首页
社区
课程
招聘
黑客能利用不安全的cookies劫持你的WordPress博客
发表于: 2014-5-27 21:44 1695

黑客能利用不安全的cookies劫持你的WordPress博客

2014-5-27 21:44
1695
新闻链接:http://www.solidot.org/story?sid=39709
新闻时间:2014年05月27日 20时05分 星期二
新闻正文:HTTPS Everywhere和Privacy Badger Firefox维护者Yan Zhu发现了WordPress的一个安全漏洞,该漏洞将允许黑客劫持你的WordPress博客。她发现一个重要的cookies“wordpress_logged_in”在输入有效的用户名和密码后通过HTTP明文发送到WordPress的一个认证端点。也就是说,你可以拷贝这个cookies到另一个浏览器内,然后在cookies有效期内直接登录到WordPress帐号,绕过了二步认证,不需要再输入用户名和密码。她测试后发现,这个cookies拥有发表文章阅读私人帖子和留言等诸多权限,甚至能修改帐号相关的电子邮件地址。WordPress首席开发者Andrew Nacin已经证实了这个漏洞,称将在下个WordPress 版本中修复该问题,指出漏洞不允许修改密码,因为修改密码需要使用到另一个认证cookies“wordpress_sec”。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//