1. 论坛系统升级为Xenforo,欢迎大家测试!
    排除公告

WordPress插件曝漏洞 四成博客网站恐被“拖库”

本帖由 九月的奇迹2012-09-19 发布。版面名称:源码讨论

  1. 九月的奇迹

    九月的奇迹 New Member

    注册:
    2012-09-19
    帖子:
    44
    赞:
    0
      近日,360网站安全检测平台WebScan发布紧急安全警告:知名博客引擎WordPress多个插件存在SQL注入或跨站脚本执行漏洞,攻击者借此可以窃取网站核心数据,甚至利用这些网站实施钓鱼挂马攻击。经360网站安全检测对第三方应用识别引擎的分析研究,WordPress占第三方可识别应用总数的39.5%,大量网站处于危险中。
      360网站安全检测服务网址:
      据了解,WordPress是一种使用PHP语言和MySQL数据库开发的博客引擎,因简单易用且拥有丰富强大的插件而用户众多。而此次漏洞成因正是WordPress的三个插件出现了问题,波及使用WordPress搭建的网站。
      图1:bbPress存在SQL注入漏洞
      经360网站安全检测平台分析,包括WordPress母公司Automattic出品的开源论坛程序bbPress、WordPress视频播放插件HDWebplayer1.1都存在SQL注入漏洞。
      图2:利用工具渗透测试结果
      同时,邮件工具SimpleMailpluginforWordPress1.0.6及其他版本在实现上则存在跨站脚本攻击漏洞,可被恶意利用执行脚本插入攻击,查看后会在受影响站点的用户浏览器中执行。其主要原因为电子邮件字段"To"、"From"、"Date"、"Subject"传递输入没有正确过滤即用于显示邮件。
      由于上述漏洞影响广泛,且官方尚未提供漏洞补丁,所以360网站安全检测平台在第一时间向旗下用户发送警告邮件的同时,还推出了临时解决方案,并建议广大站长及用户时刻关注WordPress厂商的主页以获取更新版本。
      WorPress厂商主页:
      
      临时解决方案:使用360网站安全检测提供的防注入脚本工具:
      同时,360网站安全检测平台WebScan也第一时间推出了SQL注入、跨站脚本攻击漏洞的临时防护工具,可有效拦截相关攻击行为。
      关于360网站安全服务
      360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:
      360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;
      360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。