-
-
WordPress4.0及以下版本Dos攻击漏洞(CVE-2014-9034)的检测和利用
-
发表于:
2015-1-28 09:27
977
-
WordPress4.0及以下版本Dos攻击漏洞(CVE-2014-9034)的检测和利用
CVE-2014-9034是由于哈希数中的长密码处理不当造成的,可造成远程攻击者对Wordpress4.0及以下版本网站发动Dos攻击。该漏洞发布已有一段时间,但目前来看这一问题并没有得到很好的解决。
Searchspoit的使用
Searchspoit是一款在kali linux中用以发现各种exploit的脚本工具,可配合MetaSploit使用,非常好用。如果你想要搜索其他的,输入“-h”显示帮助菜单,可以帮助你找到更多的漏洞。
Searchsploi查找到的文件位于/usr/share/exploitdb/,你需要将文件复制到主目录或者类似的地方。
当我第一次试图运行这个exp时,我收到的是一个错误回复。这是因为我的kali丢失了php5-curl的包,所以我需要重新安装它。再次运行该exploit。通过Munin监视器的显示,我得到了大量峰值。
如何防御这种攻击?
1. 最好的方式是在wp-admin中对特定的IP进行限制。
2. 对每个连接的IP进行节流。
3. 使用WAF。
4. 编写自己的ModSecurity代码在Apache或者其他的服务器中。
5. 保持wordpress的更新。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
