Keywords:
Open source, Wordpress Security, PHP
Type:
Traineeship
Location:
Amsterdam
Education:
Bachelor (EQF 6), Master (EQF 7)
Published:
17/09/2019
Status:
Open
Apply before:
01/11/2019
Hours p/wk:
40
More information

Description:

Inleiding:

In de zomer van 2016 heeft Securify de Summer of Pwnage georganiseerd – www.sumofpwn.nl.
Tijdens dit event is een maand lang (heel juli) met een grote groep deelnemers gespeurd naar beveiligingslekken in het populaire open-source WordPress CMS. In totaal werden 118(!) nieuwe lekken (0-days) gevonden die via Responsible Disclosure zijn gemeld bij de WordPress- en Plugin-ontwikkelaars. Dergelijke lekken komen nog steeds vaak voor. Een overzicht van alle lekken die tijdens het event werden ontdekt: https://sumofpwn.nl/advisories.html.

Tijdens het event zijn veel verschillende type beveiligingslekken vastgesteld. Variërend van Remote Code Execution (RCE) tot Denial of Service (DOS) lekken. Maar vooral Cross Site Scripting (CSS) en Cross Site Request Forgery (CSRF) bleek in veel plugins een terugkerend probleem.

De statistieken van de gevonden lekken zijn: WP vulnerabilities statistics.

 

Opdrachtomschrijving:

Onderzoek/implementeer de mogelijkheden naar een extra verdediging binnen WordPress waarmee (misbruik van) de voornaamste beveiligingslekken (XSS en CSRF) binnen plugins, voorkomen of gemitigeerd kunnen worden.

 

Onderzoeksvraag:

Welke maatregelen zijn er voor WordPress te ontwikkelen zodat de voornaamste beveiligingslekken van dit CMS gemitigeerd kunnen worden?

 

Eisen/wensen (werkwijze):

1.   Voer onderzoek uit naar de beveiliging van WordPress en de resultaten van de Summer of Pwnage.
2.   Verricht onderzoek naar mogelijke beveiligingsmaatregelen (in WP Core of Plugins) waarmee (misbruik van) veelvoorkomende beveiligingslekken kunnen worden voorkomen.
3.   Implementeer de bedachte maatregelen in een WP-module en biedt deze beschikbaar voor de Open Source community.