सरल Plyr (≤ 0.0.1) में प्रमाणित योगदानकर्ता संग्रहीत XSS: वर्डप्रेस साइट के मालिकों और डेवलपर्स को अब क्या करना चाहिए

अंश: सरल Plyr वर्डप्रेस प्लगइन में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता का खुलासा किया गया है। यह पोस्ट जोखिम, समस्या का पता लगाने और कम करने के तरीके, और साइट के मालिकों और डेवलपर्स को अपनी साइटों की सुरक्षा के लिए क्या करना चाहिए — तात्कालिक प्राथमिकता से लेकर दीर्घकालिक सख्ती तक — समझाती है। साइट के मालिकों, प्रशासकों और डेवलपर्स के लिए एक हांगकांग सुरक्षा विशेषज्ञ के दृष्टिकोण से लिखा गया।.

कार्यकारी सारांश

एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता सरल Plyr वर्डप्रेस प्लगइन (≤ 0.0.1) को प्रभावित करती है। यह भेद्यता प्लगइन द्वारा उपयोगकर्ता-प्रदत्त पोस्टर शॉर्टकोड विशेषता को पर्याप्त सत्यापन और एस्केपिंग के बिना आउटपुट करने से उत्पन्न होती है, जिससे योगदानकर्ता-भूमिका वाले उपयोगकर्ताओं को दुर्भावनापूर्ण पेलोड्स को सहेजने की अनुमति मिलती है जो बाद में आगंतुकों के ब्राउज़रों में निष्पादित होते हैं।.

• कम-privilege योगदानकर्ता खाते दुर्भावनापूर्ण शॉर्टकोड सामग्री डालने के लिए पर्याप्त हैं।.
• भेद्यता संग्रहीत है: पेलोड डेटाबेस में बना रहता है और जब पृष्ठ रेंडर होते हैं तो निष्पादित होता है।.
• उद्योग मानचित्रण इसे कई वातावरणों में मध्यम-श्रेणी के प्रभाव में रखता है (उदाहरण CVSS-जैसे मानचित्रण: 6.5)।.
• तात्कालिक प्राथमिकता जोखिम को कम करती है; पूर्ण सुधार के लिए प्लगइन सुधार और संचालन की सख्ती की आवश्यकता होती है।.

यह क्यों महत्वपूर्ण है: एक संक्षिप्त तकनीकी पुनर्कथन

वर्डप्रेस शॉर्टकोड पोस्ट सामग्री के भीतर संरचित इनपुट स्वीकार करते हैं। उदाहरण उपयोग:

[plyr poster="..."]...[/plyr]

यदि प्लगइन एस्केपिंग या सत्यापन के बिना रेंडर किए गए HTML में कच्चा विशेषता इंजेक्ट करता है, तो एक हमलावर जो पोस्ट सामग्री को संपादित कर सकता है, एक ऐसा मान तैयार कर सकता है जो निष्पादित स्क्रिप्ट को इंजेक्ट करता है या तत्व विशेषताओं में हेरफेर करता है (उदाहरण के लिए उद्धरण और नए विशेषताओं को इंजेक्ट करके)। चूंकि योगदानकर्ता अपनी स्वयं की पोस्ट संपादित कर सकते हैं, वे पोस्ट सामग्री में एक पेलोड सहेज सकते हैं जो बाद में अन्य उपयोगकर्ताओं को परोसा जाएगा और निष्पादित होगा — क्लासिक संग्रहीत XSS।.

संग्रहीत XSS विशेष रूप से खतरनाक है क्योंकि यह बना रहता है और समय के साथ कई खातों को प्रभावित कर सकता है — प्रशासक, संपादक और नियमित आगंतुक समान रूप से। शोषण से सत्र चोरी, सामग्री छेड़छाड़, स्पैम इंजेक्शन और विशेषाधिकार वृद्धि हो सकती है।.

खतरे का मॉडल और संभावित हमले के रास्ते

• हमलावर को एक योगदानकर्ता खाता (या उच्चतर) की आवश्यकता होती है। कई बहु-लेखक साइटें या संपादकीय कार्यप्रवाह इस भूमिका को बाहरी लेखकों को प्रदान करते हैं।.
• सामान्य हमले का प्रवाह:
  1. योगदानकर्ता के रूप में लॉग इन करें।.
  2. एक पोस्ट बनाएं या संपादित करें और एक तैयार किए गए संग्रहीत शॉर्टकोड को डालें पोस्टर 2. पोस्ट डेटाबेस में सहेजी जाती है (बाद में एक संपादक द्वारा प्रकाशित या ड्राफ्ट पूर्वावलोकन में दिखाई देती है)।.
  3. पोस्ट को सहेजें (डेटाबेस में संग्रहीत पेलोड)।.
  4. जब पृष्ठ को देखा जाता है, तो संग्रहीत पेलोड दर्शक के ब्राउज़र में निष्पादित होता है।.
• प्रभाव इस पर निर्भर करता है कि कौन से खाते पृष्ठ को देखते हैं; व्यवस्थापक दृश्य प्रभाव को बढ़ा सकते हैं।.

तात्कालिक प्राथमिकता चेकलिस्ट (अगले घंटे में क्या करना है)

1. परिवर्तनों से पहले साइट का स्नैपशॉट लें (डेटाबेस + फ़ाइलें)। जांच के लिए साक्ष्य को संरक्षित करें।.
2. सरल प्लायर प्लगइन को अस्थायी रूप से निष्क्रिय करें (प्लगइन्स → स्थापित प्लगइन्स → निष्क्रिय करें)। यदि व्यवस्थापक पहुंच उपलब्ध नहीं है, तो प्लगइन फ़ोल्डर का नाम SFTP/SSH के माध्यम से बदलें ताकि निष्क्रियता को मजबूर किया जा सके।.
3. योगदानकर्ता प्रकाशन को लॉक करें: अस्थायी रूप से पदावनत करें या भूमिकाएँ बदलें (जैसे, योगदानकर्ता → ग्राहक) या अपडेट के लिए संपादकीय अनुमोदन की आवश्यकता करें।.
4. यदि सक्रिय शोषण का संदेह है तो साइट को रखरखाव मोड में डालें ताकि आगंतुकों के संपर्क को कम किया जा सके।.
5. हितधारकों (साइट के मालिक, संपादक, तकनीकी कर्मचारी) को सूचित करें ताकि वे विशेषाधिकार प्राप्त उपयोगकर्ताओं के रूप में संदिग्ध पृष्ठों को देखने से बचें।.

यह कैसे पता करें कि क्या आप लक्षित थे - सुरक्षित निरीक्षण तकनीकें

जांच के दौरान संदिग्ध पृष्ठों को ब्राउज़र में खोलने से बचें। इसके बजाय सर्वर-साइड खोजों और ऑफ़लाइन समीक्षा का उपयोग करें।.

1. शॉर्टकोड या पोस्टर= पैटर्न के लिए SQL के माध्यम से खोजें:

   SELECT ID, post_title, post_type, post_status FROM wp_posts WHERE post_content LIKE '%[plyr%' OR post_content LIKE '%[simple_plyr%';

   SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%poster=%';

2. शॉर्टकोड के साथ पोस्ट खोजने के लिए WP-CLI का उपयोग करें:

   wp पोस्ट सूची --post_type=पोस्ट --format=ids | xargs -I % wp पोस्ट प्राप्त करें % --field=post_content | grep -n "\[plyr"

3. संदिग्ध को निर्यात करें पोस्ट_सामग्री फ़ील्ड और संदिग्ध पैटर्न के लिए ऑफ़लाइन निरीक्षण करें: उद्धरण, कोणीय ब्रैकेट, जावास्क्रिप्ट:, त्रुटि पर, लोड होने पर, आदि।.
4. योगदानकर्ता खातों द्वारा हाल के अपडेट की जांच करें:

   SELECT ID, post_title, post_author, post_modified FROM wp_posts WHERE post_modified >= DATE_SUB(NOW(), INTERVAL 30 DAY) AND post_content LIKE '%[plyr%';

5. अप्रत्याशित पेलोड वाहकों के लिए अपलोड और अटैचमेंट की समीक्षा करें और संदिग्ध पोस्ट अपडेट के साथ संबंधित असामान्य POST अनुरोधों या व्यवस्थापक लॉगिन के लिए सर्वर और एक्सेस लॉग की जांच करें।.
6. संशोधित फ़ाइलों या वेबशेल का पता लगाने के लिए फ़ाइल अखंडता और मैलवेयर स्कैन चलाएँ।.

दुर्भावनापूर्ण सामग्री का सुरक्षित रूप से हटाना / सफाई

1. आपत्तिजनक शॉर्टकोड विशेषताओं को हटाएँ या साफ़ करें:
   • मैनुअल: संदिग्ध विशेषता या पूरे शॉर्टकोड को हटाने के लिए टेक्स्ट/HTML दृश्य में एक व्यवस्थापक/संपादक के रूप में प्रभावित पोस्ट संपादित करें। पोस्टर विशेषता या पूरे शॉर्टकोड को हटाएँ।.
   • बल्क (SQL): डेटाबेस अपडेट का उपयोग करते समय बहुत सावधानी बरतें - हमेशा पहले एक कॉपी पर परीक्षण करें।.
2. MySQL 8+ के लिए नासमझ SQL उदाहरण (उपयोग से पहले परीक्षण करें):

   UPDATE wp_posts SET post_content = REGEXP_REPLACE(post_content, 'poster="[^"]*"', '') WHERE post_content REGEXP 'poster="[^"]*"';

3. यदि सीधे DB संपादनों के बारे में अनिश्चित हैं, तो WP संपादक के माध्यम से मैनुअल सफाई करें और फिर संभावित रूप से प्रभावित खातों (व्यवस्थापकों/संपादकों) के लिए पासवर्ड रीसेट करने के लिए मजबूर करें।.
4. उपयोगकर्ता खातों का ऑडिट करें: अज्ञात योगदानकर्ता खातों को अक्षम या हटा दें और उच्च-विशेषाधिकार उपयोगकर्ताओं के लिए बहु-कारक प्रमाणीकरण की पुष्टि करें।.
5. सफाई के बाद लॉग की निगरानी करें पुनः-प्रवेश प्रयासों और संदिग्ध गतिविधियों के लिए।.

ऐसे उपाय जो आप अभी लागू कर सकते हैं (कोई प्लगइन परिवर्तन आवश्यक नहीं)

• ऑडिट किए गए सामग्री के लिए शॉर्टकोड रेंडरिंग को अक्षम करें। पोस्ट सामग्री से शॉर्टकोड को अस्थायी रूप से हटाने के लिए उदाहरण फ़िल्टर (थीम functions.php या साइट-विशिष्ट प्लगइन में रखें):

  add_filter( 'the_content', 'strip_plyr_shortcode', 1 ); function strip_plyr_shortcode( $content ) { return preg_replace( '/\[plyr[^\]]*\](?:.*?\[/plyr\])?/is', '', $content ); }

• योगदानकर्ता क्षमताओं को सीमित करें: प्रकाशन अधिकार हटा दें या समस्या के समाधान तक संपादकीय अनुमोदनों को मजबूर करें।.
• व्यवस्थापक पहुंच को मजबूत करें: मजबूत पासवर्ड लागू करें, संपादकों/व्यवस्थापकों के लिए दो-कारक प्रमाणीकरण सक्षम करें, और जहां संभव हो, IP द्वारा व्यवस्थापक पहुंच को सीमित करें।.
• XSS के प्रभाव को कम करने के लिए एक प्रतिबंधात्मक सामग्री सुरक्षा नीति (CSP) लागू करें (रोल आउट करने से पहले सावधानी से परीक्षण करें):

  सामग्री-सुरक्षा-नीति: डिफ़ॉल्ट-स्रोत 'स्वयं'; स्क्रिप्ट-स्रोत 'स्वयं' https://trusted-cdn.example.com; ऑब्जेक्ट-स्रोत 'कोई नहीं'; फ़्रेम-पूर्वज 'कोई नहीं';

WAF और वर्चुअल पैचिंग: साइट ऑपरेटरों के लिए मार्गदर्शन

वेब एप्लिकेशन फ़ायरवॉल और प्रतिक्रिया फ़िल्टरिंग को अस्थायी वर्चुअल पैच के रूप में उपयोग किया जा सकता है ताकि एक अपस्ट्रीम प्लगइन फ़िक्स की प्रतीक्षा करते समय जोखिम को कम किया जा सके। इन तकनीकों को सतर्कता से लागू करें और वैध कार्यप्रवाह को तोड़ने से बचने के लिए स्टेजिंग वातावरण पर पूरी तरह से परीक्षण करें।.

1. POST अनुरोधों को अवरुद्ध करें जो संपादक के माध्यम से संदिग्ध सामग्री को सहेजने का प्रयास करते हैं। उदाहरण तर्क:

   यदि REQUEST_METHOD == POST और REQUEST_URI में शामिल है /wp-admin/post.php या /wp-admin/post-new.php और REQUEST_BODY में शामिल है पोस्टर= और पैटर्न जैसे <, एन्कोडेड समकक्ष, जावास्क्रिप्ट:, त्रुटि पर, या लोड होने पर, तो अवरुद्ध करें और लॉग करें।.

2. कम-विश्वास वाले भूमिकाओं से अपडेट को अस्वीकार करें या साफ करें जो एक पोस्टर विशेषता शामिल करते हैं। प्रतिक्रिया स्तर के संपादनों के बजाय इनपुट समय पर अस्वीकार/साफ करना पसंद करें।.
3. प्रतिक्रिया शरीर फ़िल्टरिंग आउटगोइंग पृष्ठों में संग्रहीत पेलोड को निष्क्रिय कर सकती है, लेकिन यह संसाधन-गहन है और पृष्ठों को तोड़ने का जोखिम है। उन साइटों पर अंतिम उपाय के रूप में उपयोग करें जो अतिरिक्त लोड सहन कर सकती हैं और केवल प्रभावित सामग्री क्षेत्रों को सावधानीपूर्वक लक्षित करें।.
4. उदाहरण ModSecurity-शैली का वैचारिक नियम (अपने वातावरण के अनुसार अनुकूलित करें और परीक्षण करें):

   SecAction "phase:1,pass,id:900001,nolog,chain"

   और प्रतिक्रिया स्तर की पहचान के लिए:

   SecRule RESPONSE_BODY \"\\[plyr.*poster=[^\\]]*(<|onerror|javascript:)\" \"चरण:4,ब्लॉक,msg:'plyr पोस्टर में संग्रहीत XSS को अवरुद्ध किया'\"

5. पहले इनबाउंड/संपादक-पक्ष फ़िल्टर को प्राथमिकता दें, फिर केवल आवश्यक होने पर प्रतिक्रिया फ़िल्टर। लगातार हमलावरों की पहचान के लिए अवरुद्ध घटनाओं की निगरानी करें और अलर्ट करें।.

डेवलपर मार्गदर्शन - प्लगइन लेखकों को इसे कैसे ठीक करना चाहिए

प्लगइन लेखकों को मान लेना चाहिए कि सभी उपयोगकर्ता डेटा अविश्वसनीय है। प्रमुख सिद्धांत:

1. आउटपुट पर एस्केप करें, इनपुट पर नहीं। संदर्भ के लिए उपयुक्त वर्डप्रेस एस्केपिंग फ़ंक्शन का उपयोग करें।.
2. URL विशेषताओं के लिए जैसे पोस्टर, का उपयोग करें esc_url_raw() // या साफ करें और सहेजें esc_url()/esc_attr() जब आउटपुट कर रहे हों:

   $poster = isset( $atts['poster'] ) ? esc_url_raw( $atts['poster'] ) : '';

3. यदि कुछ HTML की अनुमति है, तो उपयोग करें wp_kses() एक सख्त अनुमति सूची के साथ।.
4. बचें eval() या अविश्वसनीय स्ट्रिंग्स का सीधे इको करना। शॉर्टकोड डिफ़ॉल्ट्स को परिभाषित करें और विशेषताओं को साफ करें shortcode_atts() और आउटपुट पर उचित एस्केपिंग।.
5. अनुमत प्रोटोकॉल को मान्य करें (सीमित करें http 8. और https छवि URLs के लिए जब तक स्पष्ट रूप से आवश्यक और मान्य न हो)।.
6. यूनिट और इंटीग्रेशन परीक्षण लिखें जो दुर्भावनापूर्ण विशेषता मामलों को शामिल करें ताकि पुनरावृत्तियों को रोका जा सके।.

घटना प्रतिक्रिया प्लेबुक (संक्षिप्त और क्रियाशील)

1. शामिल करें: प्लगइन को निष्क्रिय करें, साइट को अलग करें, और सामग्री इंजेक्ट करने के लिए उपयोग किए गए खातों को रद्द करें।.
2. समाप्त करें: डेटाबेस से दुर्भावनापूर्ण सामग्री को हटा दें और किसी भी बैकडोर फ़ाइलों को बदलें।.
3. पुनर्प्राप्त करें: यदि आवश्यक हो तो ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें; क्रेडेंशियल्स और API कुंजियों को घुमाएँ।.
4. समीक्षा करें: हमलावर की क्रियाओं के लिए ऑडिट लॉग करें और स्थायी तंत्र (संशोधित थीम, बैकडोर) की जांच करें।.
5. मजबूत करें: संपादकीय कार्यप्रवाह, CSP, भूमिका प्रतिबंध और अतिरिक्त निगरानी जैसे दीर्घकालिक नियंत्रण लागू करें।.
6. संवाद करें: यदि संवेदनशील डेटा उजागर हुआ है तो प्रभावित उपयोगकर्ताओं को सूचित करें और भविष्य की सीख के लिए घटना का दस्तावेज़ बनाएं।.

व्यावहारिक पहचान प्रश्न और स्क्रिप्ट

प्रभावित सामग्री के लिए स्कैन करने के उदाहरण:

wp post list --format=ids | \'

PHP स्क्रिप्ट जो सर्वर-साइड पर पोस्ट को स्कैन करती है (केवल सुरक्षित वातावरण में उपयोग करें):

<?php

कठिनाई और दीर्घकालिक रोकथाम

• योगदानकर्ता कार्यप्रवाहों का पुनर्मूल्यांकन करें: कम-विश्वास वाले खातों से पोस्ट के लिए संपादकीय अनुमोदन की आवश्यकता करें।.
• न्यूनतम विशेषाधिकार लागू करें: सुनिश्चित करें कि खातों के पास केवल आवश्यक क्षमताएँ हों।.
• वेट प्लगइन्स: सुरक्षित कोडिंग प्रथाओं के साथ सक्रिय रूप से बनाए रखे जाने वाले प्लगइन्स को प्राथमिकता दें; शॉर्टकोड को संभालने वाले कोड की समीक्षा करें।.
• स्वचालित निगरानी लागू करें: फ़ाइल अखंडता जांच, मैलवेयर स्कैन और सावधानी से ट्यून किए गए WAF/इनपुट फ़िल्टर।.
• शॉर्टकोड के लिए इनपुट मान्यता को केंद्रीकृत करें और सभी विशेषताओं को साफ करें।.
• संपादकों और योगदानकर्ताओं को शिक्षित करें कि वे पोस्ट में अविश्वसनीय HTML या JavaScript न चिपकाएं।.

यदि आप तुरंत प्लगइन या सामग्री को हटा नहीं सकते हैं

अस्थायी उपाय जब तत्काल हटाना संभव नहीं है:

• IP द्वारा संपादक क्षेत्र तक पहुंच को प्रतिबंधित करें और व्यवस्थापक/संपादक पहुंच के लिए VPN की आवश्यकता करें।.
• आपत्तिजनक उपयोगकर्ता खातों को ब्लॉक करें और संपादकों/व्यवस्थापकों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें।.
• एक आउटपुट फ़िल्टर जोड़ें जो सार्वजनिक पृष्ठों से कमजोर शॉर्टकोड को हटा देता है (पहले के उदाहरण को देखें)।.
• शॉर्टकोड वाले पृष्ठों को ब्लॉक करने के लिए WAF प्रतिक्रिया फ़िल्टरिंग पर विचार करें, लेकिन प्रदर्शन प्रभावों के प्रति सतर्क रहें।.

इस स्थिति में परतदार रक्षा क्यों महत्वपूर्ण है

स्टोर की गई XSS को इनपुट को सहेजने और बाद में प्रस्तुत करने की आवश्यकता होती है। एक परतदार दृष्टिकोण जोखिम को कम करता है:

• प्लगइन्स में इनपुट मान्यता और एस्केपिंग स्रोत पर इंजेक्शन को रोकती है।.
• संपादकीय नियंत्रण और न्यूनतम विशेषाधिकार अविश्वसनीय सामग्री के प्रकाशित होने की संभावना को कम करते हैं।.
• WAFs और निगरानी अस्थायी सुरक्षा जाल और प्रयास किए गए शोषण गतिविधियों में दृश्यता प्रदान करते हैं।.

सिफारिशों का सारांश - प्राथमिकता दी गई चेकलिस्ट

1. तुरंत: साइट का बैकअप लें, Simple Plyr प्लगइन को निष्क्रिय करें, योगदानकर्ता प्रकाशन को प्रतिबंधित करें।.
2. तुरंत: खोजें पोस्टर= पोस्ट सामग्री में और संदिग्ध विशेषताओं को हटा दें; विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में प्रमाणित होते समय संदिग्ध पृष्ठों को ब्राउज़र में न देखें।.
3. 24 घंटे के भीतर: अतिरिक्त संकेतकों के लिए स्कैन करें (संशोधित फ़ाइलें, अज्ञात उपयोगकर्ता), क्रेडेंशियल्स को घुमाएं, व्यवस्थापक खातों पर 2FA सक्षम करें।.
4. 72 घंटों के भीतर: दुर्भावनापूर्ण पोस्टर विशेषताओं को बचाने या प्रस्तुत करने से रोकने के लिए इनबाउंड फ़िल्टर लागू करें; अलर्ट की निगरानी करें।.
5. 2 सप्ताह के भीतर: प्लगइन को एक सुरक्षित विकल्प के साथ पैच या बदलें और समान मुद्दों के लिए अन्य प्लगइनों की समीक्षा करें।.
6. दीर्घकालिक: न्यूनतम विशेषाधिकार कार्यप्रवाह, अनिवार्य संपादकीय समीक्षा और निरंतर सुरक्षा निगरानी लागू करें।.

प्लगइन रखरखावकर्ता के लिए डेवलपर चेकलिस्ट

• सभी शॉर्टकोड विशेषताओं को साफ करें (उपयोग करें esc_url() URLs के लिए और esc_attr() HTML विशेषताओं के लिए)।.
• छवि URLs के लिए प्रोटोकॉल और सामग्री प्रकार को मान्य करें (केवल अनुमति दें http/https जब तक स्पष्ट रूप से आवश्यक न हो)।.
• दुर्भावनापूर्ण विशेषता इनपुट को कवर करने वाले यूनिट और एकीकरण परीक्षण जोड़ें।.
• अनुमत विशेषता प्रारूपों का दस्तावेज़ीकरण करें और इनपुट पर मान्यता लागू करें।.
• एक अपडेट जारी करें जो एस्केपिंग मुद्दों को ठीक करता है और साइट प्रशासकों को परिवर्तनों की जानकारी देता है।.

अंतिम विचार - एक हांगकांग सुरक्षा विशेषज्ञ का दृष्टिकोण

कम विशेषाधिकार वाले भूमिकाओं द्वारा लिखी गई स्टोर की गई XSS कमजोरियाँ वर्डप्रेस साइटों में एक पुनरावृत्त पैटर्न हैं। व्यावहारिक, तात्कालिक कदम - कमजोर प्लगइन को निष्क्रिय करें, संदिग्ध शॉर्टकोड का ऑडिट और सफाई करें, योगदानकर्ता क्षमताओं को सीमित करें, और लक्षित इनपुट फ़िल्टरिंग लागू करें - जोखिम को तेज़ी से कम कर सकते हैं।.

हांगकांग के उद्यमों से लेकर छोटे स्थानीय प्रकाशकों तक, संचालन संबंधी सलाह समान है: उपयोगकर्ता-प्रदत्त सामग्री को अविश्वसनीय मानें, किनारों पर मान्य करें और एस्केप करें, और कई रक्षात्मक परतों का उपयोग करें ताकि एकल कमजोर प्लगइन स्थायी समझौते का कारण न बने। यदि आपके पास सीमित आंतरिक संसाधन हैं, तो सुरक्षित रूप से प्राथमिकता देने और सुधारने में मदद के लिए अनुभवी घटना प्रतिक्रिया या सुरक्षा पेशेवरों को शामिल करें।.