माइक्रोटैंगो (≤ 0.9.29) में प्रमाणित (योगदानकर्ता) संग्रहीत XSS — वर्डप्रेस साइट मालिकों को अभी क्या करना चाहिए

नोट: यह विश्लेषण एक अनुभवी हांगकांग सुरक्षा प्रैक्टिशनर के दृष्टिकोण से लिखा गया है। यह माइक्रोटैंगो (≤ 0.9.29, CVE-2026-1821) के लिए प्रकट संग्रहीत XSS को समझाता है, साइटों के लिए व्यावहारिक जोखिम, पहचान के चरण, तात्कालिक शमन और डेवलपर्स और प्रशासकों के लिए मार्गदर्शन।.

TL;DR — कार्यकारी सारांश

• कमजोरियों: माइक्रोटैंगो प्लगइन संस्करणों में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) ≤ 0.9.29 (CVE-2026-1821)।.
• प्रभाव: एक प्रमाणित उपयोगकर्ता जिसके पास योगदानकर्ता विशेषाधिकार (या उच्च) हैं, वह शॉर्टकोड विशेषताओं में दुर्भावनापूर्ण पेलोड्स को संग्रहीत कर सकता है जो आगंतुकों के ब्राउज़रों में निष्पादित होते हैं।.
• गंभीरता: मध्यम (CVSS ~6.5 रिपोर्ट किया गया)। शोषण के लिए एक प्रमाणित निम्न-विशेषाधिकार उपयोगकर्ता को तैयार की गई सामग्री को सहेजने की आवश्यकता होती है, लेकिन परिणाम साइट के आगंतुकों और प्रशासकों को प्रभावित कर सकते हैं।.
• तात्कालिक शमन: यदि आप सुरक्षित रूप से अपडेट नहीं कर सकते हैं तो प्लगइन को अक्षम या हटा दें; योगदानकर्ता खातों को सीमित करें; संदिग्ध शॉर्टकोड विशेषता पैटर्न को अवरुद्ध करने के लिए आभासी पैचिंग या WAF नियम लागू करें; एक सामग्री सुरक्षा नीति (CSP) जोड़ें; अपने सामग्री को इंजेक्ट किए गए पेलोड्स के लिए स्कैन करें।.
• दीर्घकालिक: प्लगइन कोड को ठीक करें (सहेजने पर साफ करें, आउटपुट पर एस्केप करें), न्यूनतम विशेषाधिकार लागू करें, निरंतर स्कैनिंग और स्पष्ट घटना प्रतिक्रिया प्रक्रियाएं सुनिश्चित करें।.

क्या हुआ: सामान्य अंग्रेजी में कमजोरियां

माइक्रोटैंगो एक या अधिक शॉर्टकोड को उजागर करता है जो विशेषताओं को स्वीकार करते हैं। प्रभावित संस्करणों (≤ 0.9.29) में, प्लगइन ने योगदानकर्ता विशेषाधिकार वाले प्रमाणित उपयोगकर्ता द्वारा प्रदान की गई विशेषता मानों को स्वीकार किया और संग्रहीत किया, और बाद में उन मानों को पृष्ठ HTML में पर्याप्त सफाई या एस्केपिंग के बिना आउटपुट किया। क्योंकि विशेषता मान संग्रहीत किए गए थे (पोस्ट सामग्री, पोस्ट मेटा, या प्लगइन सेटिंग्स में) और बाद में साइट के आगंतुकों के लिए प्रस्तुत किए गए, एक हमलावर जो योगदानकर्ता के रूप में सामग्री बना या संशोधित कर सकता था, एक पेलोड को एम्बेड कर सकता था जो उस सामग्री को देखने वाले किसी भी व्यक्ति के ब्राउज़र में निष्पादित होता — एक क्लासिक संग्रहीत XSS।.

मुख्य बिंदु:

• यह संग्रहीत (स्थायी) XSS है: दुर्भावनापूर्ण सामग्री पृष्ठ लोड के बीच जीवित रहती है और कई उपयोगकर्ताओं को प्रभावित करती है।.
• प्रारंभिक अभिनेता को योगदानकर्ता पहुंच या उससे ऊपर के साथ एक प्रमाणित खाता चाहिए।.
• आउटपुट पथ एस्केप और/या अनुमत HTML (विशेषताओं) को व्हाइटलिस्ट करने में विफल रहता है, जिससे स्क्रिप्ट या इवेंट हैंडलर्स को इंजेक्ट किया जा सकता है।.
• प्रकटीकरण के समय एक पुष्टि की गई अपस्ट्रीम पैच नहीं हो सकता है — साइट मालिकों को आधिकारिक सुधार उपलब्ध होने तक अपने अंत पर शमन करना चाहिए।.

यह क्यों महत्वपूर्ण है — वास्तविक हमले के परिदृश्य

संग्रहीत XSS का उपयोग कई पोस्ट-शोषण लक्ष्यों के लिए किया जा सकता है:

• यदि लॉगिन किए गए उपयोगकर्ता (जैसे, साइट संपादक या प्रशासक) एक संशोधित पृष्ठ पर जाते हैं तो सत्र कुकीज़ या प्रमाणीकरण टोकन चुराना।.
• दुर्भावनापूर्ण रीडायरेक्ट, फ़िशिंग ओवरले, या नकली प्रशासक UI प्रदर्शित करना ताकि क्रेडेंशियल्स कैप्चर किए जा सकें।.
• प्रमाणित उपयोगकर्ता के संदर्भ में क्रियाएं निष्पादित करना (यदि CSRF सुरक्षा अनुपस्थित हैं), संभावित रूप से विशेषाधिकार बढ़ाना या सामग्री बदलना।.
• साइट का उपयोग आगंतुकों पर हमला करने, प्रतिष्ठा को नुकसान पहुँचाने, या अवांछित विज्ञापन/मैलवेयर प्रदान करने के लिए एक ठिकाने के रूप में करें।.

योगदानकर्ता अक्सर सामग्री प्रस्तुत करते हैं जिसे बाद में समीक्षा और प्रकाशित किया जाता है; एक दुर्भावनापूर्ण योगदानकर्ता इसलिए एक सामान्य लेखक के रूप में छिपा हो सकता है। यदि संपादक लॉग इन रहते हुए सामग्री का पूर्वावलोकन करते हैं, तो वे प्रमुख लक्ष्य बन जाते हैं।.

किसे जोखिम है?

• कोई भी वर्डप्रेस साइट जो माइक्रोटैंगो ≤ 0.9.29 चला रही है।.
• साइटें जो योगदानकर्ताओं (या उच्चतर) को बिना सख्त संपादकीय समीक्षा के शॉर्टकोड या सामग्री जोड़ने की अनुमति देती हैं।.
• साइटें जहां संपादकीय पूर्वावलोकन लॉग इन रहते हुए किए जाते हैं।.
• साइटें जो सामग्री-जानकारी इनपुट/आउटपुट फ़िल्टरिंग और निरंतर सामग्री स्कैनिंग की कमी रखती हैं।.

यदि आपकी साइट माइक्रोटैंगो का उपयोग नहीं करती है, तो यह CVE लागू नहीं होता — लेकिन ध्यान दें कि अंतर्निहित मूल कारण (शॉर्टकोड विशेषताओं की अपर्याप्त सफाई/एस्केपिंग) कई प्लगइन्स में सामान्य है।.

यह निर्धारित करने के लिए कि क्या आप प्रभावित हैं

1. प्लगइन संस्करण की पुष्टि करें:
   प्लगइन्स स्क्रीन या WP-CLI का उपयोग करें:

   wp प्लगइन प्राप्त करें माइक्रोटैंगो --क्षेत्र=संस्करण

   यदि संस्करण ≤ 0.9.29 है, तो आप प्रभावित सीमा में हैं।.

2. पुष्टि करें कि क्या योगदानकर्ता शॉर्टकोड जोड़ सकते हैं:
   कार्यप्रवाह की समीक्षा करें: क्या योगदानकर्ता पोस्ट/पृष्ठ संपादित कर सकते हैं या बाद में प्रकाशित सामग्री जोड़ सकते हैं? क्या संपादक लॉग इन रहते हुए प्रशासन में योगदानकर्ता की सामग्री का पूर्वावलोकन करते हैं?
3. संदिग्ध शॉर्टकोड विशेषताओं के लिए अपनी सामग्री की खोज करें:
   संग्रहीत XSS अक्सर पोस्ट सामग्री या पोस्टमेटा में शॉर्टकोड विशेषताओं के अंदर एम्बेडेड होता है। माइक्रोटैंगो शॉर्टकोड (जैसे, [माइक्रोटैंगो ...]) के उदाहरणों की खोज करें और टोकन जैसे विशेषता मानों का निरीक्षण करें जावास्क्रिप्ट:, HTML टैग, इवेंट हैंडलर्स (त्रुटि पर, onclick), या एन्कोडेड प्रतिनिधित्व जैसे %3Cscript%3E.

   # उदाहरण WP-CLI खोज (अपने वातावरण के अनुसार समायोजित करें)'

4. सहेजे गए सामग्री में असामान्य स्क्रिप्ट तत्वों के लिए स्कैन करें:
   देखें <script> शॉर्टकोड आउटपुट के भीतर एम्बेडेड फ्रैगमेंट या इनलाइन इवेंट हैंडलर विशेषताएँ।.

यदि आपको संदिग्ध सामग्री मिलती है, तो इसे संभावित सक्रिय के रूप में मानें — जब तक आप एक अलग वातावरण में विश्लेषण नहीं कर रहे हैं, तब तक प्रभावित पृष्ठ को प्रशासन/संपादक खाते में लॉग इन करते समय न खोलें।.

तात्कालिक निवारण चेकलिस्ट (अभी क्या करें)

यदि आपके पास उत्पादन पर प्रभावित माइक्रोटैंगो संस्करण है, तो इन चरणों को प्राथमिकता दें:

1. एक्सपोजर को सीमित करें: जब आप सामग्री का आकलन कर रहे हों और लॉग इन उपयोगकर्ताओं के लिए जोखिम को नियंत्रित कर रहे हों, तो साइट को रखरखाव मोड में डालें।.
2. माइक्रोटैंगो प्लगइन को अस्थायी रूप से निष्क्रिय करें:
   वर्डप्रेस डैशबोर्ड → प्लगइन्स → माइक्रोटैंगो को निष्क्रिय करें
   या WP-CLI के माध्यम से:

   wp प्लगइन निष्क्रिय करें माइक्रोटैंगो

   प्लगइन को निष्क्रिय करना आमतौर पर कमजोर रेंडरिंग पथ को रोकता है और सार्वजनिक पृष्ठों पर नए संग्रहीत पेलोड को निष्पादित करने से रोकता है।.

3. योगदानकर्ता और अन्य निम्न-privilege खातों को प्रतिबंधित करें:
   योगदानकर्ता या उच्चतर भूमिकाओं वाले खातों की समीक्षा करें। अस्थायी रूप से अविश्वसनीय खातों को निष्क्रिय या हटा दें। संपादक/प्रशासक खातों के लिए दो-कारक प्रमाणीकरण लागू करें और योगदानकर्ता प्रस्तुतियों के लिए संपादकीय अनुमोदन की आवश्यकता करें।.
4. आभासी पैचिंग / WAF नियम लागू करें:
   यदि आपके पास सामग्री-जानकारी WAF या नियम इंजन है, तो संदिग्ध शॉर्टकोड विशेषता पैटर्न और ज्ञात एन्कोडिंग को अवरुद्ध करने वाले नियम लागू करें जो स्क्रिप्ट सामग्री को तस्करी करने के लिए उपयोग किए जाते हैं। वर्चुअल पैचिंग अक्सर जोखिम को कम करने का सबसे तेज़ तरीका होता है जबकि एक अपस्ट्रीम पैच की प्रतीक्षा की जाती है।.
5. सामग्री स्कैनिंग और सुधार:
   HTML टैग, जावास्क्रिप्ट: यूआरआई, पर* इवेंट विशेषताओं, या एन्कोडेड पेलोड्स वाले शॉर्टकोड और विशेषताओं के लिए खोजें। संदिग्ध पोस्ट/पोस्टमेटा को हटा दें या स्वच्छ करें। महत्वपूर्ण पोस्ट के लिए, पुराने संस्करण पर भरोसा करने के बजाय सामग्री को एक साफ संपादक में पुनर्निर्माण करने पर विचार करें।.
6. हार्डनिंग हेडर:
   बाहरी स्क्रिप्ट लोड होने की संभावना को कम करने के लिए एक सामग्री सुरक्षा नीति (CSP) जोड़ें या कड़ा करें। उदाहरण के लिए संवेदनशील हेडर (तैनाती से पहले परीक्षण करें):

   सामग्री-सुरक्षा-नीति: डिफ़ॉल्ट-स्रोत 'स्वयं'; स्क्रिप्ट-स्रोत 'स्वयं' 'नॉन्स-'; ऑब्जेक्ट-स्रोत 'कोई नहीं';

   CSP ट्यूनिंग को वैध कार्यक्षमता को तोड़ने से बचने के लिए परीक्षण की आवश्यकता होती है।.

7. निगरानी बढ़ाएँ:
   लॉग सामग्री परिवर्तनों, नए उपयोगकर्ता पंजीकरण और असफल लॉगिन गतिविधियों को। 404, आउटबाउंड कनेक्शनों, या कम गतिविधि वाले खातों द्वारा संपादनों में असामान्य स्पाइक्स के लिए देखें।.
8. क्रेडेंशियल्स:
   यदि आपको दुरुपयोग का संदेह है, तो संपादकों/प्रशासकों के लिए पासवर्ड रीसेट करें, सभी उपयोगकर्ताओं को मजबूर लॉगआउट करें ताकि सत्र अमान्य हो जाएं, और किसी भी उजागर API कुंजी को घुमाएं।.

शमन और व्यावहारिक नियम उदाहरण (सामान्य)

नीचे व्यावहारिक पहचान और अवरोधन पैटर्न हैं जिन्हें आप अपने वातावरण के अनुसार अनुकूलित कर सकते हैं। ये जानबूझकर वर्णनात्मक हैं और विक्रेता-विशिष्ट निर्देशों से बचते हैं।.

• उन विशेषताओं के मानों को अवरुद्ध करें जो शामिल हैं जावास्क्रिप्ट: (केस-संवेदनशील नहीं)।.
• एन्कोडेड स्क्रिप्ट टैग का पता लगाएं: पैटर्न जैसे %3Cscript%3E या %3C%2Fscript%3E.
• विशेषता मानों के अंदर इवेंट हैंडलर टोकन का पता लगाएं: regex जैसे ऑन[a-z]+=.
• संदिग्ध डेटा URI और लंबे Base64 ब्लॉब को अवरुद्ध करें जो HTML को एम्बेड कर सकते हैं: डेटा:text/html;base64, या असामान्य रूप से लंबे base64 अनुक्रम।.
• प्रतिक्रिया निरीक्षण: यदि सर्वर प्रतिक्रिया में एक प्लगइन शॉर्टकोड आउटपुट क्षेत्र है, तो उस टुकड़े को स्कैन करें <script> या क्लाइंट को लौटाने से पहले इनलाइन इवेंट हैंडलर्स; उन्हें हटा दें या निष्क्रिय करें और घटनाओं को लॉग करें।.

नियमों को संकीर्ण रूप से माइक्रोटैंगो रेंडरिंग संदर्भों तक सीमित करें ताकि झूठे सकारात्मक कम हों। उत्पादन में लागू करने से पहले स्टेजिंग पर नियमों का परीक्षण करें।.

साइट प्रशासक संदिग्ध सामग्री को सुरक्षित रूप से कैसे खोज सकते हैं

उच्च-विशेषाधिकार खाते के साथ लॉग इन करते समय कच्चे पृष्ठों को देखने से बचें। इन सुरक्षित तकनीकों का उपयोग करें:

• शॉर्टकोड वाले पोस्ट खोजने के लिए WP-CLI का उपयोग करें:

  wp पोस्ट सूची --पोस्ट_प्रकार=पोस्ट,पृष्ठ --फॉर्मेट=ids | xargs -n1 -I% sh -c 'wp पोस्ट प्राप्त करें % --क्षेत्र=पोस्ट_सामग्री | grep -i "microtango" && echo "पोस्ट:%"'

• डेटाबेस में उन स्ट्रिंग्स की खोज करें जो स्क्रिप्ट या इवेंट हैंडलर पैटर्न की तरह दिखती हैं। उदाहरण SQL (एक सुरक्षित DB कंसोल में चलाएं):

  SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%microtango%' AND (post_content LIKE '%<script%' OR post_content LIKE '%onerror=%' OR post_content LIKE '%javascript:%');

• ऑफ़लाइन समीक्षा और सफाई के लिए संदिग्ध सामग्री का निर्यात करें।.

महत्वपूर्ण: कभी भी संदिग्ध HTML को लाइव ब्राउज़र में कॉपी न करें जबकि आप एक व्यवस्थापक के रूप में लॉग इन हैं। सामग्री को एक अलग VM या सफाई किए गए दर्शक में निरीक्षण करें।.

डेवलपर मार्गदर्शन - शॉर्टकोड विशेषताओं में XSS को ठीक करना

प्लगइन लेखकों को शॉर्टकोड विशेषताओं को स्वीकार करते समय रक्षात्मक नियमों का पालन करना चाहिए और HTML को रेंडर करना चाहिए:

1. जहां व्यावहारिक हो, वहां सहेजने पर सफाई करें:
   सहेजने पर विशेषताओं को मान्य और साफ करें। अप्रत्याशित विशेषता मानों को अस्वीकार या निष्क्रिय करें।.
2. आउटपुट पर एस्केप करें (हमेशा):
   उपयोग करें esc_attr() विशेषता आउटपुट के लिए, esc_html() तत्व सामग्री के लिए। यदि HTML जानबूझकर अनुमति दी गई है, तो इसे wp_kses() और एक सख्त श्वेतसूची के साथ सीमित करें।.
3. मनमाने HTML या इवेंट विशेषताओं से बचें:
   यदि उपयोगकर्ताओं को HTML प्रदान करने की आवश्यकता है, तो एक समर्पित, साफ संपादक प्रदान करें और विश्वसनीय भूमिकाओं तक क्षमता को सीमित करें।.
4. पोस्टमेटा या विकल्पों में संग्रहीत डेटा को साफ करें:
   सभी संग्रहीत मानों को अविश्वसनीय मानें और सहेजने या रेंडर करने से पहले मान्य करें।.
5. क्षमता जांच प्रदान करें:
   उन्नत HTML/सामग्री को उन भूमिकाओं के लिए सहेजने पर प्रतिबंध लगाएं जिनके पास उपयुक्त क्षमताएं हैं (उदाहरण के लिए प्रबंधित_विकल्प), योगदानकर्ताओं के लिए नहीं।.

सुरक्षित शॉर्टकोड उदाहरण (चित्रात्मक):

कार्य my_microtango_shortcode( $atts ) {'<div class="microtango">';'<a href="/hi/' . esc_attr( $link ) . '/">' . esc_html( $title ) . '</a>';'</div>'$atts = shortcode_atts( array(;

सिद्धांत: इनपुट पर सफाई करें, आउटपुट पर एस्केप करें। यह शॉर्टकोड हैंडलिंग में XSS मामलों के अधिकांश को रोकता है।.

घटना के बाद की चेकलिस्ट (यदि आप शोषण के सबूत पाते हैं)

1. शामिल करें: कमजोर प्लगइन को निष्क्रिय करें, संक्रमित पोस्ट/विकल्पों को हटा दें या साफ करें, योगदानकर्ता खातों से सामग्री पूर्वावलोकन को अस्थायी रूप से निष्क्रिय करें।.
2. विश्लेषण करें: दायरा पहचानें - सभी पृष्ठों/पोस्ट/विकल्पों की सूची बनाएं जिनमें दुर्भावनापूर्ण पेलोड है और प्रभावित खातों को ट्रैक करें।.
3. साफ करें: इंजेक्टेड पेलोड को हटा दें या बैकअप से साफ कॉपी को पुनर्स्थापित करें; यदि अखंडता अनिश्चित है तो सुरक्षित स्रोतों से पृष्ठों का पुनर्निर्माण करें।.
4. पुनर्प्राप्ति: व्यवस्थापक/संपादक पासवर्ड और एपीआई कुंजी बदलें; सभी उपयोगकर्ताओं को मजबूर लॉगआउट करें; उच्च-विशेषाधिकार खातों पर 2FA सक्षम करें।.
5. निगरानी करें: संदिग्ध गतिविधियों, असामान्य व्यवस्थापक लॉगिन, या पेलोड पैटर्न से मेल खाने वाले HTTP अनुरोधों के लिए लॉग देखें।.
6. रिपोर्ट करें और अपडेट करें: उपलब्ध होने पर अपस्ट्रीम प्लगइन सुधार लागू करें और जिम्मेदार प्रकटीकरण चैनलों के माध्यम से प्लगइन रखरखावकर्ता को निष्कर्षों की रिपोर्ट करें।.

दीर्घकालिक सख्ती - समान समस्याओं की संभावना को कम करें

• न्यूनतम विशेषाधिकार लागू करें: क्या योगदानकर्ताओं को बिना फ़िल्टर किए गए HTML या शॉर्टकोड एक्सेस की आवश्यकता है? क्षमताओं को सीमित करें और संपादकीय अनुमोदन की आवश्यकता करें।.
• प्लगइनों का एक सूची बनाए रखें और उन पैकेजों के लिए कमजोरियों की चेतावनी के लिए सदस्यता लें।.
• सामग्री-जानकारी नियंत्रणों का उपयोग करें जो वर्चुअल पैच कर सकते हैं और अनुरोधों और प्रतिक्रियाओं में XSS पैटर्न को ब्लॉक कर सकते हैं।.
• निरंतर स्कैनिंग और अनुसूचित सामग्री समीक्षाओं (स्वचालित और मानव समीक्षा) को लागू करें।.
• सुरक्षित विकास प्रथाओं को अपनाएं: कोड समीक्षाएं, स्थैतिक विश्लेषण, और मजबूत सफाई अनुशासन।.
• HTTP सुरक्षा हेडर का एक बुनियादी स्तर लागू करें: CSP, X-Content-Type-Options, X-Frame-Options और HSTS जहां उपयुक्त हो।.
• बैकअप रखें और पुनर्स्थापनों का परीक्षण करें - एक ज्ञात-अच्छा बैकअप अक्सर संग्रहीत XSS प्रकोपों से तेजी से पुनर्प्राप्ति का मार्ग होता है।.

पहचान नियम और हस्ताक्षर विचार (सुरक्षा टीमों के लिए)

आपके स्टैक के लिए अनुकूलित वैचारिक हस्ताक्षर:

• सबमिशन पैरामीटर को अवरुद्ध करें जिसमें शामिल हैं जावास्क्रिप्ट: (केस-संवेदनशील नहीं)।.
• एन्कोडेड स्क्रिप्ट टैग का पता लगाएं (%3Cscript%3E / %3C%2Fscript%3E).
• विशेषता मानों में इवेंट हैंडलर टोकन का पता लगाएं: regex ऑन[a-z]+=.
• लंबे base64 ब्लॉब या डेटा:text/html;base64, उपस्थिति का पता लगाएं।.
• प्रतिक्रिया निरीक्षण: प्लगइन शॉर्टकोड आउटपुट wrappers की पहचान करें और उन टुकड़ों को स्कैन करें <script> या इनलाइन इवेंट हैंडलर्स; निष्क्रिय करें और लॉग करें।.
• संदिग्ध टोकन वाले पोस्ट के लिए रात में DB स्कैन शेड्यूल करें जो कमजोर शॉर्टकोड से जुड़े हैं।.

प्लगइन डेवलपर्स और साइट रखरखाव करने वालों के लिए एक नोट

इसे एक अनुस्मारक के रूप में मानें: मान्यता और एस्केपिंग गैर-परक्राम्य हैं। मान लें कि शॉर्टकोड और कोई भी सहेजे गए विशेषताएँ खतरनाक हैं जब तक कि उन्हें साफ नहीं किया गया। कच्चे HTML या स्क्रिप्ट की अनुमति देने वाली किसी भी चीज़ के लिए क्षमता जांच और केवल व्यवस्थापक सेटिंग्स को प्राथमिकता दें। रिलीज़ प्रक्रियाओं में सुरक्षा परीक्षण (स्थैतिक और गतिशील) को एकीकृत करें।.

अंतिम व्यावहारिक कार्य योजना

यदि Microtango (≤ 0.9.29) आपके किसी भी साइट पर स्थापित है, तो इस संक्षिप्त योजना का पालन करें:

1. प्लगइन संस्करण की पुष्टि करें और योगदानकर्ता कार्यप्रवाह की समीक्षा करें।.
2. तुरंत उच्च-जोखिम साइटों पर प्लगइन को निष्क्रिय करें या जहां संभव हो वहां प्रतिबंधात्मक प्रोसेसिंग सक्षम करें।.
3. दुर्भावनापूर्ण शॉर्टकोड विशेषता पैटर्न को अवरुद्ध करने के लिए आभासी पैचिंग या WAF नियम लागू करें (नियमों को संकीर्ण रूप से परिभाषित करें)।.
4. संदिग्ध शॉर्टकोड उदाहरणों के लिए अपने डेटाबेस/सामग्री को स्कैन करें और उन्हें साफ या हटा दें।.
5. योगदानकर्ता खातों को प्रतिबंधित और ऑडिट करें; सभी सामग्री संपादनों के लिए समीक्षा की आवश्यकता करें।.
6. CSP लागू करें और HTTP हेडर को कड़ा करें।.
7. लॉग की निगरानी करें, यदि आवश्यक हो तो क्रेडेंशियल्स को घुमाएं, और यदि समझौता होने का संदेह हो तो फोरेंसिक जांच करें।.
8. जब एक अपस्ट्रीम फिक्स जारी किया जाता है, तो स्टेजिंग में परीक्षण करें और उत्पादन में तुरंत लागू करें।.

समापन विचार

यह Microtango स्टोर किया गया XSS एक पुनरावृत्त पैटर्न को प्रदर्शित करता है: प्लगइन डेवलपर्स कभी-कभी शॉर्टकोड के विशेषताओं को स्वीकार करते समय अनएस्केप किए गए उपयोगकर्ता-प्रदत्त डेटा के खतरे को कम आंकते हैं। साइट-स्वामी के दृष्टिकोण से, स्टोर किया गया XSS परतदार नियंत्रणों के साथ कम किया जा सकता है: न्यूनतम विशेषाधिकार, सामग्री स्कैनिंग, सुरक्षित प्लगइन कॉन्फ़िगरेशन, और एक अपस्ट्रीम फिक्स लागू होने तक लक्षित आभासी पैचिंग।.

सतर्क रहें, विशेषाधिकारों को प्रतिबंधित करें, और सभी उपयोगकर्ता-प्रदत्त सामग्री को अविश्वसनीय मानें जब तक कि इसे ठीक से साफ और एस्केप नहीं किया गया है।.

— हांगकांग सुरक्षा अनुसंधान टीम