Stagelopen en afstuderen bij Securify.

Bedenk maatregelen voor beveiligingslekken binnen WordPress Plugins

Inleiding:

Afgelopen zomer heeft Securify de Summer of Pwnage! georganiseerd – www.sumofpwn.nl.
Tijdens dit event is een maand lang (heel juli) met een grote groep deelnemers gespeurd naar beveiligingslekken in het populaire open-source WordPress CMS. In totaal werden 118(!) nieuwe lekken (0-days) gevonden die via Responsible Disclosure zijn gemeld bij de WordPress- en Plugin-ontwikkelaars. Een overzicht van alle lekken is aanwezig op de volgende URL: https://sumofpwn.nl/advisories.html.

Tijdens het event zijn veel verschillende type beveiligingslekken vastgesteld. Variërend van Remote Code Execution (RCE) tot Denial of Service (DOS) lekken. Maar vooral Cross Site Scripting (CSS) en Cross Site Request Forgery (CSRF) bleek in veel plugins een terugkerend probleem.

De statistieken van de gevonden lekken zijn:
WP vulnerabilities statistics.

Opdrachtomschrijving:

Onderzoek/implementeer de mogelijkheden naar een extra verdediging binnen WordPress waarmee (misbruik van) de voornaamste beveiligingslekken (XSS en CSRF) binnen plugins, voorkomen of gemitigeerd kunnen worden.

Onderzoeksvraag:

Welke maatregelen zijn er voor WordPress te ontwikkelen zodat de voornaamste beveiligingslekken van dit CMS gemitigeerd kunnen worden?

Eisen/wensen (werkwijze):

1.   Voer onderzoek uit naar de beveiliging van WordPress en de resultaten van de Summer of Pwnage.
2.   Verricht onderzoek naar mogelijke beveiligingsmaatregelen (in WP Core of Plugins) waarmee (misbruik van) veelvoorkomende beveiligingslekken kunnen worden voorkomen.
3.   Implementeer de bedachte maatregelen in een WP-module en biedt deze beschikbaar voor de Open Source community.

Keywords: WordPress Security, PHP, Summer of Pwnage.

Latest News & Research

Work with us →