<div dir="ltr">Yeah, that seems cool to me!<br>Would collect few such plugins and test them without and with it!<br><br>Thanks!</div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div style="font-family:arial"><font color="#666666">----------------------------------------------------------------------------</font></div><div style="font-family:arial"><font color="#666666">Kind Regards,</font></div><div><font color="#666666" style="font-family:arial">Minhaz</font><font style="font-family:arial" color="#0000ee"> | <a href="http://cistoner.org/projects" target="_blank">My Projects</a></font><font color="#666666" style="font-family:arial"> | <a href="http://cistoner.org/minhaz/" target="_blank">M</a></font><font color="#0000ee" style="font-family:arial"><a href="http://cistoner.org/minhaz/" target="_blank">y blog</a></font></div></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Fri, Feb 13, 2015 at 10:48 PM, Abbas Naderi <span dir="ltr"><<a href="mailto:abiusx@owasp.org" target="_blank">abiusx@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">This is interesting work Minhaz.<div>I believe to increase its impact, you need to do an study. Obtain some vulnerable plugins (say, 20) and install them on a system. Enable them one by one and check whether the CSRF vulnerability exists or not. Then try to use their features manually, to make sure that the protection is not breaking anything. Publishing this study would definitely increase impact and trust of such prevention measures.</div><div>Regards</div><div>-Abbas</div><div><br><div><blockquote type="cite"><div><div class="h5"><div>On Feb 13, 2015, at 11:51 AM, Minhaz A V <<a href="mailto:minhazav@gmail.com" target="_blank">minhazav@gmail.com</a>> wrote:</div><br></div></div><div><div><div class="h5"><div dir="ltr">Hi Everyone,<br>Hope you are doing something awesome!!<br><br><div>I have been thinking about this for long, and started writing the plugin today, after I came across an article meant for <b>Wordpress</b> plugin developers. It stated that plugin developers should protect the <b>forms </b>in the plugin against CSRF by calling methods like<span style="font-family:Consolas,Monaco,'Courier New',Courier,monospace;font-size:12px;line-height:1.3em;white-space:pre-wrap;background-color:rgb(243,243,247)"> wp_nonce_field()</span>, <span style="font-family:Consolas,Monaco,'Courier New',Courier,monospace;font-size:12px;line-height:1.3em;white-space:pre-wrap;background-color:rgb(243,243,247)">wp_verify_nonce(), etc </span>distinctly for every other forms. Now thats exactly what CSRF Protector aimed to fix!<br>Also, there are references to lot of Wordpress plugins vulnerable to CSRF, in the exploit-db, and installing such plugins make the whole admin panel vulnerable. Installing the plugin with CSRFP would ensure CSRF mitigation even if there is some vulnerable plugin installed.<br>Also I once had a chat with Wordpress security team where they asked me to implement CSRFP as a plugin and said if it goes well they might implement it as default anti-CSRF method.</div><div><br></div><div>So I have implemented, it as a plugin, and it works well for all POST request in admin panel, need to implement it for certain GET (as plugins might introduce actions by clicking on links, but identifying such links could be a challenge).</div><div><br></div><div>Its available at: <a href="https://github.com/mebjas/WP-CSRF-Protector" target="_blank">https://github.com/mebjas/WP-CSRF-Protector</a></div><div>So if any one is interested, have a look! {Feedbacks || suggestions || bugs} are welcome!!<br><br><br></div><div><div>References:</div><div>1. Link to project on github: <a href="https://github.com/mebjas/WP-CSRF-Protector" target="_blank">https://github.com/mebjas/WP-CSRF-Protector</a><br>2. exploit-db {{ <a href="http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=wordpress&filter_exploit_text=csrf&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=" target="_blank">CSRF + Wordpress</a> }}<br><br>Seems to be a long mail now :D</div><div>Thanks!<br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div style="font-family:arial"><font color="#666666">----------------------------------------------------------------------------</font></div><div style="font-family:arial"><font color="#666666">Kind Regards,</font></div><div><font color="#666666" style="font-family:arial">Minhaz</font><font style="font-family:arial" color="#0000ee"> | <a href="http://cistoner.org/projects" target="_blank">My Projects</a></font><font color="#666666" style="font-family:arial"> | <a href="http://cistoner.org/minhaz/" target="_blank">M</a></font><font color="#0000ee" style="font-family:arial"><a href="http://cistoner.org/minhaz/" target="_blank">y blog</a></font></div></div></div></div></div></div></div></div>
</div></div></div></div></div>
_______________________________________________<br>Owasp-csrfprotector mailing list<br><a href="mailto:Owasp-csrfprotector@lists.owasp.org" target="_blank">Owasp-csrfprotector@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-csrfprotector" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-csrfprotector</a><br></div></blockquote></div><br></div></div></blockquote></div><br></div>