<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">This is interesting work Minhaz.<div class="">I believe to increase its impact, you need to do an study. Obtain some vulnerable plugins (say, 20) and install them on a system. Enable them one by one and check whether the CSRF vulnerability exists or not. Then try to use their features manually, to make sure that the protection is not breaking anything. Publishing this study would definitely increase impact and trust of such prevention measures.</div><div class="">Regards</div><div class="">-Abbas</div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Feb 13, 2015, at 11:51 AM, Minhaz A V <<a href="mailto:minhazav@gmail.com" class="">minhazav@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class="">Hi Everyone,<br class="">Hope you are doing something awesome!!<br class=""><br class=""><div class="">I have been thinking about this for long, and started writing the plugin today, after I came across an article meant for <b class="">Wordpress</b> plugin developers. It stated that plugin developers should protect the <b class="">forms </b>in the plugin against CSRF by calling methods like<span style="font-family: Consolas, Monaco, 'Courier New', Courier, monospace; font-size: 12px; line-height: 1.3em; white-space: pre-wrap; background-color: rgb(243, 243, 247);" class=""> wp_nonce_field()</span>, <span style="font-family: Consolas, Monaco, 'Courier New', Courier, monospace; font-size: 12px; line-height: 1.3em; white-space: pre-wrap; background-color: rgb(243, 243, 247);" class="">wp_verify_nonce(), etc </span>distinctly for every other forms. Now thats exactly what CSRF Protector aimed to fix!<br class="">Also, there are references to lot of Wordpress plugins vulnerable to CSRF, in the exploit-db, and installing such plugins make the whole admin panel vulnerable. Installing the plugin with CSRFP would ensure CSRF mitigation even if there is some vulnerable plugin installed.<br class="">Also I once had a chat with Wordpress security team where they asked me to implement CSRFP as a plugin and said if it goes well they might implement it as default anti-CSRF method.</div><div class=""><br class=""></div><div class="">So I have implemented, it as a plugin, and it works well for all POST request in admin panel, need to implement it for certain GET (as plugins might introduce actions by clicking on links, but identifying such links could be a challenge).</div><div class=""><br class=""></div><div class="">Its available at: <a href="https://github.com/mebjas/WP-CSRF-Protector" class="">https://github.com/mebjas/WP-CSRF-Protector</a></div><div class="">So if any one is interested, have a look! {Feedbacks || suggestions || bugs} are welcome!!<br class=""><br class=""><br class=""></div><div class=""><div class="">References:</div><div class="">1. Link to project on github: <a href="https://github.com/mebjas/WP-CSRF-Protector" class="">https://github.com/mebjas/WP-CSRF-Protector</a><br class="">2. exploit-db {{ <a href="http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=wordpress&filter_exploit_text=csrf&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=" class="">CSRF + Wordpress</a> }}<br class=""><br class="">Seems to be a long mail now :D</div><div class="">Thanks!<br clear="all" class=""><div class=""><div class="gmail_signature"><div dir="ltr" class=""><div class=""><div dir="ltr" class=""><div class=""><div dir="ltr" class=""><div style="font-family:arial" class=""><font color="#666666" class="">----------------------------------------------------------------------------</font></div><div style="font-family:arial" class=""><font color="#666666" class="">Kind Regards,</font></div><div class=""><font color="#666666" style="font-family:arial" class="">Minhaz</font><font style="font-family:arial" color="#0000ee" class=""> | <a href="http://cistoner.org/projects" target="_blank" class="">My Projects</a></font><font color="#666666" style="font-family:arial" class=""> | <a href="http://cistoner.org/minhaz/" target="_blank" class="">M</a></font><font color="#0000ee" style="font-family:arial" class=""><a href="http://cistoner.org/minhaz/" target="_blank" class="">y blog</a></font></div></div></div></div></div></div></div></div>
</div></div></div>
_______________________________________________<br class="">Owasp-csrfprotector mailing list<br class=""><a href="mailto:Owasp-csrfprotector@lists.owasp.org" class="">Owasp-csrfprotector@lists.owasp.org</a><br class="">https://lists.owasp.org/mailman/listinfo/owasp-csrfprotector<br class=""></div></blockquote></div><br class=""></div></body></html>