近日,360網站安全檢測平臺WebScan發布緊急安全警告:知名博客引擎WordPress多個插件存在SQL注入或跨站腳本執行漏洞,攻擊者借此可以竊取網站核心數據,甚至利用這些網站實施釣魚掛馬攻擊。經360網站安全檢測對第三方應用識別引擎的分析研究,WordPress占第三方可識別應用總數的39.5%,大量網站處于危險中。
360網站安全檢測服務網址:http://webscan.360.cn
據了解,WordPress是一種使用PHP語言和MySQL數據庫開發的博客引擎,因簡單易用且擁有豐富強大的插件而用戶眾多。而此次漏洞成因正是WordPress的三個插件出現了問題,波及使用WordPress搭建的網站。
圖1:bbPress存在SQL注入漏洞
經360網站安全檢測平臺分析,包括WordPress母公司Automattic出品的開源論壇程序bbPress、WordPress視頻播放插件HDWebplayer1.1都存在SQL注入漏洞。
圖2:利用工具滲透測試結果
同時,郵件工具SimpleMail plugin for WordPress 1.0.6及其他版本在實現上則存在跨站腳本攻擊漏洞,可被惡意利用執行腳本插入攻擊,查看后會在受影響站點的用戶瀏覽器中執行。其主要原因為電子郵件字段“To”、“From”、“Date”、“Subject”傳遞輸入沒有正確過濾即用于顯示郵件。
由于上述漏洞影響廣泛,且官方尚未提供漏洞補丁,所以360網站安全檢測平臺在第一時間向旗下用戶發送警告郵件的同時,還推出了臨時解決方案,并建議廣大站長及用戶時刻關注WordPress廠商的主頁以獲取更新版本。
WorPress廠商主頁:
http://wordpress.org/
臨時解決方案:使用360網站安全檢測提供的防注入腳本工具:
http://webscan.360.cn/vul/view/vulid/64
http://webscan.360.cn/vul/view/vulid/87
同時,360網站安全檢測平臺WebScan也第一時間推出了SQL注入、跨站腳本攻擊漏洞的臨時防護工具,可有效攔截相關攻擊行為。
推薦閱讀
北京時間9月21日凌晨消息,美國司法部今天宣布,友達光電將被罰款5億美元,兩名前高管則被判入獄三年,原因是兩人在一起全球性的LCD顯示屏價格操縱共謀案中扮演了領導者角色。 北京時間9月21日凌晨消息,美國司法部今>>>詳細閱讀
本文標題:WordPress漏洞致網站泄密 360推解決方案
地址:http://www.xglongwei.com/a/xie/20120201/115483.html
網友點評
精彩導讀
科技快報
品牌展示