-
- いいね!0
西新宿のプログラマ
@shinjuku_pg
久々にWPプラグインを弄ってる。 WPのadminページのフォームにはtokenとか実装されてないのかな?CSRFが簡単に行える予感するんだけど。
2013-07-28 07:30:25
西新宿のプログラマ
@shinjuku_pg
やはりWP自体にはnonceというone time tokenらしきのがちゃんと実装されてようだ。nonce_fieldとverify_nonceは簡単に実装できるようになってるし、なぜこれを使ってないのだろうか。
2013-07-28 07:54:58
西新宿のプログラマ
@shinjuku_pg
すごくいいアプリケーション、それも大規模なの作る人に限ってWebのセキュリティ知識皆無なのは良くあることなのかな?Web以外の出身とかかな。なんだこの矛盾は。
2013-07-28 13:59:18
西新宿のプログラマ
@shinjuku_pg
あれだけでかいプログラム作る人がなんでこんな程度のセキュリティ知識も持ち合わせていないのか理解できない。 echo $_GET['name'] とか書いちゃうレベル。
2013-07-28 14:01:53
西新宿のプログラマ
@shinjuku_pg
WordPressって管理画面からテンプレート書き換えたりプラグイン更新したりできるように設定してるのがデフォだと思うから、たった1つのプラグインに穴があって管理者アカウント奪取されたらサーバごとやりたい放題になるんだね。
2013-07-30 16:26:52
西新宿のプログラマ
@shinjuku_pg
WPサイトで使用しているプラグインとバージョン調べる方法があったらいくらでもクラックできそうだ。怖い怖い。 これが他人事じゃないのが辛い。
2013-07-30 16:27:38
西新宿のプログラマ
@shinjuku_pg
WPプラグイン見てたら、当然GPLライセンスなんだけど、「再販不可」とか書いてあったw WPで営利活動してる人間がこの理解度ってすげーな
2013-07-30 17:09:00
西新宿のプログラマ
@shinjuku_pg
脆弱性だらけでセキュリティ意識皆無のプラグインで、免責事項の中に「カスタマイズを行う場合は、脆弱性を十分に考慮して・・・」とか書いてあるw イタすぎるなこの制作者さん。
2013-07-30 17:17:32
西新宿のプログラマ
@shinjuku_pg
WPのアカウントを乗っ取られると困る人は、導入してるプラグインを全部チェックしないとダメなのか。例え今は安全でもアップデートで、脆弱性でたり、プラグインが乗っ取られる可能性もある。
2013-07-30 19:55:42
西新宿のプログラマ
@shinjuku_pg
例えセキュリティ意識と知識が皆無で脆弱性だらけのプラグインでも、それを作った人のことを尊敬してたのに、「脆弱性には最新の注意を払っていますが、サーバや運用方法によってセキュリティホールになる可能性もあります」とか書いてるのみて幻滅した。 もうダメだですこの人。潰れても知らないや。
2013-07-30 20:59:49
西新宿のプログラマ
@shinjuku_pg
ついでに言えば、明らかな脆弱性なのに、サーバが悪いですとか言い切ってたりするらしい。同じプログラマとして恥ずかしいです。
2013-07-30 21:01:23
西新宿のプログラマ
@shinjuku_pg
プロが選ぶWordPress優良プラグインなんたらと言う書籍に脆弱性だらけで素人以下のセキュリティ知識で作られたプラグインが紹介されてて呆れた。WPのプロってなんですかね? プログラマでもセキュリティ専門家でもなければその辺は関係ないんでしょうか。
2013-07-30 21:13:12