资料(理论上至少)是安全的。不过,这一切都应该成为每个人的一课。确保您知道哪些应用可以访问您的社交网络帐户,如果您有旧的WordPress插件阅读您的Feed,至少要确保他们得到开发人员的适当照顾。

至于使用社交媒体标签的人,该插件不再有效,因此您可以随意将其从您的网站中删除。但是,您还必须确保它与社交媒体配置文件断开连接。虽然没有关于您的个人资料被曝光的信息,但您应该考虑将其更改为谨慎。

January 28, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
8 + 7是什么?