18.05.2020 @ 18:31 Атака на сайт с WordPress через JavaScript и XSS JavaScript, Nemesida WAF, Pentestit, RCE, web security, WordPress, XSS Недавно Nemesida WAF заблокировал довольно занимательную попытку атаки с использованием XSS и JavaScript. Несмотря на то, что я не являюсь JS-разработчиком, ради интереса решил разобраться в сути атаки. Особенность вектора заключается в специфике работы самого WordPress — возможность редактировать файлы тем через админ-панель, позволяя незаметно для администратора внедрить вредоносный код. Пейлоад, представленный в виде JS, размещается на сайте через XSS-уязвимость, после чего ждет своего исполнения. Отработанный на стороне администратора веб-ресурса, код модифицирует содержимое файла темы WordPress (header.php), позволяя злоумышленнику закрепиться в системе и полностью скомпрометировать веб-приложение. Читать далее Атака на сайт с WordPress через JavaScript и XSS → Hekpo 8762 Web security Читать дальше >>