Detecting Incorrect Wordpress Plugin Function Usage
Author
Nielsen, Jens Thomas Vejlby
Term
4. term
Education
Publication year
2015
Submitted on
2015-06-03
Pages
28
Abstract
Dette speciale undersøger, hvordan WordPress-plugins kan blive usikre, når udviklere bruger PHPs indbyggede eller egne funktioner forkert. WordPress-kernen er designet med sikkerhed for øje og bliver hurtigt opdateret, men plugins indeholder ofte mange sårbarheder. WordPress stiller hjælpefunktioner til rådighed til korrekt sanitering af data og sikker databaseadgang. Det lader også udviklere ændre adfærd via filters og actions (hooks); hvis et filter efterlades "åbent", kan det give problemer med både sikkerhed og korrekthed. Specialet præsenterer en proof-of-concept-løsning, der bruger nuXmv Model Checker til at analysere en model af et WordPress-plugin og finde forkert funktionsbrug og åbne filtre. Test viser, at værktøjet demonstrerer idéen, men stadig kun er en tidlig prototype.
This thesis examines how WordPress plugins can become insecure when developers use PHP built-in or custom functions incorrectly. The WordPress core is designed securely and patched quickly, but plugins often contain many vulnerabilities. WordPress provides helper functions to properly sanitize data and to interact with databases safely. It also lets developers change behavior through filters and actions (hooks); leaving a filter "open" can cause security and correctness problems. The thesis presents a proof-of-concept that uses the nuXmv Model Checker to analyze a model of a WordPress plugin and find incorrect function usage and open filters. Tests indicate that the tool demonstrates the idea but remains an early-stage prototype.
[This abstract was generated with the help of AI]
Keywords
Documents