欢迎来到酱油妹!织梦模板,dede模板下载,织梦cms模板,免费网站模板下载站

酱油妹

WordPress4.0以下版本存在跨站脚本漏洞

企业模板

WordPress4.0以下版本存在跨站脚本漏洞

WordPress是著名的开源CMS(内容管理)系统。日前,在4.0版本以下的WordPress被发现存在跨站脚本漏洞(XSS),新版本的WordPress已经修复了这部分问题。为了安全起见,建议站长们尽快更新到WP新版本。

该漏洞是由芬兰IT公司Klikki Oy的CEO Jouko Pynnonen发现的,只存在于WordPress4.0以下的版本中。据调查得知全球有86%的WordPress网站都感染了这一漏洞,也就意味着全球数百万的网站都存在着潜在的危险。一些知名网站也用了WordPress软件,如Time、UPS、NBC Sports、CNN、Techcrunch 和FreeBuf:)

漏洞概述

WordPress中存在一系列的跨站脚本漏洞,攻击者借助跨站脚本伪造请求以欺骗用户更改登录密码,或者盗取管理员权限。

如Jouko Pynnonen讲解道:

当博客管理员查询评论时,评论中的漏洞代码会自动在其Web浏览器上运行。然后恶意代码会偷偷接管管理员竞价推广账户,从而实行管理员操作。

为了证明他们的看法,研究职员创建了一个漏洞借助程序(exploits)。借助这个exploits,他们创建了一个新的WordPress管理员竞价推广账户,改变了目前管理员密码,并在服务器上实行了攻击PHP代码。

漏洞剖析

问题出在WordPress的留言处,一般情况下留言是允许一些html标签的,譬如、、等等,然而标签中有一些属性是在白名单里的,譬如标签允许href属性,但onmou网站优化ver属性是不允许的。

但在一个字符串格式化函数wptexturize()上出现了问题,这个函数会在每个留言上实行,函数的功能是把目前的字符转义成html实体,譬如把“”转义为“”。为了预防干扰html格式,wptexturize()第一会以html标签为标准把文本分成若干段,除去html标签,还有方括号标签譬如[code]。分割的功能是由下列正则表达式完成的。

在wp-includes/formatting.php代码的第156行:

$textarr = preg_split(/(.*|[.*])/Us, $text, -1,                         

PREG_SPLIT_DELIM_CAPTURE);

但假如文章中混合着尖括号和方括号[]会导致转义混淆,致使部分代码没转义。

攻击者可以通过这个漏洞在允许的HTML标签中注入样式参数形成XSS攻击,譬如通过打造一个透明的标签覆盖窗口,捕捉onmou网站优化ver事件。

漏洞借助测试

以下代码可以用于测试

[a href=test title=][ NOT VULNERABLE]

修复建议

这一漏洞比较容易被攻击者借助,WordPress官方建议用户尽快更新补丁,而在新版WordPress 4.0.1已经修复了所有些漏洞。

WordPress官方于11月20日发布了官方补丁,现在大部分的WordPress网站上都会收到补丁更新提醒通知;假如有一些其他缘由使得你没办法更新补丁,Klikki Oy公司还提供了另外一个解决方法(workaround)可以修复该漏洞。

wptexturize可以通过在wp-includes/formatting.php开头增加一个返回参数防止这个问题:

function wptexturize($text) {        

return $text;                  // ADD THIS LINE        

global $wp_cockneyreplace;

额外提醒

假如你用的是WP-Statistics WordPress插件,你也应该更新补丁。由于这部分插件上也存在跨站脚本漏洞,攻击者同样可以推行攻击。


希望以上内容可以解决您的问题!
如有其他问题欢迎大家一起交流学习!
作者:酱油妹 来源:互联网 关注: 时间:2021-04-27 17:19
版权声明:凡注明来源为www.jiangyoumei.com的均为本站原创,转载请注明来源。
本文网址:http://www.jiangyoumei.com/wordpress/jiaocheng/20210427/12155.html
►凡本站提供教程均已验证教程的准确性。
►为提高用户在织梦后台添加栏目的灵活性(可随意添加/删除栏目),并保持(管理后台添加/删除栏目)与前端网站栏目的一致,本站模板中栏目均未固定,用户直接搜索typeid=''并替换''中的数字为所需栏目id即可。
►本站提供各种类型织梦模板!希望在这里找到喜欢的。下载本站模板,用户直接替换相关文字和图片即可。
►本站仅提供织梦模板即(DEDE模板),(除另外说明)均不带织梦安装程序及数据,用户直接覆盖默认模板即可。
►本站所有资源(包括源码、模板、插件等)仅供学习与参考,请勿用于商业用途。
►如有其他问题,请加网站客服QQ(375750496)进行交流。
相关织梦教程
在线客服

织梦模板 整站模板 新手教程 使用技巧