溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
Wordpress未授權訪問漏洞復現是怎樣的,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。
WordPress是全球最棒的免費博客(Blog)發布平臺之一,在GNU通用公共許可證下授權發布,它基于經典的PHP+MySQL搭建而來,其中PHP用于編寫相應的操作代碼、生成頁面,MySQL數據庫則用于保存用戶發布和編輯的內容。用戶可以在支持PHP和MySQL數據庫的服務器上架設自己的博客平臺。
WordPress的出現,給許多人喜愛自行架設blog站臺的網民有了更好的選擇。現如今,Wordpress在國外已經非常流行,就連大名鼎鼎的Mozilla.org,也是基于Wordpress搭建,而在國內,也正開始刮起一股Wordpress旋風。
該漏洞由于程序沒有正確處理靜態查詢,攻擊者可利用該漏洞未經認證查看部分內容
WordPress <= 5.2.3
Windows2008 R2
phpstudy2018
Wordpress5.2.3
Wordpress下載地址:
鏈接:https://pan.baidu.com/s/1aln35RJOWViUNnVyAPUHEA
提取碼:vlz2
下載完成后放入phpstudy下www目錄下瀏覽器訪問安裝,創建一個wordpress數據庫
注:安裝的時候需要斷網,不然wordpress會更新到5.2.7版本
按自己的配置安裝即可
這個漏洞影響較小,首先我們在后臺創建幾個私密和公開的頁面,方便查看漏洞
創建成功后在頁面列表處會有顯示是否為私密或公開
然后我們退出賬號,在前臺搜索框搜索關鍵字“頁面”,可以搜索出來開放的頁面,但是私密頁面沒有看到
在url后面添加 ?static=1&order=asc 后,發現可以在未授權的情況下訪問所有私密頁面的內容
更新至最新版本
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
