大连仟亿科技
客服中心
  • 电话
  • 电话咨询:0411-39943997
  • 手机
  • 手机咨询:15840979770
    手机咨询:13889672791
网络营销 >更多
您现在的位置:仟亿科技 > 新闻中心 > 行业资讯

WordPress系统漏洞致网站泄密

作者:billionnet 发布于:2012/9/20 16:28:07 点击量:

近日,360网站安全检测平台WebScan发布紧急安全警告:知名博客引擎WordPress多个插件存在SQL注入或跨站脚本执行漏洞,攻击者借此可以窃取网站核心数据,甚至利用这些网站实施钓鱼挂马攻击。经360网站安全检测对第三方应用识别引擎的分析研究,WordPress占第三方可识别应用总数的39.5%,大量网站处于危险中。

360网站安全检测服务网址:http://webscan.360.cn

据了解,WordPress系统是一种使用PHP语言和MySQL数据库开发的博客引擎,因简单易用且拥有丰富强大的插件而用户众多。而此次漏洞成因正是WordPress的三个插件出现了问题,波及使用WordPress搭建的网站。

\

图1:bbPress存在SQL注入漏洞

经360网站安全检测平台分析,包括WordPress母公司Automattic出品的开源论坛程序bbPress、WordPress视频播放插件HDWebplayer1.1都存在SQL注入漏洞。

\

图2:利用工具渗透测试结果

同时,邮件工具SimpleMail plugin for WordPress 1.0.6及其他版本在实现上则存在跨站脚本攻击漏洞,可被恶意利用执行脚本插入攻击,查看后会在受影响站点的用户浏览器中执行。其主要原因为电子邮件字段“To”、“From”、“Date”、“Subject”传递输入没有正确过滤即用于显示邮件。

由于上述漏洞影响广泛,且官方尚未提供漏洞补丁,所以360网站安全检测平台在第一时间向旗下用户发送警告邮件的同时,还推出了临时解决方案,并建议广大站长及用户时刻关注WordPress厂商的主页以获取新新版本。

WorPress厂商主页:

http://wordpress.org/

临时解决方案:使用360网站安全检测提供的防注入脚本工具:

http://webscan.360.cn/vul/view/vulid/64

http://webscan.360.cn/vul/view/vulid/87

同时,360网站安全检测平台WebScan也第一时间推出了SQL注入、跨站脚本攻击漏洞的临时防护工具,可有效拦截相关攻击行为。



分享到:


评论加载中...
内容:
评论者: 验证码:
  

Copyright@ 2011-2017 版权所有:大连仟亿科技有限公司 辽ICP备11013762-1号   google网站地图   百度网站地图   网站地图

公司地址:大连市沙河口区中山路692号辰熙星海国际2215 客服电话:0411-39943997 QQ:2088827823 42286563

法律声明:未经许可,任何模仿本站模板、转载本站内容等行为者,本站保留追究其法律责任的权利! 隐私权政策声明