我们需要通过允许用户选择日期和从列表等中选择项目来改善用户体验的组件和插件。我们可以手动构建它们并花费大量时间在这些上,或者我们可以在线搜索预先存在的解决方案。 / p>
这些插件和框架通常是免费或社区构建的项目,因此您不能保证它们免受XSS注入等常见攻击。这些攻击媒介可以为攻击者提供有关我们项目的大量有价值信息,而不会对我们的项目造成任何明显的伤害。
如何防止这种情况?在使用它之前是否有正确的方法来测试第三方插件?
答案 0 :(得分:3)
没有
实际上,没有任何方法可以保证插件100%安全。一些插件被添加到WordPress网站,或者合并到项目中,甚至设置为国际标准协议,它们仍然存在漏洞。如果您有兴趣,请查看最近导致很多麻烦的 WPA2 KRACK 漏洞。
可悲的是,这是一个风险,您将不得不在任何地方安装任何插件。 Google Play商店中有许多应用程序包含设计的病毒和漏洞,可以让黑客访问。 Google Chrome商店中仍有许多易受攻击或恶意的插件,任何人都可以下载。 WordPress有一些可怕的插件,为看似没有奖励提供了很多弱点。从不安全的插件中除了不使用它之外,没有任何其他方法。
您可以采取的措施
1)看看已经完成了哪些安全测试。他们有任何认证或合规检查吗?他们的网站上是否有任何徽章证明他们经常测试并维护他们的漏洞申请?
2)是开源吗?这是一个很大的问题!开源意味着任何人都可以查看代码,这意味着任何人都可以编辑代码并重新分发自己的版本。请务必从可靠的来源下载该插件的版本并检查其代码。如果您可以看到其中的任何漏洞,黑客可能也是如此。但是,开源项目通常会发现比传统black box程序更快的漏洞。这意味着通常不太知名的漏洞或弱点难以利用或提供无用信息,但情况并非总是如此。
3)自己测试一下?如果您不确定并且真的想要格外小心,可以自己测试插件(或者让某人为您测试它)。有些公司会为您做专业的工作,但会收取一定的费用。一些在线人员通常很高兴测试他们,看看他们能找到什么(bug赏金猎人是一件事)。甚至只是问一个知道他们正在做什么的朋友,或者搜索一些常见的黑客或注入脚本/工具,这是测试某些东西的良好的第一步;让我们面对它 - 它总比什么都没有好!
4)避免它!如果你真的不能确定并且不想承担风险,你可以简单地避免插件并自己创建项目(在某些情况下,这可能更不安全或者更不安全你可以选择不同的解决方案或插件。因此,如果您发现PluginFoo看起来很可疑或不安全,您可以选择使用PluginBar。