Erfolgreiche XSS Angriffe und SQL Injections bei WordPress Plugins

Um bei Security Audits für WordPress-Plugins mithilfe von XSS Angriffen oder SQL Injections erfolg zu haben, muss man zuerst nach GET/POST-Parametern Ausschau halten 🧐 Burp Suite bietet hier eine tolle Übersicht!

XSS-Attacken zählen zu den häufigsten Angriffen bei WordPress – Websites und sind in den letzten Jahren sprunghaft angestiegen.

Dabei geht es darum ausführbaren Code auf der anzugreifenden Website zu injizieren.

Um bei Security Audits für WordPress-Plugins mithilfe von XSS Angriffen oder SQL Injections erfolg zu haben, muss man zuerst nach GET/POST-Parametern Ausschau halten, Burp Suite bietet hier eine tolle Übersicht!

Hat man geeignete Parameter ausfindig gemacht, stehen einem eine aktuelle Liste von XSS-Payloads: XSS in 2021 oder New XSS Vectors zur Verfügung.

In diesen Payloads setzt man einen Verweis auf ein Schadsoftware mit einer externen JS-Datei.

Hat man mit XSS keinen Erfolg, kann man auch SQL Injections stattdessen ausprobieren, wie man SQL Injection-Möglichkeiten bei WordPresswirklich entdeckt kann man hier nachlesen.