Un utente ha chiesto informazioni su Akismet Spam Protection di Wordpress

Akismet rivela una potenziale vulnerabilità nei collegamenti nei commenti

Un utente ha chiesto 👇

Se apri un collegamento spam in un commento spam acquisito da Akismet, il contenuto del collegamento verrà visualizzato sullo schermo. E quel contenuto potrebbe essere dannoso.

Per duplicare, commenta la spazzatura catturata da Akismet (vai su Admin, Commenti, Spam). Vai su qualsiasi link nel contenuto dello spam. Verrà visualizzata una finestra popup con il contenuto di quel collegamento.

Esempio:

Utilizzando Inspector su uno di quei link spam, ho scoperto che il codice HREF sul link nel traffico spam è simile a questo (ho ceduto il dominio ma ho lasciato il resto) (e non sono sicuro di come piegare il blocco di codice qui sotto)

http://Www.example.com/__media__/js/netsoltrademark.php?d=malyj.info%2F__media__%2Fjs%example.php%3Fd%3D3win8.city%2Findex.php%2Fdownload%2F29-ntc33 ″;
target = “_ blank” rel = “external nofollow”>http://Www.example.com/__media__/js/netsoltrademark.php?d=malyj.info%2F__media__%2Fjs%2Fexample.php%3Fd%3D3win8.city%2Findex.php%2Fdownload%2F29-ntc33; “

E la SEC per :after elemento, che proviene da Akismet (motivo per cui lo vedi solo su junk catturato da Akismet, utilizzando l’ultima versione di Akismet), in akismet.css linea 42:

`table.comments td.comment pa :: after {

oggetto: attr (href);
colore: #aaa;
display: blocco in linea;
imbottitura: 0 1ex;

} “

Così la content una caratteristica della SEC è la visualizzazione del contenuto nel collegamento. E nota che il link di esempio sopra è un file php. In relazione ad esso … fare clic sul collegamento sembra essere chiamato processo di “download”. (Non ho controllato il codice del collegamento, né ho cliccato su di esso.)

… ma non così preoccupato come JS sarebbe nel blocco campione. E più grande come se il JS stesse cercando di sfruttare il tuo computer – qualcosa che non penso richiederebbe un clic, ma un passaggio del mouse da fare. ** YIKES! **

Quindi il motivo per cui il CSS utilizzato da Akismet sembra essere quello di mostrare il contenuto dei collegamenti.

E non sembra molto sicuro. Akismet non dovrebbe ** per utilizzare il content elemento nel: dopo il blocco CSS.

Questa è una potenziale vulnerabilità per admincomputer e non dovrebbe essere abilitato da Akismet.

Autore del plugin

(@stephdau)

1 anno, 10 mesi fa

Ciao,

Se non mi sono perso qualcosa nel tuo rapporto, penso che potrebbe esserci un malinteso su ciò che fa la SEC e su come potrebbe influire su un utente.

L’IS content: attr(href); il parametro non mostra il contenuto del sito collegato, mostra solo l’URL collegato, accanto a quel collegamento, come visto in https://cloudup.com/itp4rG2hcDy.

Il materiale mostrato come una sovrapposizione (simile al 404 pollici) https://cloudup.com/iWc_lALmpzA) è un’immagine / immagine generata automaticamente sui nostri server, ma il browser (o il server) dell’utente non accede effettivamente al sito di destinazione.

Sulla base di quanto sopra, non riesco a vedere un vettore di sicurezza per un utente malintenzionato per trarne vantaggio, dal punto di vista dell’utente.

Lanciatore di thread

(@rhellewellgmailcom)

1 anno, 10 mesi fa

La tua risposta mi confonde, ma ho difficoltà a creare un esempio che illustri la domanda.

Ma posso facilmente vedere il problema se guardo al traffico di spam effettivo che Akismet classifica come spam. Dovresti anche essere in grado di vederlo, se vai nell’elenco dei commenti spam (Admin, Commenti, Spam).

Verrà visualizzato un elenco di tutti i commenti classificati come spam. Se sposti il ​​mouse su un tipico link spam, apparirà una finestra che mostra il contenuto di quel link href. Se il file href https://www.cnn.com , dovresti essere in grado di vedere il contenuto della pagina corrente della CNN. Se si tratta di un collegamento dannoso / contenente spam, viene visualizzato il contenuto di quella pagina.

Infatti, se modifichi il commento spam, invii questo semplice link HREF e salvi la modifica, vedrai una prima pagina della CNN, anche con gli elementi rotanti, quando invii quel link con il suo carico.

<a href="https://www.cnn.com" rel="nofollow">my link</a><br>

Ciò mi suggerisce che la SEC è “contenuto” che si applica alla CNN e la CNN sta restituendo il contenuto. Se quel contenuto è una pagina nel traffico che genera contenuto “cattivo”, quel contenuto cattivo verrà rimosso nel browser del visitatore. Non ho acquisito alcun elemento della richiesta, ma vedo il contenuto HREF su ogni singolo collegamento HREF in qualsiasi contenuto di spam. E quel contenuto è in mostra al :after CSS aggiunto da akismet.css.

Non ho alcuna prova del concetto, tranne quando modifichi il commento spam e invii l’HREF stesso, o aggiungi una funzione HREF nel testo del commento dello spammer. Ma mi sembra che un attore malvagio possa trasformare questo atto in qualcosa di dannoso.

Autore del plugin

(@cfinke)

1 anno, 10 mesi fa

Il popup che vedi da CNN.com nel tuo esempio è solo un’immagine, scattata dal servizio mShots (https://github.com/Automattic/mShots). È statico, quindi nessun contenuto di CNN.com è effettivamente incluso nella pagina. Se controlli la riga 87 di _inc/akismet.js, puoi visualizzare e visualizzare il JavaScript richiesto dallo screenshot.

Lanciatore di thread

(@rhellewellgmailcom)

1 anno, 10 mesi fa

Interessante. Quando ho inserito un collegamento alla pagina principale della CNN, lo ‘screenshot’ risultante è cambiato dal JS, con una nuova immagine visualizzata in una parte della finestra dello schermo (simile a una presentazione automatica). Questo mi ha portato a credere che la finestra fosse “viva”.

Non parlo JS molto bene (solo le basi), quindi non posso pronunciare il codice. Ma la domanda è meno di un’immagine. Sebbene la presentazione di uno “screenshot” della CNN fosse insoddisfacente, mi ha portato a credere che fosse “codice live”.

Ma sarebbe bello disabilitare quello screenshot, magari nella lista dello spam. Tuttavia, non sono sicuro del motivo per cui sia una “caratteristica”. Voglio un’opzione “disabilitata”.

Was this helpful?

0 / 0

Lascia un commento 0

Your email address will not be published. Required fields are marked *