WordPress爆Cookies漏洞 黑客可绕过认证

    [多云 November 22, 2007 13:22 | by ]
日前,国外安全研究人员斯蒂芬·J·莫道奇发现,流行的个人博客站点程序WordPress中存在一个安全漏洞,攻击者可利用该漏洞绕过某些安全限制。

Highslide JS

WordPress爆出Cookies安全认证漏洞
据莫道奇称,由于可以从WordPress站点数据库“User”表数据中构造2个认证Cookies(“wordpressuser_*”和“wordpresspass_*”),从而导致WordPress出现这个漏洞。

  攻击者在成功利用该漏洞之后,可以以管理员身份登陆,但许多拥有对数据库“user”表的读权限。

  据称,互联网上已经出现了该漏洞的攻击。

  莫道奇指出,在wordpress 2.3.1和所有之前的版本,包括v1.5在内都存在这个漏洞。

  针对次漏洞,莫道奇给出了解决方案:只给予可信用户对“user”数据表的读权限,通过 “.htaccess”等设置,限制对“wp-admin”目录的访问。

  WordPress是一种使用PHP语言和MySQL数据库开发的开源、免费的Blog(博客,网志)引擎,用户可以在支持PHP和MySQL数据库的服务器上建立自己的Blog。

News | Comments(0) | Trackbacks(0) | Reads(7822)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive