我们需要通过允许用户选择日期和从列表等中选择项目来改进用户体验的组件和插件。我们可以手动构建它们并花费大量时间在这些上,或者我们可以在线搜索预先存在的解决方案。
这些插件和框架通常是免费或社区构建的项目,因此您不能保证它们免受XSS注入等常见攻击。这些攻击媒介可以为攻击者提供有关我们项目的大量有价值信息,而不会对我们的项目造成任何明显的伤害。
我该如何防止这种情况?在使用它之前是否有正确的方法来测试第三方插件?
没有
实际上,没有任何方法可以保证插件100%安全。一些插件被添加到WordPress网站,或者合并到项目中,甚至设置为国际标准协议,它们仍然存在漏洞。如果您有兴趣,请查看最近导致很多麻烦的WPA2 KRACK漏洞。
遗憾的是,这是一个风险,您将不得不在任何地方安装任何插件。 Google Play商店中有许多应用程序包含旨在让黑客访问的病毒和漏洞。 Google Chrome商店中仍有许多易受攻击或恶意的插件,任何人都可以下载。 WordPress有一些可怕的插件,为看似没有奖励提供了很多弱点。没有任何其他方法可以摆脱不安全的插件,而不是简单地不使用它。
你可以做些什么呢
1)看看已经完成了哪些安全测试。他们有任何认证或合规检查吗?他们的网站上是否有任何徽章证明他们经常测试和维护他们的漏洞应用程序?
2)它是开源的吗?这是一个很大的问题!开源意味着任何人都可以查看代码,这意味着任何人都可以编辑代码并重新分发自己的版本。请务必从可靠的来源下载该插件的版本并检查其代码。如果您可以看到其中的任何漏洞,黑客可能也是如此。但是,开源项目通常会发现漏洞比传统的black box程序更快。这意味着通常不太知名的漏洞或弱点难以利用或提供无用的信息,但情况并非总是如此。
3)自己测试一下?如果您不确定并且真的想要格外小心,可以自己测试插件(或让某人为您测试)。有些公司会为您做专业的工作,但会收取一定的费用。一些在线人员通常很高兴测试他们,看看他们能找到什么(bug赏金猎人是一件事)。即使只是问一个知道他们正在做什么的朋友,或者搜索一些常见的黑客或注入脚本/工具,这是测试某些东西的良好的第一步;让我们面对它 - 它总比没有好!
4)避免它!如果你真的不能确定并且不想承担风险,你可以简单地避免插件并自己创建项目(在某些情况下,甚至可能更不安全或者没有建造)或者你可以选择不同的解决方案或插件。因此,如果您发现PluginFoo看似腥或不安全,您可以选择PluginBar。