久々にWPプラグインを弄ってる。 WPのadminページのフォームにはtokenとか実装されてないのかな?CSRFが簡単に行える予感するんだけど。
2013-07-28 07:30:25やはりWP自体にはnonceというone time tokenらしきのがちゃんと実装されてようだ。nonce_fieldとverify_nonceは簡単に実装できるようになってるし、なぜこれを使ってないのだろうか。
2013-07-28 07:54:58すごくいいアプリケーション、それも大規模なの作る人に限ってWebのセキュリティ知識皆無なのは良くあることなのかな?Web以外の出身とかかな。なんだこの矛盾は。
2013-07-28 13:59:18あれだけでかいプログラム作る人がなんでこんな程度のセキュリティ知識も持ち合わせていないのか理解できない。 echo $_GET['name'] とか書いちゃうレベル。
2013-07-28 14:01:53WordPressって管理画面からテンプレート書き換えたりプラグイン更新したりできるように設定してるのがデフォだと思うから、たった1つのプラグインに穴があって管理者アカウント奪取されたらサーバごとやりたい放題になるんだね。
2013-07-30 16:26:52WPサイトで使用しているプラグインとバージョン調べる方法があったらいくらでもクラックできそうだ。怖い怖い。 これが他人事じゃないのが辛い。
2013-07-30 16:27:38WPプラグイン見てたら、当然GPLライセンスなんだけど、「再販不可」とか書いてあったw WPで営利活動してる人間がこの理解度ってすげーな
2013-07-30 17:09:00脆弱性だらけでセキュリティ意識皆無のプラグインで、免責事項の中に「カスタマイズを行う場合は、脆弱性を十分に考慮して・・・」とか書いてあるw イタすぎるなこの制作者さん。
2013-07-30 17:17:32WPのアカウントを乗っ取られると困る人は、導入してるプラグインを全部チェックしないとダメなのか。例え今は安全でもアップデートで、脆弱性でたり、プラグインが乗っ取られる可能性もある。
2013-07-30 19:55:42例えセキュリティ意識と知識が皆無で脆弱性だらけのプラグインでも、それを作った人のことを尊敬してたのに、「脆弱性には最新の注意を払っていますが、サーバや運用方法によってセキュリティホールになる可能性もあります」とか書いてるのみて幻滅した。 もうダメだですこの人。潰れても知らないや。
2013-07-30 20:59:49ついでに言えば、明らかな脆弱性なのに、サーバが悪いですとか言い切ってたりするらしい。同じプログラマとして恥ずかしいです。
2013-07-30 21:01:23プロが選ぶWordPress優良プラグインなんたらと言う書籍に脆弱性だらけで素人以下のセキュリティ知識で作られたプラグインが紹介されてて呆れた。WPのプロってなんですかね? プログラマでもセキュリティ専門家でもなければその辺は関係ないんでしょうか。
2013-07-30 21:13:12