PluginUs.Net - WooCommerce ve WordPress için İş Araçları

[fikrinizi gerçekleştirin - hayallerinizi gerçekleştirin]

Destek Forumu

Desteğe istek (konu) oluşturmak için oturum açmanız gerekir

XSS

Destek cumartesi ve pazar günleri çalışmaz, bu nedenle bazı Cuma istekleri Pazartesi günü yanıtlanabilir. Kayıtla ilgili sorunlarınız varsa, yardım isteyin İletişim sayfa lütfen
24 ~ 36 iş saati içinde e-posta almadıysanız, öncelikle spam kutunuzu kontrol edin ve oradaki destekten herhangi bir e-posta gelmediyse foruma geri dönün ve cevabı buradan okuyun. YAPMAYIN E-POSTALARDA CEVAP [noreply@pluginus.net] FORUMDAN !! E-postalar sadece bilginiz içindir, tüm cevaplar sadece burada yayınlanmalıdır.
Destek Cumartesi ve Pazar günleri çalışmadığından bazı Cuma istekleri Pazartesi günü yanıtlanabilir.

Sevgili Son zamanlarda bir müşteri için bir web sitesi yaptım. Web sitesi ACUNETIX GÜVENLİK TESTİ'nden geçti ve rapor aşağıdaki uyarıları gösterdi:

/tr/yayınlar/
Uyarı grubu Siteler arası komut dosyası çalıştırma
Önem Yüksek
Açıklama
Siteler Arası Komut Dosyası Çalıştırma (XSS), bir saldırganın
meşru bir web sitesine veya web uygulamasına kötü amaçlı komut dosyaları yürütmek. XSS, bir
web uygulaması, çıktı içinde doğrulanmamış veya kodlanmamış kullanıcı girdisini kullanır.
üretir.
Öneriler Bir sayfada oluşturulan kullanıcı girişine bağlama bağlı kodlama ve/veya doğrulama uygulayın
Uyarı çeşitleri
- Detaylar
URL kodlu GET girişi mdf_cat 15" 63mg=xjEn([!+!]) 2C1=" olarak ayarlandı
Giriş, çift tırnak arasında bir etiket parametresinin içinde yansıtılır.
GET /tr/yayınlar/?
mdf_cat=15"%2063mg=xjEn([!%2B!])%202C1="&page_mdf=becae0751bb2ae54a9f8c29dda92e86f&slg=do
belgeler HTTP/1.1
Referans: https://
Çerez: privacy_embeds=consent; wordpress_test_cookie=WP%20Cookie%20check
Kabul et: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Kullanıcı Aracısı: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, benzeri
Geko) Chrome/92.0.4512.0 Safari/537.36
Host:
Bağlantı: Canlı tutma

Bunun ne olabileceği hakkında bir fikriniz var mı? $_REQUEST'den önce (int) ekledim ama bu hiçbir şeyi değiştirmedi.

Merhaba

Hangi eklenti sürüm numarasını kullanıyorsunuz?

WordPress Meta Verileri ve Taksonomiler Filtresi (MDTF) 1.2.9 

Merhaba

Tamam! Lütfen bunu oku - https://wordpress.org/support/topic/cross-site-scripting-6/

Bunu zaten denedim, işe yaramadı.

bunu yaptıktan sonra şimdi bunu uyarıyor:

Uyarı grubu: Siteler arası komut dosyası çalıştırma (doğrulandı)
Önem derecesi: Yüksek
Açıklama:
Siteler Arası Komut Dosyası Çalıştırma (XSS), bir saldırganın
meşru bir web sitesine veya web uygulamasına kötü amaçlı komut dosyaları yürütmek. XSS, bir
web uygulaması, çıktı içinde doğrulanmamış veya kodlanmamış kullanıcı girdisini kullanır.
üretir.
Öneriler: Bir sayfada oluşturulan kullanıcı girişine bağlama bağlı kodlama ve/veya doğrulama uygulayın
Uyarı çeşitleri
Ayrıntılar: URL kodlu GET girişi mdf_cat 15'"()&% olarak ayarlandı AQbX(9674)

GET /en/publications/?mdf_cat=15'"()%26%25<acx><ScRiPt%20>AQbX(9674)
</ScRiPt>&page_mdf=d192ea5b7af3877fa6170599cafbaf27&slg=documents HTTP/1.1

Çerez: privacy_embeds=consent; wordpress_test_cookie=WP%20Cookie%20check
Kabul et: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Kullanıcı Aracısı: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, benzeri
Geko) Chrome/92.0.4512.0 Safari/537.36

Bağlantı: Canlı tutma

Merhaba

Çok ilginç! bana FTP erişimini bırakabilir misin - https://share.pluginus.net/image/i20210618130558.png -> https://share.pluginus.net/image/i20210618130637.png kontrol edeceğim

Merhaba, öncelikle yanıtlarınız için teşekkür ederim.

İkincisi, localhost'ta var, böylece size sitenin tamamını (veritabanı ve dosyalar) gönderebilirim, çünkü müşteri bana canlı siteye yüklediği dosyaları paylaşma hakkını vermedi. Bu mümkün mü yoksa sizin için kabul edilebilir mi?

Bir kez daha çok teşekkür ederim.

Merhaba

Bana MDTF sürümünüzün (değişikliklerinizle birlikte) dosyalarını bırakabilirsiniz.

Merhaba,

Sana dosyaları gönderdim.

Merhaba,

Dosyaları aldın mı?
teşekkür ederim

Merhaba

Dosyada - wp-content\plugins\wp-meta-data-filter-and-taxonomy-filter_fix\index.php- kodu değiştirin - https://share.pluginus.net/image/i20210920190427.png

ve dosyada - wp-content\plugins\wp-meta-data-filter-and-taxonomy-filter_fix\views\widgets\search.php - kodu değiştirin - https://share.pluginus.net/image/i20210920190617.png

Sevgili,

Şimdi bunu alıyorum,

Önem Yüksek

Açıklama

Siteler Arası Komut Dosyası Çalıştırma (XSS), bir saldırganın
meşru bir web sitesine veya web uygulamasına kötü amaçlı komut dosyaları yürütmek. XSS, bir
web uygulaması, çıktı içinde doğrulanmamış veya kodlanmamış kullanıcı girdisini kullanır.
üretir.
Öneriler Bir sayfada oluşturulan kullanıcı girişine bağlama bağlı kodlama ve/veya doğrulama uygulayın

Uyarı çeşitleri

- Detaylar

URL kodlu POST girişi değişkenleri olarak ayarlandı
mdf%5Bfilter_post_blocks%5D%5B%5D=4198&mdf%5Bfilter_post_blocks_toggles%5
D%5B%5D=0&mdf%5Bmedafi_60db388190310%5D=the&mdf%5Bfilter_post_blocks%
5D%5B%5D=4199&mdf%5Bfilter_post_blocks_toggles%5D%5B%5D=0&mdf%5Btaxon
omy%5D%5Bselect%5D%5Bcategories%5D=&mdf%5Btaxonomy%5D%5Bselect%5D
%5Bcategories%5D%5B%5D=-1&mdf%5Btaxonomy%5D%5Bselect%5D%5Bpublisher
%5D=&mdf%5Btaxonomy%5D%5Bselect%5D%5Bpublisher%5D%5B%5D=-1&mdf%5B
filter_post_blocks%5D%5B%5D=4197&mdf%5Bfilter_post_blocks_toggles%5D%5B%
5D=0&mdf%5Bmedafi_60db384b4054d%5D%5Bfrom%5D=1604271599&mdf%5Bmedaf
i_60db384b4054d%5D%5Bto%5D=1604271599&meta_data_filter_bool=AND&mdf_tax_
bool=AND&mdf%5Bmdf_widget_options%5D%5Bslug%5D=documents&mdf%5Bmdf_
widget_options%5D%5Bmeta_data_filter_cat%5D=15&mdf%5Bmdf_widget_options%
5D%5Bshow_items_count_dynam%5D=&mdf%5Bmdf_widget_options%5D%5Btaxon
omies_options_post_recount_dyn%5D=1&mdf%5Bmdf_widget_options%5D%5Btaxo
nomies_options_hide_terms_0%5D=0&mdf%5Bmdf_widget_options%5D%5Bhide_me
ta_filter_values%5D=0&mdf%5Bmdf_widget_options%5D%5Bhide_tax_filter_values%
5D=0&mdf%5Bmdf_widget_options%5D%5Bsearch_result_page%5D=self&mdf%5Bm
df_widget_options%5D%5Bsearch_result_tpl%5D=self&mdf%5Bmdf_widget_options
%5D%5Bwoo_search_panel_id%5D=0&mdf%5Bmdf_widget_options%5D%5Baddition
al_taxonomies%5D=&mdf%5Bmdf_widget_options%5D%5Breset_link%5D=self&meta
_data_filter_cat=15 L8nz(9107)

Giriş, bir metin öğesinin içinde yansıtılır.

POST /wp-admin/admin-ajax.php HTTP/1.1
İçerik Türü: application / x-www-form-urlencoded

Çerez: wordpress_test_cookie=WP%20Cookie%20check; privacy_embeds=rıza
Kabul et: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Content-Length: 1899
Kullanıcı Aracısı: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, benzeri
Geko) Chrome/92.0.4512.0 Safari/537.36

action=mdf_encode_search_get_params&is_ajaxed_reset=true&mdf_front_qtrans_lang=&mdf_front
_wpml_lang=tr&mode=gönder&shortcode_id=0&sidebar_id=avada-custom-sidebar-searchmdtfen&
sidebar_name=AraMDTFEn&
type=widget&vars=mdf%255Bfilter_post_blocks%255D%255B%255D=4198%26mdf%255Bfilter_post_
blocks_toggles%255D%255B%255D=0%26mdf%255Bmedafi_60db388190310%255D=the%26mdf%255Bfilter_
post_blocks%255D%255B%255D=4199%26mdf%255Bfilter_post_blocks_toggles%255D%255B%255D=0%26m
df%255Btaxonomy%255D%255Bselect%255D%255Bcategories%255D=%26mdf%255Btaxonomy%255D%255Bsel
ect%255D%255Bcategories%255D%255B%255D=-1%26mdf%255Btaxonomy%255D%255Bselect%255D%255Bpub
lisher%255D=%26mdf%255Btaxonomy%255D%255Bselect%255D%255Bpublisher%255D%255B%255D=-1%26md
f%255Bfilter_post_blocks%255D%255B%255D=4197%26mdf%255Bfilter_post_blocks_toggles%255D%25
5B%255D=0%26mdf%255Bmedafi_60db384b4054d%255D%255Bfrom%255D=1604271599%26mdf%255Bmedafi_6
0db384b4054d%255D%255Bto%255D=1604271599%26meta_data_filter_bool=AND%26mdf_tax_bool=AND%2
6mdf%255Bmdf_widget_options%255D%255Bslug%255D=documents%26mdf%255Bmdf_widget_options%255
D%255Bmeta_data_filter_cat%255D=15%26mdf%255Bmdf_widget_options%255D%255Bshow_items_count
_dynam%255D=%26mdf%255Bmdf_widget_options%255D%255Btaxonomies_options_post_recount_dyn%25
5D=1%26mdf%255Bmdf_widget_options%255D%255Btaxonomies_options_hide_terms_0%255D=0%26mdf%2
55Bmdf_widget_options%255D%255Bhide_meta_filter_values%255D=0%26mdf%255Bmdf_widget_option
s%255D%255Bhide_tax_filter_values%255D=0%26mdf%255Bmdf_widget_options%255D%255Bsearch_res
ult_page%255D=self%26mdf%255Bmdf_widget_options%255D%255Bsearch_result_tpl%255D=self%26md
f%255Bmdf_widget_options%255D%255Bwoo_search_panel_id%255D=0%26mdf%255Bmdf_widget_options
%255D%255Badditional_taxonomies%255D=%26mdf%255Bmdf_widget_options%255D%255Breset_link%25
5D=self%26meta_data_filter_cat=15<ScRiPt%20>L8nz(9107)
&widget_id=metadatafilter_search-2

Burada neler olduğu hakkında bir fikrin var mı? Gerçekten çok teşekkür ederim.

Merhaba,

Zorlayıcı olduğum için üzgünüm. Yukarıdaki mesajı gördünüz mü diye bakmak istedim.

teşekkür ederim

Merhaba

Dosyada deneyin - \wp-content\plugins\meta-data-filter\classes\page.php bu kodu ekleyin - https://c2n.me/4dqKqAU.png

$veri = MetaDataFilter::sanitize_post_data($veri);

 

Sevgili, Öncelikle teşekkür ederim, bana gönderdiğin son cevap mükemmel çalıştı.

Şimdi başımı belaya sokan başka bir sorunum var.

web Sunucusu
Uyarı grubu Güvenlik açığı bulunan JavaScript kitaplıkları
Önem Orta
Açıklama
Bir veya daha fazla güvenlik açığı bulunan JavaScript kitaplığı kullanıyorsunuz. Bir veya daha fazla güvenlik açığı vardı
kitaplığın bu sürümü için rapor edilmiştir. Daha fazla bilgi için Saldırı ayrıntılarına ve Web Referanslarına bakın
etkilenen kitaplık ve bildirilen güvenlik açıkları hakkında bilgi.
Öneriler En son sürüme yükseltin.
Uyarı çeşitleri
- Detaylar
jQuery 1.7.0
URL: //ajax.googleapis.com/ajax/libs/jquery/1.7.0/jquery.min.js
Algılama yöntemi: Kitaplığın adı ve sürümü,
dosyanın CDN URI'si.
Referanslar:
https://bugs.jquery.com/ticket/11290
https://research.insecurelabs.org/jquery/test/
https://github.com/jquery/jquery/issues/2432
https://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released/
5
GET /wp-content/plugins/wp-meta-data-filtre-ve-taksonomi-filter/js/tooltipster/ HTTP/1.1
Yönlendiren: /wp-content/plugins/wp-meta-data-filtre-ve sınıflandırma-
filtre/js/araç ipucu/
Çerez: wordpress_test_cookie=WP%20Cookie%20check; privacy_embeds=rıza
Kabul et: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding: gzip, deflate
Kullanıcı Aracısı: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, benzeri
Geko) Chrome/92.0.4512.0 Safari/537.36
Bağlantı: Canlı tutma

Burada ne yapmam gerektiğine dair bir fikrin var mı? Tekrar teşekkürler.

Merhaba

sana başka bir konuda cevap vereceğim

Peki. Kusura bakmayın acelem olduğu için buraya yazdım. bundan sonra doğru başlıkla doğru konuyu açtım.

Tamam! sana cevap verdim