WP Mobile Detector 취약점 발견

§

WP Mobile Detector 플러그인 (RESS 기법으로 사이트 구축시 사용되는 플러그인 중 하나 입니다.)

https://wordpress.org/plugins/wp-mobile-detector/

저에게 사적으로 이메일 주신분이었는지, 코프레스 질문답글을 통해 제가 알려드렸는지 기억이 잘 나지 않는데 (거의 매일 질문글을 받아서 기억하기 어렵습니다.) 제가 소개드렸던 플러그인 하나에 심각한 취약점이 발견되었습니다.

RESS 사이트 구축을 하기 위해 위 플러그인을 사용하시는 분이 혹시 계시면 다른 대체 플러그인으로 교체하실 것을 강력히 권고 합니다. (아니, 부탁드립니다. ㅠㅠㅠㅠ)

0-day 취약점이라 지금 해결방법이 없는….

파일이 업로드 되는 취약점이라서 문제가 상당히 심각한….

security through obscurity 라는 개념이 있습니다.

많은 사람들이 사용하는 테마나 플러그인은 그만큼 해커들에 의해 더 많이 exploit 시도가 이뤄지기 때문에….

역설적이게도 내가 허술하게 구축한 스크립트는 공격위험에 노출되지 않는 그런 개념입니다. (물론 사이트가 커지고 많은 사람들이 사용하게 되면, 이것처럼 위험천만한 짓도 없습니다.)

저 같은 경우 제 개인사이트 RESS 짤때는 플러그인 사용안하고 브라우저 agent detect 하는 php library 만 github 에서 업어다가 하고, 조금 규모가 커질 수 있는 사이트는 플러그인을 사용합니다. 하지만 제가 사용하는 플러그인에 O-day 취약점이 발생하지 않는지 주기적으로 확인 합니다.

개발하실때 적절하게 이런 부분들을 염두에 두시면 좋겠습니다.

hackya 는

Attorney, front-end developer, digital media artist, WordPress enthusiast, & a father of 4 wonderful children.

Tags: , , , ,

카테고리: ,

Ω

Leave a Reply

Your email address will not be published. Required fields are marked *