热点:
    责任编辑

    WordPress网站默认主题存跨站攻击漏洞

      [  中关村在线 原创  ]   作者:  |  责编:刘菲菲
    收藏文章 暂无评论

      据国外安全研究机构sucuri.net的报告称,WordPress的默认主题TwentyFourteen存在跨站攻击漏洞。此漏洞允许攻击者使用该主题内置的一个ico图标生成文件(genericons)来进行攻击,研究机构称,漏洞来自此ico图标生成文件,所以任何应用了此功能的主题或者插件都受到了影响,目前已知的有默认主题TwentyFourteen和 插件jetpack(安装次数超过100万)受此影响。

    漏洞文件

    WordPress网站默认主题存跨站攻击漏洞
    漏洞文件

      该漏洞的验证地址如下:

    WordPress网站默认主题存跨站攻击漏洞
    漏洞检验地址

      http://yoursiteurl.com/wp-content/themes/twentyfifteen/genericons/example.html#1<img/src=1 onerror=alert(1)>

      安全人员建议开启网站防火墙的WAF攻击防御措施来抵御此攻击。当然彻底修复该漏洞的方法也很简单,直接删除目录genericons即可避免。

    WordPress网站默认主题存跨站攻击漏洞

      目前GoDaddy、DreamHost等主机商和公司已经主动修复该漏洞,但截至发稿前从官方网站下载的最新版WordPress4.2.1依然存在此目录和漏洞。

    soft.zol.com.cn true //soft.zol.com.cn/519/5196645.html report 775   据国外安全研究机构sucuri.net的报告称,WordPress的默认主题TwentyFourteen存在跨站攻击漏洞。此漏洞允许攻击者使用该主题内置的一个ico图标生成文件(genericons)来进行攻击,研究机构称,漏洞来自此ico图标生成文件,所以任何应用了此功能的主题或者插件都受到了...
    不喜欢(0) 点个赞(0)
    随时随地资讯查报价 就上ZOL手机客户端,点击或扫描二维码下载