Un utente ha chiesto
Categoria: Akismet Spam Protection di WordPress
Domanda: Akismet consente possibili vulnerabilità nei collegamenti nei commenti

Se passi con il mouse su un link spam in un commento spam catturato da Akismet, il contenuto del link verrà visualizzato sullo schermo. E questo contenuto potrebbe essere dannoso.

Per duplicare, cerca un commento spam rilevato da Akismet (vai su Admin, Commenti, Spam). Passa il mouse su qualsiasi link nel contenuto spam. Apparirà un riquadro con il contenuto di questo collegamento.

Esempio:

Usando l’ispettore su uno di questi link spam, ho trovato il codice HREF sul link nel commento spam simile a questo (ho oscurato il dominio ma ho lasciato il resto) (e non so come avvolgere il blocco di codice sotto)

http://Www.example.com/__media__/js/netsoltrademark.php?d=malyj.info%2F__media__%2Fjs%example.php%3Fd%3D3win8.city%2Findex.php%2Fdownload%2F29-ntc33 ″;
target = “_ vuoto” rel = “nofollow esterno”>http://Www.example.com/__media__/js/netsoltrademark.php?d=malyj.info%2F__media__%2Fjs%2Fexample.php%3Fd%3D3win8.city%2Findex.php%2Fdownload%2F29-ntc33; `

E il CSS per il :after item, che proviene da Akismet (motivo per cui lo vedi solo sullo spam catturato da Akismet, usando l’ultima versione di Akismet), in akismet.css riga 42:

`table.comments td.comment pa :: dopo {

contenuto: attr (href);
colore: #aaa;
visualizzazione: blocco in linea;
riempimento: 0 1ex;

} `

Quindi, il content L’elemento CSS mostra il contenuto del collegamento. E nota che il link di esempio sopra è un file php. Il che è preoccupante … poiché fare clic sul collegamento sembra richiedere un processo di “download”. (Non ho cercato nel codice il collegamento o fatto clic su di esso.)

….Ma non così inquietante come se il blocco di esempio fosse JS. e A seguire riguardo al fatto che JS stia cercando di fare un exploit sul tuo computer – che secondo me non richiederebbe un clic, solo un passaggio del mouse per l’esecuzione. ** SÌ ! **

Quindi, la causa sembra essere il CSS che Akismet utilizza per visualizzare il contenuto dei collegamenti.

E non sembra molto sicuro. Akismet **non dovrebbe** utilizzare il content elemento nel blocco CSS: after.

Questa è una potenziale vulnerabilità a amministratorecomputer da e non deve essere attivato da Akismet.

  • Autore del plugin

    (@stephdau)

    Ciao,

    A meno che non mi sia sfuggito qualcosa nel tuo rapporto, penso che potrebbe esserci qualche malinteso su cosa fa questo CSS e su come potrebbe influenzare un utente.

    Il content: attr(href); il parametro non visualizza il contenuto del sito a cui è collegato il collegamento, visualizza solo l’URL a cui è collegato, accanto a detto collegamento, come visto in https://cloudup.com/itp4rG2hcDy.

    Contenuto visualizzato come sovrapposizione (come 404 pollici https://cloudup.com/iWc_lALmpzA) è uno screenshot/immagine che viene generata automaticamente sui nostri server, ma il browser (o server) dell’utente non accede mai al sito di destinazione.

    Sulla base di quanto sopra, non vedo un vettore di sicurezza per un utente malintenzionato da sfruttare, dal punto di vista di un utente.

    (@rhellewellgmailcom)

    Sono confuso dalla tua risposta, ma ho difficoltà a creare un esempio che mostri il problema.

    Ma posso facilmente vedere il problema se guardo un vero commento spam che Akismet classifica come spam. Dovresti anche essere in grado di vederlo, se vai all’elenco dei commenti spam (Admin, Commenti, Spam).

    Questo ti mostrerà un elenco di tutti i commenti classificati come spam. Se sposti il ​​mouse su un tipico link spam, apparirà una casella che mostra il contenuto di quel link href. Se l’href è qualcosa del tipo https://www.cnn.com , dovresti essere in grado di vedere il contenuto della pagina CNN corrente. Se si tratta di un collegamento dannoso/spam, vedrai il contenuto di questa pagina.

    Infatti, se modifichi un commento spam, inserisci questo semplice link HREF e salvi la modifica, vedrai la homepage della CNN, anche con gli elementi rotanti, quando passi il mouse su quel link che hai aggiunto.

    <a href="https://www.cnn.com" rel="nofollow">my link</a><br>

    Questo mi dice che il “contenuto” CSS sta effettuando una richiesta alla CNN e la CNN sta restituendo il contenuto. Se questo contenuto nel commento era una pagina che generava contenuti “cattivi”, allora quel contenuto non valido verrà eseguito nel browser del visitatore. Non ho eseguito alcuna acquisizione di elementi di richiesta, ma vedo il contenuto HREF su ogni collegamento HREF in qualsiasi contenuto di spam. E questo contenuto viene visualizzato dal :after CSS aggiunto da akismet.css.

    Non ho una prova del concetto tranne quando modifichi un commento spam e metti il ​​tuo HREF, o passi il mouse su un elemento HREF nel testo del commento dello spammer. Ma mi sembra che questa azione potrebbe essere trasformata in qualcosa di dannoso da un attore maligno.

    Autore del plugin

    (@finke)

    Il pop-up che vedi su CNN.com nel tuo esempio è solo uno screenshot, preso dal servizio mShots (https://github.com/Automatic/mShots). È statico, quindi nessun contenuto di CNN.com è effettivamente incluso nella pagina. Se controlli la riga 87 di _inc/akismet.js, puoi vedere il JavaScript che richiede lo screenshot e lo visualizza nella pagina.

    (@rhellewellgmailcom)

    Interessante. Quando ho inserito il collegamento dalla pagina principale della CNN, lo “screenshot” risultante del JS è cambiato, con una nuova immagine visualizzata in una parte della finestra dello screenshot (come una presentazione automatica). Questo mi ha portato a credere che la finestra fosse “viva”.

    Non “parlo” JS molto bene (solo le basi), quindi non posso parlare con il codice. Ma uno screenshot è meno problematico. Sebbene la visualizzazione simile a una presentazione dello “screenshot” della CNN fosse sconcertante, il che mi ha portato a credere che fosse “codice live”.

    Ma sarebbe bello disabilitare questo screenshot, magari nella lista spam. Non so perché questa sia una “caratteristica”, tuttavia. Vorrei un’opzione ‘disattiva’.

Hai risolto il tuo problema?

0 / 0

Lascia un commento 0

Il tuo indirizzo email non sarà pubblicato. Required fields are marked *