近日,360網(wǎng)站安全檢測平臺WebScan發(fā)布緊急安全警告:知名博客引擎WordPress多個插件存在SQL注入或跨站腳本執(zhí)行漏洞,攻擊者借此可以竊取網(wǎng)站核心數(shù)據(jù),甚至利用這些網(wǎng)站實施釣魚掛馬攻擊。經(jīng)360網(wǎng)站安全檢測對第三方應(yīng)用識別引擎的分析研究,WordPress占第三方可識別應(yīng)用總數(shù)的39.5%,大量網(wǎng)站處于危險中。
360網(wǎng)站安全檢測服務(wù)網(wǎng)址:http://webscan.360.cn
據(jù)了解,WordPress是一種使用PHP語言和MySQL數(shù)據(jù)庫開發(fā)的博客引擎,因簡單易用且擁有豐富強大的插件而用戶眾多。而此次漏洞成因正是WordPress的三個插件出現(xiàn)了問題,波及使用WordPress搭建的網(wǎng)站。
圖1:bbPress存在SQL注入漏洞
經(jīng)360網(wǎng)站安全檢測平臺分析,包括WordPress母公司Automattic出品的開源論壇程序bbPress、WordPress視頻播放插件HDWebplayer1.1都存在SQL注入漏洞。
圖2:利用工具滲透測試結(jié)果
同時,郵件工具SimpleMail plugin for WordPress 1.0.6及其他版本在實現(xiàn)上則存在跨站腳本攻擊漏洞,可被惡意利用執(zhí)行腳本插入攻擊,查看后會在受影響站點的用戶瀏覽器中執(zhí)行。其主要原因為電子郵件字段“To”、“From”、“Date”、“Subject”傳遞輸入沒有正確過濾即用于顯示郵件。
由于上述漏洞影響廣泛,且官方尚未提供漏洞補丁,所以360網(wǎng)站安全檢測平臺在第一時間向旗下用戶發(fā)送警告郵件的同時,還推出了臨時解決方案,并建議廣大站長及用戶時刻關(guān)注WordPress廠商的主頁以獲取更新版本。
WorPress廠商主頁:
http://wordpress.org/
臨時解決方案:使用360網(wǎng)站安全檢測提供的防注入腳本工具:
http://webscan.360.cn/vul/view/vulid/64
http://webscan.360.cn/vul/view/vulid/87
同時,360網(wǎng)站安全檢測平臺WebScan也第一時間推出了SQL注入、跨站腳本攻擊漏洞的臨時防護工具,可有效攔截相關(guān)攻擊行為。
推薦閱讀
北京時間9月21日凌晨消息,美國司法部今天宣布,友達光電將被罰款5億美元,兩名前高管則被判入獄三年,原因是兩人在一起全球性的LCD顯示屏價格操縱共謀案中扮演了領(lǐng)導(dǎo)者角色。 北京時間9月21日凌晨消息,美國司法部今>>>詳細閱讀
本文標題:WordPress漏洞致網(wǎng)站泄密 360推解決方案
地址:http://www.sdlzkt.com/a/xie/20120201/115483.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示