如果你使用過這個WordPress插件,你必須盡快更改你的Twitter密碼!

A WordPress Plugin Leaks Access Tokens

軟件應用程序,網站和在線平台應該是生機勃勃的東西。如果他們要生存,他們需要更新並適應互聯網每天投擲的不同事物。讓他們休眠,遲早,他們會給你或其他人帶來很多麻煩。一位法國研究員通過Twitter處理@ fs0c131y向我們展示了舊軟件存在多大問題。

什麼是社交媒體標籤?

他在社交媒體標籤中發現了一個安全漏洞,這是一個WordPress插件,於2012年首次發布。社交媒體標籤旨在將小標籤整合到WordPress網站中,該網站在用戶點擊它們時展示所有者的社交媒體供稿。發布後,社交媒體標籤獲得了一些積極評價 ,在接下來的幾個月裡,開發它的香港公司Design Chemical推出了一些新功能。然而,根據變更日誌 ,發展於2013年8月被查封。

社交媒體標籤做錯了什麼?

毋庸置疑,為了顯示您的推文和帖子,該插件必須能夠訪問您的社交媒體帳戶。在這些頁面上,我們討論了一些示例,向我們展示了當您使用軟件訪問數據時需要多麼謹慎,但很明顯,大多數人根本不會認真對待這個問題,尤其是在某些事情發生時看起來像WordPress插件一樣無害。正如您現在所看到的,這是一個很大的錯誤。

在社交網絡選項卡的情況下,問題的根源在於插件存儲其訪問Twitter的訪問權限的方式 - 允許用戶查看所有推文的令牌。出於某種原因,從頁面的源代碼中可以看到訪問令牌以及配置文件句柄。眾所周知,源代碼總是只需點擊幾下即可。

根據TechCrunch的Zack Whittaker的說法,儘管目前還沒有積極開發社交媒體標籤,但它仍然設法獲得了大量的下載量。事實上,當@ fs0c131y首次發現錯誤時,他進行了掃描,發現了不到540個易受攻擊的網站。

然後,他編寫了一個概念驗證腳本,該腳本貫穿上述網站,並刪除了暴露的數據。幾分鐘後,他獲得了超過400個推特賬號的訪問權限,但他很想知道他能用他們做什麼樣的惡作劇。他選擇了一條推文並使用令牌“贊”它超過100次,這確保了他有讀/寫權限。有些帳戶幾乎被遺忘了,儘管在研究時,有些人發布了一些相當奇怪的推文 。並非所有受影響的配置文件都是休眠有幾個經過驗證的帳戶,不少有幾千個粉絲。換句話說,對故障的利用可能會產生嚴重的後果。

12月1日,@ fs0c131y通知Twitter,違規訪問令牌被迅速撤銷. 然而,昨天,在漏洞引起公眾注意後不久,@ fs0c131y 透露 ,使用谷歌,您可以找到更多易受攻擊的網站和帳戶。希望這個問題能夠盡快得到解決。

你需要做什麼?

如果您尚未使用社交媒體標籤,則您的Twitter個人資料(理論上至少)是安全的。不過,這一切都應該成為每個人的一課。確保您知道哪些應用可以訪問您的社交網絡帳戶,如果您有舊的WordPress插件閱讀您的Feed,至少要確保他們得到開發人員的適當照顧。

至於使用社交媒體標籤的人,該插件不再有效,因此您可以隨意將其從您的網站中刪除。但是,您還必須確保它與社交媒體配置文件斷開連接。雖然沒有關於您的個人資料被曝光的信息,但您應該考慮將其更改為謹慎。

January 28, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
3 + 10是什麼?