यदि किसी हैकर ने ब्लॉग_चैट को बदलकर UTF-7 कर दिया है, जो वर्डप्रेस को आगे के हमलों के लिए असुरक्षित बनाता है?

19

मेरे पास एक ग्राहक था जो हाल ही में हैक हो गया और मैंने देखा कि उसकी साइट पर अजीब चरित्र दिखाई दे रहे थे, जैसे got और got। यह पता चला कि हैकर्स ने wp_optionsडेटाबेस में तालिका में ब्लॉग_चैट को UTF-7 में बदल दिया है । मैंने इसे वापस यूटीएफ -8 में सेट कर दिया, लेकिन मैं सोच रहा था कि क्या समय के दौरान इसे यूटीएफ -7 में सेट किया गया था, क्या इससे कोई सुरक्षा कमजोरियां पैदा हो सकती हैं?

मैंने कुछ खोज की और पता चला कि वहाँ एक वर्डप्रेस UTF-7 भेद्यता हुआ करती थी जो कि संस्करण 2.0.6 में तय की गई थी । हम वर्डप्रेस का सबसे हालिया संस्करण चला रहे हैं, इसलिए वे उस शोषण का उपयोग नहीं कर सकते थे, लेकिन क्या यूटीएफ -7 से संबंधित कोई अन्य कारनामे हैं? वास्तव में, क्या कोई कारण है कि हैकर्स ब्लॉग_चैटसेट को एक दर्द के अलावा बदल देंगे? मैं यह निर्धारित करने की कोशिश कर रहा हूं कि वे कैसे अंदर आए और मैं सोच रहा हूं कि क्या यह किसी तरह जुड़ा हुआ है।

— Jennette
स्रोत

23

<और UTF-7 में और >इनकोड किए गए हैं । अब निम्नलिखित की कल्पना करें:+ADw-+AD4-

कोई व्यक्ति +ADw-script+AD4-alert(+ACI-Hello+ACI-)+ADw-/script+AD4-टिप्पणी पाठ के रूप में भेजता है । यह सभी स्वच्छता को पार कर जाएगा।
डेटाबेस उम्मीद करता है और आने वाले सभी डेटा को UTF-8 के रूप में मानता है। चूंकि सभी UTF-7 धाराओं भी वैध UTF-8 कर रहे हैं, यह एक एसक्यूएल त्रुटि हो कभी नहीं होगा, और mysql_real_escapeया htmlspecialcharsइसे छूने नहीं होंगे।
वर्डप्रेस एक हेडर भेजता है text/html;charset=utf-7।
वर्डप्रेस टिप्पणी को प्रदर्शित करता है, उम्मीद है कि बचा हुआ डेटा। लेकिन चूंकि यह ब्राउज़र द्वारा UTF-7 के रूप में व्यवहार किया जाता है, इसलिए जावास्क्रिप्ट निष्पादित किया जाएगा।

तो, हाँ, यह एक सुरक्षा समस्या है।

UTF-7 सभी ब्राउज़रों द्वारा समर्थित नहीं है, अधिकांश पाठ को Windows-1252 (या जो भी उनके OS पर डिफ़ॉल्ट एन्कोडिंग है) या UTF-8 के रूप में प्रस्तुत करेगा। मुख्य समस्या यह है: भागने से काम नहीं चलेगा।

सिर्फ एन्कोडिंग मान वापस बदलना कोई समाधान नहीं है। एक नियमित आगंतुक यह कभी नहीं बदल सकते हैं, तो आप है खुला दरवाजा खोजने के लिए।

— fuxia
स्रोत

धन्यवाद! मैं अपनी उंगलियों को पार करूंगा जो उस डेटाबेस प्रविष्टि को ठीक कर रहा है जिसने सुरक्षा छेद बंद कर दिया है।

— जेनेट डिक

चिंता न करें, मैंने सुरक्षा छेदों को बंद करने के लिए पहले से ही कई कार्रवाई की है। मैं अभी पता नहीं लगा सका कि वे अभी भी किस तरह से मिल रहे थे। पिछले कुछ दिनों में कुछ भी हैक नहीं हुआ है, इसलिए उम्मीद है कि एन्कोडिंग को यूटीएफ -8 में वापस बदलना सभी छेदों को बंद करने का अंतिम चरण था।

— जेनेरेट

0

इसके अलावा, इसकी आवश्यकता हो सकती है (आपकी तालिकाओं के सभी एन्कोडिंग को फिर से रूपांतरित करने): /programming/6115612/how-to-convert-an-entire-mysql-database-characterset-and-collation- टू-utf-8

— ट्रैविस वैन डेर फ़ॉन्ट
स्रोत