用 Google 搜尋:

無聊人的無聊故事

你現在的位置: 無聊人的無聊故事 » WordPress 相關 » The first Weblog XSS Worm

八月 3 日, 2007

The first Weblog XSS Worm

文章類別:WordPress 相關 — by C.H.Weng @ 9:21 下午

消息來源:This is the first Weblog XSS Worm ~ mybeNi websecurity

整個有恐怖到!原來在別人的網站插入其他原始碼、進而修改系統中的檔案,是這麼容易的事情!

用 WordPress 2.2.1 或是更早版本的朋友要注意了,這是我第一次看到 XSS 漏洞的演示過程!更震撼的是,是在我正式運行的系統上!

還好,這個展示的目的,是要協助你修正 WordPress 系統中存在的 XSS 漏洞,而不會進行破壞(作者如是說,但你也可以選擇不相信他沒有動其他手腳)。

要怎麼觸發這個程式呢?很簡單,只要在自己的 WordPress 網誌中留一則留言,內含可以連到 http://mybeni.rootzilla.de/mybeNi/ 這個網站的超連結。

接著,從控制台管理 comment 的頁面(http://*/wp-admin/edit-comments.php)點擊這個連結,然後就會出現一連串的訊息,引導你修正系統中存在的漏洞。

整個過程中,你完全不需要主動編輯系統程式檔的內容,但是完成更新後,你會發現系統中有漏洞的三個檔案已經被更新過的版本取代了。也就是說,如果他有心取代系統中的其他檔案,其實也不是那麼困難囉?

更新過後,你可以再次從管理 comment 的頁面嘗試觸發這個漏洞,但會發現原本插入到管理後台的修正精靈,已經沒有辦法再啟動了。

實際體驗總是比看別人說得口沫橫飛要來得印象深刻,今天總算紮紮實實的上了一課了 orz

目前 共有 3 條評論;共有 1,421 人閱讀過。

共有 3 條評論

  1. ㄜ...my god!!

    評論冰漾 發表 @ 八月 7 日, 2007 12:43 上午

  2. WordPress 的問題還真多 ...

    評論dora2002 發表 @ 八月 16 日, 2007 6:29 下午

  3. 只能說使用者多的東西,就有人想搞鬼。

    Windows 是這樣、IE 是這樣、WordPress 也是這樣,前陣子有一個偽 Y 拍、還有偶而會看到的偽 PayPal 釣魚網,大概都是這麼回事。

    好消息是,Firefox 的漏洞最近也常被踢爆,這樣的話也許該慶幸 Firefox 已經有一定的影響力了 :D

    評論C.H.Weng 發表 @ 八月 17 日, 2007 12:13 上午

發表評論

(必須輸入。)
(必須輸入,但不會公開。)
(選擇性輸入、公開資訊。)

不可以 使用 HTML 標籤;你 可以 使用 BBCode 標籤。
目前支援的標籤: b color email i img size strong u url。

Comment Preview
↑Meta↑
↑Authors↑
↓Search↓
↑Categories↑
↑Recent Posts↑
↓Most Popular Posts↓
↑Recent Comments↑
↓Recent Trackbacks↓
↓Archives↓
↓Themes↓
Powered by WordPress™
Valid RSS & Atom Feed