wp.bmemo.pw

自分のための覚書・備忘録

WEB Wordpress セキュリティー

WordPressとMarkdownを使ったXSS

投稿日:

去年見つけたXSS紹介します.

WordPress上でとあるMarkdownプラグインを使用すると,JavaScriptの投稿を禁じられたユーザーでもJavaScriptを投稿できるようになります.複数人でブログ運営していて権限の低いブログライターがブログ所有者のセッションを乗っ取ることも可能です.

WordPressのXSS対策機能

unfiltered_html

WordPressには複数人でブログを運営するためにユーザーレベルが設けられています.デフォルトでは,特権管理者・編集者・投稿者・寄稿者・購読者が設定されています.

screenshot.267

このうち投稿者以下のユーザーはJavaScriptを含んだ投稿ができません.これらのユーザーレベルがJavaScriptを含んだ投稿をするとその部分をwp_ksesが無害化します.

上記のようにjavascriptが動作しないように変換してくれていることが分かります.XSSしまくってる人たちは上記以外でもjavascriptを実行する方法を御存知でしょうが,その多くの手法がwp_ksesによって塞がれています.そしてこのwp_ksesはHTMLに対して動作します.


Markdownプラグインを使ったwp_kses突破

screenshot.268

Markdown on Save Improved (MoSI)を使うとJavaScript投稿を禁じられているユーザーでもJavaScriptを埋め込むことが可能になります.

Markdownって何?って人は→こちら

Markdownで以下の記述をすると,記事投稿時にjavascriptが動作する形で出力してくれます.wp_ksesによる削除等を突破できます.

コードはもっと短くできそうだけど試してないです.

screenshot.269

原因にWordPress公式のAPIが絡んでた

そもそもXSSができたのはMoSIプラグインの実装上の問題から来たわけですが,少し調べてみるとXSSを引き起こした原因にWordPress公式のAPIが絡んでいました

wp_insert_post_data

プラグイン開発者の皆さんはこのAPIを使っているのでしょうか.このAPIはwp_ksesで検査した後のテキストデータを再編集できるようになるAPIです.MoSIプラグインは,このAPIを用いてMarkdown記法からHTML記法へ変換していました.

screenshot.270

wp_ksesで検査した後にhtmlに変換するわけですから,当然Markdown記法で書いたテキストにjavascriptが含まれていてもwp_ksesはスルーしちゃうわけです.


その後

すぐ修正されました.でもMarkdownを使ってブログを書くにはJetPackを使うのがメジャーだということで,開発者の方がJetPackを使うようにアナウンスを出しました.このプラグインはもう開発止まってます.使ってる人は早くJetPackに移行しようね.

WordPressのAPIリファレンスにしっかりXSSのリスクを書いてて欲しい.まだ沢山こういう脆弱性持ってるプラグインありそうで怖い.

-WEB, Wordpress, セキュリティー
-,

執筆者:


comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

関連記事

NECルーターで公開サーバーを行うときの注意点

NECのルーター買ってハマったのでメモ もくじ公開するサーバーはDHCP割当範囲外にすることNEC製ルーターは内部からグローバルIPへルーティングできないhostsを書き換える方法よろしい。ならば 自 …

no image

Raspberry Pi やAndroid でAMラジオを発信する

エアギャップネットワーク / コンピュータ というものをご存知でしょうか。LAN、WLAN、BT等の公衆ネットワークから完全に切り離されたスタンドアロンのネットワーク / コンピュータのことです。 こ …

no image

大学のネット回線が遅い? → ネームサーバー変えてみ?

クソクソ言われ続ける大学の回線。お昼休みの時間帯は1Mbpsすら出ないこともしばしばあります。なんでかなあそんな貧弱な回線じゃないんだけどなあと悩んでいたのですが、ある日名前解決にやたら時間がかかって …

phpMyAdminを手動アップデートする

Raspberry piのリポジトリから入れたphpMyadminのバージョンが古かったのでphpmyAdminのサイトから最新安定版をDLしてアップデートさせます。 もくじ確認事項バックアップ今回例 …

BugBountyの賞金が口座に振り込まれるまでのメモ

先日,某アンチウイルスのバグを報告し賞金を頂きました.発見から報告まで自分ともう一人の二人体制でやったため賞金は折半ですが,賞金の引き出しは私がやったためメモに残しておこうかと思います.バグの詳細は修 …