首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 茶余饭后
    3. 发新帖
黑客能利用不安全的cookies劫持你的WordPress博客
发表于: 2014-5-27 21:38 799

黑客能利用不安全的cookies劫持你的WordPress博客

loongbest 活跃值
2014-5-27 21:38
799
新闻链接:1e8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4G2L8r3W2V1L8%4c8Q4x3X3g2G2M7X3N6Q4x3V1k6K6N6r3!0J5P5g2)9K6c8Y4y4A6k6q4)9K6c8o6x3&6y4K6l9&6
新闻时间:2014年05月27日 20时05分 星期二
新闻正文:HTTPS Everywhere和Privacy Badger Firefox维护者Yan Zhu发现了WordPress的一个安全漏洞,该漏洞将允许黑客劫持你的WordPress博客。她发现一个重要的cookies“wordpress_logged_in”在输入有效的用户名和密码后通过HTTP明文发送到WordPress的一个认证端点。也就是说,你可以拷贝这个cookies到另一个浏览器内,然后在cookies有效期内直接登录到WordPress帐号,绕过了二步认证,不需要再输入用户名和密码。她测试后发现,这个cookies拥有发表文章阅读私人帖子和留言等诸多权限,甚至能修改帐号相关的电子邮件地址。WordPress首席开发者Andrew Nacin已经证实了这个漏洞,称将在下个WordPress 版本中修复该问题,指出漏洞不允许修改密码,因为修改密码需要使用到另一个认证cookies“wordpress_sec”。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回