影响版本:
WordPress2.9.2
漏洞描述:
北洋贱队(http://bbs.seceye.org)2010-03-17首发 WordPress是一种使用PHP语言开发的平台,用户可以在支持PHP和MySQL数据库的服务器上架设自己的网志平台。 wordpress2.9.2在使用管理员模式发表新文章或者回复的地方,插入跨站语句可导致触发跨站脚本攻击。 1.发表新文章在标题处插入如: seceye<iframe src=http://www.gohack.org>即可导致跨站。 2.demo:http://www.miao.la/2010/02/%e7%99%be%e5%ba%a6%e5%a8%98%e7%9f%a5%e9%81%93%e7%9a%84%e5%a4%aa%e5%a4%9a%e4%ba%86/ 感谢贱队老大MIAO提供他博客供测试。 另WP2.9.2版本存在爆路径的bug,忘各位使用wp的朋友注意安全。
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
seceye<iframe src=http://www.gohack.org>
0 条评论。