Security Lab

POP

POP («Property Oriented Programming» или «ориентированное на свойства программирование») — техника в области кибербезопасности и эксплуатации программных уязвимостей. Она основана на использовании внутренних механизмов объектно-ориентированных языков программирования, в частности, на управлении свойствами (атрибутами) объектов.
В контексте безопасности, POP часто связан с уязвимостями, возникающими при десериализации данных. Десериализация - это процесс преобразования данных из формата, пригодного для хранения или передачи (например, в форме строки или файла), обратно в объекты языка программирования. Если в процессе десериализации данные не проверяются должным образом, злоумышленник может создать специально подготовленные данные, которые при десериализации приведут к выполнению нежелательных действий.
В случае с POP, атакующий использует особенности объектов, такие как магические методы (например, конструкторы и деструкторы объектов), и их свойства — для контроля над выполнением программы. Таким образом, манипулируя свойствами объектов, можно вызвать определённые методы и изменить ход выполнения программы, что может привести к выполнению произвольного кода, доступу к чувствительным данным или другим инцидентам безопасности.

WordPress устранил 0-day, связанный с WP_HTML_Token: так хакеры могли выполнять произвольный код

Окончательно обезопасить свой сайт можно лишь немедленной установкой обновления.