SVG XSS a WP firewall

Dobrý den, zajímalo by me jak je to s SVG XSS. Je mi jasne ze svg ma xml strukturu a ze do ni muze byt vložen například škodlivý kód. Z tohoto důvodu nedovolujeme v rámci WP upload SVG ačkoliv by se to dalo vyřešit pomoci ´ SVG sanitizer ´. O co mi jde? Od grafika jsme dostali nové ikony na nas web ve formátu SVG, ikony jsme prošli a neobsahují zadny škodlivý kód. Nahráli jsme je na web pomoci divu, který ma styl background-image. Muze se řešit jeste napr. Pomoci img, object atd. A ted. Je možny ze nekdo vyuzije XSS na tu zkontrolovanou ikonu nebo ne? Nemáme spis jit směrem img @2x a @3x? Připadne jak tomu předejít? Ikony máme v sablone v podslozce img. Posledni dotaz je na firewall pro WP dřív jsme požívali Wordfence, pak chvíli iThemes ale dost nas kvuli filtrum a funkcím láká NinjaFirewall. Mate s tim nejake zkušenosti? Dekuji.

25025

SVG ale většinou nepotřebuješ nahrávat přímo do galerie médií a jsou spíše součástí designu šablony a tak jsou v její složce. SVG je v základu v media editoru zakázané, aby ti tam nějaký uživatel nenahrál SVG, které našel "někde" na netu a mohlo by tak obsahovat škodlivý kód. Pokud věříš zdroji tvých SVG a navíc si je třeba projel http://svg.enshrined.co.uk/, tak není důvod se bát. Pokud chceš nahrávat SVG přímo do galerie médií a jsi pouze jediný uživatel a můžeš se tak na sebe spolehnout, tak můžeš podporu SVG jednoduše zapnout:function lynt_mime_types($mimes) { $mimes = 'image/svg+xml'; return $mimes;}add_filter('upload_mimes', 'lynt_mime_types');Pokud máš uživatelů více, je možné povolit SVG pouze administrátorům - pro to je třeba trochu upravit kód - orientačně bez testování:function lynt_mime_types($mimes) { if( current_user_can('manage_options') ){ $mimes = 'image/svg+xml'; } return $mimes;}add_filter('upload_mimes', 'lynt_mime_types');Případně lze použít i jiné oprávnění než manage_options, podle toho, jaké roli chceš nahrávání umožnit - viz https://codex.wordpress.org/Roles_and_CapabilitiesZřejmě na to existují i pluginy, kde lze podobnou funkcionalitu naklikat.Aby bylo SVG škodlivé, tak v něm musí již při nahrání existovat škodlivý kód, jinak je bezpečné. Pokud by byl však web hacknut, tak útočník může do SVG souborů škodlivý kód doplnit, stejně tak jako do ostatních souborů - na to je potřeba myslet při případné dezinfekci webu.Jako bezpečnostní plugin doporučuji WordFence, v nových verzích má i blokaci podezřelých řetězců, což jsem dříve doporučoval doplňovat pomocí pluginu https://cs.wordpress.org/plugins/block-bad-queries/. Jak ho nastavit jsem popisoval v https://www.slideshare.net/vsmitka/wordfence-2016Je výhodné používat rozšířený plugin, protože jeho benefitem je i přístup k databázi aktuálních útočníků, která je lepší s tím, kolik uživatelů plugin používá.Nejlepší je ale žádný plugin nepoužívat a tuto ochranu zařídit na straně serveru, což rozhodně není nemožné.

Děkuji. To přesně jsem potřeboval vědět :)